今天的网络安全危机的中心是一个统一的脆弱性:数字身份。这IBM X-Force 2025威胁情报指数,身份解决方案领导者的最新评论以及常见脆弱性和暴露计划(CVE)计划的近乎崩溃,所有这些都绘制了不是由蛮力定义的威胁景观的融合图片,而是通过蛮力定义的,而是通过对身份如何获得,验证,验证和利用的无声,系统的细分。
CVE由MITER经营,并获得网络安全和基础设施安全局(CISA)的资金。 CVE目录的软件漏洞对于修补和缓解措施至关重要,用于评估风险。没有它,组织将视而不见,因为新发现的缺陷,进一步加速了攻击者所拥有的优势。
无论是IBM警告大规模证书盗用,企业界保持用户信任的努力,还是CVE计划的不稳定命运,共同的分母都在于身份定义访问权限并访问访问权限。那些控制身份的人塑造了战场。那些忽略它的人会成为一种新型的网络战争的伤亡,而不是遭到破坏,而是在模仿,自动化和沉默中进行的。
来自IBM的数据表明,身份攻击现在占所有入侵的三分之一。威胁参与者不依靠破坏性的勒索软件有效载荷或嘈杂的违规行为,而是通过不遗产者,凭证网络钓鱼运动和中型策略悄悄地渗透系统。这些低调的可伸缩攻击不仅难以检测,而且效率很高。
仅在2024年,IBM在提供InfoStealer恶意软件的电子邮件中录制了84%的高峰,2025年初的指标显示出惊人的180%。排名前五的弱势群在黑暗的网络市场上拥有超过800万个广告,每个广告都包含数十个或数百个被盗的登录证书。
这种战术的转变反映了威胁环境中更深入的转变。网络犯罪分子不再简单地靶向系统。他们针对信任。他们了解身份是访问,横向运动和长期剥削的关键。
一旦被盗,凭据会解锁敏感数据,允许网络内的持久性,并实现最小风险的后续攻击。此外,经济模式已经改变。现在,数据盗用通常比加密更喜欢。根据IBM的数据,有18%的网络犯罪分子选择渗透数据,而只有11%的数据对其进行了加密。
同时,AI允许威胁参与者大量生产高度可信的网络钓鱼电子邮件,并产生多态性恶意软件,以绕过基于签名的防御能力。 IBM的报告强调了AI不仅如何编写恶意代码,而且还有助于制作量身定制的社交工程信息,以提高基于身份的攻击的成功率。借助AI-AS-A-Service在地下市场上可用,即使是低技能的演员也可以发起复杂的运营。
IBM网络安全服务的全球管理合作伙伴马克·休斯(Mark Hughes)表示:“网络犯罪分子通常不破坏任何事情 - 利用复杂的混合云环境溢出的身份差距为攻击者提供多个访问点。” “企业需要从临时的预防思维定势转移,并专注于主动措施,例如现代化身份验证管理,堵塞多因素身份验证孔以及进行实时威胁狩猎以在暴露敏感数据之前发现隐藏的威胁。”
同时,安全专业人员和企业正面临着自己的身份危机。 Ping Identity的产品和解决方案总监Johan Fantenberg指出,旧版身份系统,差的用户体验和严格的身份验证机制正在侵蚀数字信任。用户受到密码疲劳和重复验证提示的负担,而企业在无法与转换需求保持同步的脱节身份基础架构中挣扎。
Fantenberg说:“当今的用户被密码不知所措,由于笨拙的身份验证过程而感到沮丧,并且经常因复杂的注册程序而无法参与数字平台,” Fantenberg说:“在方程式的另一端,企业正面临着由AI的精致威胁范围的驱动的,与法规的确定性和型号的确定性以及不错的确定性,这些企业不适合进行管理。
这些含义不仅限于私营企业。关键基础设施,包括制造,能源和医疗保健系统,特别暴露了。 IBM发现,在2024年,其攻击中有70%的袭击是针对关键基础设施的,由于未援引漏洞,其攻击超过四分之一。更糟糕的是,许多被利用的CVE与民族国家行为者工具包有联系,这模糊了网络犯罪与地缘政治破坏之间的界限。 IBM对黑暗网络的分析发现,讨论最多的漏洞中有40%与复杂的民族国家隶属关系群有关。
尽管威胁行为者的效率提高,但政府支持的网络安全计划(如CVE)面临不稳定。由于行政延迟和潜在的预算削减,CVE计划被关闭后的几个小时。即使CISA的最后一刻缓刑,CVE计划的不确定性也震撼了信心。 CVE董事会的成员已经宣布了将项目转变为独立非营利基金会的计划,理由是长期以来对美国政府控制下的可持续性的担忧。
尽管这种过渡可能会带来长期中立,但它在短期内引入的不稳定性令人担忧。正如IBM的调查结果所强调的那样,许多组织已经在补丁管理方面挣扎,尤其是那些使用Red Hat Enterprise Linux的组织,即使一半以上也没有修补一个关键的CVE。
将这些发展联系在一起的是未能将身份视为战略优先事项。身份不再仅仅是安全检查站,而是新的周长,信任的核心推动力和威胁参与者的主要目标。随着用户和机器模糊之间的界线,随着AI代理与内部系统的互动,并且人类信任不断受到深层和模仿的挑战,因此验证攻击背后的人或内容的能力变得至关重要。
企业开始唤醒这一现实。 Fantenberg和其他人认为,必须将数字身份建立在组织体系结构的每一层中。他们指出,现代身份和访问管理(IAM)系统不应再被视为后端公用事业,但作为战略资产。密码必须让位于自适应,无密码的身份验证,并且上下文感知系统必须实时检测行为异常。身份验证不仅必须扩展到人,而且还必须扩展到设备,应用和自治代理。
这种进化也必须在供应链和合作伙伴生态系统之间进行。有98%的组织与至少一个遭受数据泄露的供应商合作,第三方访问的风险是巨大的。适当的B2B身份治理,包括粒状访问控制和自动化供应,至关重要。
同样至关重要的是内部身份体验。笨拙,延迟或侵入性的访问过程不仅使员工感到沮丧,而且还邀请了损害安全性的解决方法。更智能的Workforce IAM平台(包括单登录和基于风险的身份验证)赋予用户能力,同时减轻了负担。
没有结构性投资,这些改进是不可能的。 CVE计划周围的混乱局面暴露了令人不安的现实:无法通过临时手势或第11小时的扩展来维持网络安全。随着联邦预算在特朗普政府的任务下收紧,基础计划的风险崩溃就像威胁行为者加速一样。这一矛盾破坏了安全领导人发出的每一个警告和威胁情报团队产生的每份报告。
前进的道路要求对数字身份进行批发重新思考。企业,政府和关键基础设施运营商必须停止将身份视为合规框架中的复选框,并开始将其视为运营连续性和国家安全的基石。连续身份验证,分散的标识符,AI固定的行为分析和零信任框架不必再成为未来派的愿望。它们必须是标准操作程序。
