什么是攻击向量？

攻击向量是指黑客借以未经授权访问目标系统、实施网络攻击的路径或方法。常见攻击向量包括社会工程攻击、内部威胁和供应链入侵。

组织的攻击向量（亦称威胁向量）与网络安全漏洞共同构成其攻击面。随着企业开展数字化转型，例如采用人工智能 (AI)、迁移至云与数据中心、使用物联网设备以及支持远程办公，攻击面已持续扩大。如今众多资产融入日益复杂且分散的技术环境中，网络犯罪分子拥有了更多可用来渗透网络和系统的入口点。

与此同时，攻击向量的范围和复杂程度也在演变。威胁行为者利用 AI 等新兴技术操纵用户并规避传统安全措施。

所幸企业安全团队可借助攻击面管理 (ASM) 等网络安全手段来阻截这些攻击者。ASM 能帮助组织识别潜在攻击方法并防御攻击向量——这是降低网络安全风险的关键步骤。

在流行病学中，向量是传播传染病的载体。它们涵盖生物（如蚊子、蝙蝠）到无生命物体（如注射器、纸币）。¹了解这些载体能为公共卫生领域的疾病预防与传播控制工作提供依据。

同样，了解网络攻击向量的多样性可帮助组织（及其合作的网络安全专业人员）设计和部署网络威胁检测与修复的策略及工具。

若缺乏此类检测与修复措施，可能导致严重后果。攻击向量常引发数据泄露事件，使威胁行为者能够访问敏感或机密信息。

根据《IBM  2025 年数据泄露成本 报告》，数据泄露的平均成本为 445 万美元。成本来源包括：泄露事件调查与审计；向客户、监管机构及利益相关方通报；和解与法律费用；以及客户流失。在监管严格的领域，数据泄露可能招致监管罚款，这类事件往往代价尤为高昂。例如，根据 IBM 报告， 2025 年医疗数据泄露的平均成本为 742 万美元。

黑客也可利用攻击向量破坏或摧毁资产，造成重大的业务与经济中断。例如 2025 年 9 月，机场值机系统遭受网络攻击 ，导致欧洲多个主要城市的机场出现航班取消和延误。同月早些时候，一起网络攻击迫使一家英国大型汽车制造商停产数周 。

与变异病原体类似，网络威胁环境也在不断演变。例如二十年前，约半数数据泄露事件源于笔记本电脑或 U 盘等设备丢失或被盗。而根据《IBM 2025 年数据泄露成本报告》，如今设备失窃仅占数据泄露事件的不足 10%，其余事件则涉及从网络钓鱼到供应链入侵等一系列其他攻击向量。

网络犯罪分子正利用新技术简化其攻击向量的实施方式。例如，他们越来越多地部署 AI 来制作逼真的钓鱼邮件和网页，以及进行其他欺骗活动。根据《IBM 2025年数据泄露成本报告》，平均 16% 的数据泄露事件涉及攻击者使用 AI，最常见的是用于生成 AI 驱动的网络钓鱼攻击 (37%) 和深度伪造冒名攻击 (35%)。

黑客还通过浏览暗网购买犯罪即服务 (CaaS) 软件，以实施从使用间谍软件到密码破解等网络犯罪活动。根据《2025 年 IBM X-Force 威胁情报指数》，配备先进工具的变形网络对手能够获得更多访问权限、更轻松地在网络间横向移动，并在相对隐蔽的环境中建立新的据点。

追踪威胁行为者不断演变的攻击向量有助于企业进行应对。IBM 安全杰出工程师 Jeff Crume 在 近期一则 IBM 技术视频中解释：“对黑客的行为了解得越多，就越能有效构建防御体系。信息就是力量。”

尽管不同组织对攻击向量的分类方式各异，但常见类别包括：

• 社会工程
• 第三方供应商与供应链入侵
• 拒绝服务攻击
• 凭据泄露
• 内部威胁
• 漏洞利用
• 恶意软件
• 物理攻击

社会工程攻击通过操纵人们使其误信正在与可信方沟通，诱使他们 泄露个人数据（银行密码、信用卡号）或组织资产（专有信息、商业机密）的安全信息。 

网络钓鱼是最常见的社会工程攻击之一，其手段包括使用欺诈性电子邮件、短信、电话或网站。在 《IBM 2025 年数据泄露成本报告》中， 网络钓鱼位列数据泄露最常见攻击向量之首，占比 16%，平均每次攻击造成 480 万美元损失。网络钓鱼攻击常涉及欺骗手段，即攻击者伪装电子邮件地址或其他通信方式冒充可信来源。

黑客通过渗透第三方供应商以获取其合作伙伴的访问权限，使得供应链成为网络攻击的热门目标。现代供应链生态系统因其数字系统和通信技术而日益脆弱，形成了广阔的攻击面。

供应链网络攻击可能导致生产停滞、运输物流中断、关键基础设施受损、知识产权被盗等后果。根据 《IBM 2025 年数据泄露成本报告》 ，供应链入侵是数据泄露第二常见的攻击向量，同时以平均每次攻击 491 万美元的损失位列成本第二高的攻击类型。

随着越来越多企业在其计算机系统中使用开源软件，针对软件供应链的攻击尤其引发持续关注。一项研究表明，开源软件包仓库引发的软件供应链威胁在三年内激增 1300%。²

拒绝服务攻击 (DoS) 是通过网络攻击拖慢或中止应用程序或服务的手段。多数情况下，DoS 表现为攻击者向网络服务器发送海量流量，最终使服务器过载并无法处理合法请求。根据 《IBM 2025年数据泄露成本报告》，拒绝服务攻击占数据泄露事件的 12% 以上。

分布式拒绝服务攻击 (DDoS) 是一种威力更强的 DoS 攻击形式。在 DDoS 攻击中，攻击流量同时来自多个源头——这可能导致攻击更难以识别和防御。DDoS 攻击常通过僵尸网络实施，即黑客通过劫持互联设备群组进行犯罪活动。

当黑客通过合法用户的登录凭证（如用户名和密码）未经授权访问系统时，即发生凭证窃取攻击。根据《IBM X-Force 威胁情报指数》，30% 的网络攻击涉及盗用和滥用有效账户。

黑客有多种途径实施凭证窃取攻击。例如，他们可利用先前数据泄露事件中暴露的失窃用户凭证，或部署网络钓鱼诱使受害者分享凭证。他们还可采用暴力破解攻击——利用计算能力和自动化 技术通过试错推断密码，而弱密码通常更易被破解。

内部威胁是指源自授权用户（如员工、承包商和业务合作伙伴）的网络安全威胁，这些用户有意或无意地滥用其合法访问权限，或其账户被网络犯罪分子劫持。

内部威胁存在多种类型，包括恶意内部人员（意图报复的不满员工）、疏忽内部人员（因无知或粗心无意间造成安全威胁的员工）以及受侵内部人员（凭证被盗的员工）。

根据 《IBM 2025年数据泄露成本报告》， 恶意内部攻击在所有攻击向量中造成的单次数据泄露成本最高，达 492 万美元。

当内部或外部威胁行为者利用组织数字环境中的安全弱点时，即发生漏洞利用。根据《X-Force 威胁情报指数》，面向公众应用程序的漏洞利用是最主要的网络攻击向量之一。

漏洞示例如下：

• 未修补软件：因未实施补丁（软件更新应用）而产生的安全弱点。
  
  
• 配置错误：错误配置的网络端口、信道、无线接入点、防火墙或协议成为黑客的入口点。
  
  
• 开放端口漏洞：攻击者利用网络通信端点的弱点。
  
  
• SQL 注入漏洞：攻击者使用特制查询访问数据。
  
  
• 跨站脚本攻击  (XSS)：Web 应用程序未正确处理用户输入，使攻击者能将恶意脚本注入网页。

尽管存在通用漏洞披露  (CVE) 列表等安全漏洞目录，许多漏洞仍未被发现且未得到修复。此类安全弱点被称为零日漏洞，因为软件提供商或设备厂商在恶意行为者利用该缺陷前没有修复时间。由此产生的攻击称为零日攻击。

虽然恶意软件常作为其他攻击向量（如社会工程或供应链入侵）的组成部分，也可被视为独立的攻击向量类别。根据《IBM X-Force 威胁情报指数》，2024 年勒索软件 在恶意软件案例中占比最高 (28%)。

其他恶意软件示例包括远程访问恶意软件（为黑客提供远程访问权限）、木马程序（伪装成有用程序的恶意程序）和间谍软件（收集敏感信息并发送给黑客的程序）。

专门窃取有价值信息的信息窃取型恶意软件已成为该领域日益增长的威胁。根据《X-Force 威胁情报指数》，每周通过钓鱼邮件传播的信息窃取程序数量激增 84%。

尽管黑客拥有众多数字工具，物理入侵仍是网络安全领域的实际威胁。例如，攻击者可伪造门禁卡、冒充供应商或跟随授权人员进入企业的安全区域（此行为称为“尾随进入”）。随后，他们能窃取笔记本电脑等设备、下载恶意软件，或在办公室散布载有恶意软件的 U 盘（诱使好奇的员工插入驱动器并无意间上传恶意软件）。

根据 《IBM 2025 年数据泄露成本报告》， 物理窃取或安全问题平均每次事件给组织造成逾 400 万美元损失。

网络攻击通常包含两种或更多攻击向量。例如，攻击者可能利用网络钓鱼诱骗用户允许勒索软件下载至其计算机。随后，攻击者可能威胁若受害者不支付所要求 的赎金，将发动 DDoS 攻击。或者，他们可能利用供应商系统中的漏洞访问其客户系统（即供应链入侵攻击），并向这些系统注入恶意代码以扫描凭证 ，供 黑客后续窃取数据。

另一种向量分类方式是将它们划分为被动与主动两类。

网络犯罪分子使用被动攻击向量在不改变系统的情况下获取信息。缺乏加密的  Wi-Fi 网络即是被动攻击向量的一个例子，这使其容易遭黑客窃听。

相比之下，黑客使用主动攻击向量来获取系统控制权、破坏系统或对其造成影响。主动攻击向量包括拒绝服务攻击和勒索软件攻击。

有时主动攻击向量与被动攻击向量的界定并不明确。例如，若网络钓鱼仅用于从目标获取信息而未改变目标系统，可被视为被动攻击向量。但诱骗受害者下载勒索软件至系统的网络钓鱼则可视为主动攻击向量。

尽管网络安全专业人员掌握多种工具和策略，攻击面管理 (ASM) 对于应对潜在攻击向量尤为重要。与其他网络安全领域不同，ASM 从黑客视角出发，评估系统可能吸引网络犯罪分子的可利用机会。

ASM 包含四个核心流程：