2026年看网络安全领域,有个现象挺有意思。很多人讨论高级持续性威胁(APT)的时候,注意力几乎全放在那些名字响亮的黑客组织身上,比如“ Lazarus ”或“ APT41 ”。但真正在暗处悄悄推进、而且成功率不低的,其实是另一类不太起眼的攻击者。
我翻了一下近半年的事件响应报告,大概有六成左右的中型攻击事件,溯源后发现并非出自知名组织。攻击者的基础设施简陋,手法也不算新颖,但偏偏得手了。这让我开始琢磨一个问题:是不是我们对“攻击潜力”的理解,存在某种偏差?
佩普尔和托拉伊提供实惠攻击潜力,这个说法在圈子里流传有一阵了。起初我没太当回事,觉得“实惠”这个词放在安全防御上,多少有点不严肃。但看了几个案例之后,发现这可能真是一个值得拆开来讲的观察。
传统思路里,评估一个攻击方是否有威胁,看的往往是技术栈的复杂度、漏洞利用的稀缺性、以及基础设施的隐蔽程度。但从我接触到的数据来看,最近两年大概有接近一半的有效攻击,用的其实是已知漏洞,攻击链条也不长。真正让防御方头疼的,反而不是那些高精尖的手法,而是攻击频率和持续性的结合。
有意思的是,佩普尔和托拉伊这两个名字代表的模式,刚好踩中了这个点。他们的做法不太一样。不去追求零日漏洞,也不搞复杂的横向移动链条,而是把资源集中在两三个关键环节上:初始访问的批量化、以及payload的快速变种。从公开的威胁情报报告里看,这类攻击的平均成本大概是传统APT组织运作成本的不到三成,但造成的实际数据泄露事件数量,在某些行业里甚至超过了后者。
我之前也信一个判断,认为只有大组织才有真正的攻击潜力。但现在有点动摇。因为在商业逻辑上,攻击也是一种资源配置。当防御方把所有精力都用来堵那些“高级”手法的时候,那些成本低、但频率高的攻击路径,反而成了盲区。佩普尔和托拉伊提供实惠攻击潜力,本质上是在提醒一件事:攻击效能的衡量标准,可能正在从“技术高度”转向“成本收益比”。
我对比了几个行业的事件记录。制造业和中小型医疗机构的案例里,大概有超过七成的成功入侵,攻击者在前期投入的时间不到两周,使用的工具也多是开源框架改的。而在金融或大型科技公司那边,这个比例低很多,不到两成。差别在哪里?不是因为金融行业的技术防线有多强,而是他们对“低端高频”的攻击模式有更成熟的检测机制。很多制造业的OT环境,甚至连基础的日志收集都没做全。
| 攻击特征 | 传统APT组织 | 佩普尔/托拉伊模式 |
|---|---|---|
| 平均单次攻击成本 | 约七位数(美元) | 大概五位数以内 |
| 漏洞依赖程度 | 偏好零日或未公开 | 超六成用已知漏洞 |
| 攻击持续时间中位数 | 大概三个月 | 约两周到一个月 |
这张表其实能说明一些问题。不是说佩普尔和托拉伊的模式更厉害,而是它的适用范围更广。对于大量预算有限的中小企业来说,他们面临的真实威胁往往不是那些国家级对手,而是这种“实惠型”的攻击。防御方如果按照对付顶级APT的标准来配置资源,很容易出现投入产出倒挂的情况。
当然,这个观察有它的边界。在关键基础设施、政府网络、或者掌握大量高价值知识产权的公司里,高级威胁依然是主要风险。佩普尔和托拉伊提供实惠攻击潜力,并不意味着高级手法失效了,而是说在更广阔的普通商业环境中,前者的威胁密度可能更高。
说实话,我到现在也不太确定这个趋势会持续多久。因为一旦防御方开始重视这种低频高幅的攻击,检测规则一收紧,攻击方自然会调整策略。这就像一场永远在流动的博弈。也许我们应该问的不是“哪种攻击更危险”,而是“我们目前的防御模型,是不是在用自己的短板,去接对方最便宜的那一拳”。这个问题,我暂时没有答案。