行业现状与威胁分析 - 初始访问经纪人(IABs)在地下黑市以低于1000美元的价格出售企业网络访问权限，平均售价约为2700美元，近40%的报价在500-1000美元区间 [1][8] - 71.4%的访问销售不仅包含单一访问途径，还附带权限级别，近10%的交易捆绑了多种初始访问向量和/或权限 [8] - VPN、域用户和RDP是最常见的访问类型，这些薄弱环节与公司事件响应调查中发现的问题高度一致 [8] 攻击模式演变 - IABs不再满足于单点入侵，而是深度渗透网络并探索内部系统，为买家提供管理员权限或多重访问方式 [2][3] - 攻击者通过经纪人获取的凭证登录时，大部分入侵准备工作已完成，防御重点转向能否在入侵升级前响应 [3] 防御策略与技术方案 - 建议强制实施多因素认证(MFA)，特别是针对VPN、RDP及访问关键基础设施的账户 [9] - 需投资于威胁情报驱动的检测响应平台，将访问信号与可疑活动关联分析 [9] - 定期红队演练可识别暴露路径，如废弃账户、默认凭证和外部可访问的RDP服务 [9] 公司产品与行业主张 - 公司推出AI原生SIEM产品"Incident Command"，整合预防、检测、情报和响应于单一工作流，并内置支持本报告的威胁情报 [5] - 研究强调威胁检测与暴露管理需快速、统一且富含上下文，这一理念使其入选2025年Frost Radar MDR榜单 [6] - 公司认为安全团队需协同操作威胁情报、资产上下文和自动化，这已成为行业必要实践而非可选建议 [6] 研究基础与数据来源 - 报告基于对Exploit、XSS和BreachForums等暗网论坛6个月的威胁情报分析，涵盖多行业和地区案例 [1][2] - 研究团队分析了数百个IABs发布的网络访问销售帖文，揭示其攻击深度远超"初始"范畴 [2][3]