Bitdefender发布2020年企业威胁态势报告 – 作者:比特梵德中国-安全小百科

Bitdefender发布了2020年度企业威胁态势报告，总结性的披露了在2020年观测到全球范围的主要网络安全威胁和攻击方式。

此报告是基于Bitdefender 5亿用户，全球最大的云安全情报网络，对全球威胁活动和态势的深度洞察。

信息安全专业人员可基于此报告，提前计划2021年的网络安全战略。

阅读本文，您将了解：

迈入2021年时需要掌握的关键知识，以适应您的安全策略
了解勒索病毒，网络钓鱼，漏洞和IoT攻击在2020年如何演变
了解是什么触发了APT即服务的意外兴起以及APT攻击的重大变化
了解在2020年的攻击中观察到的顶尖MITER技术以及为何如此有意义

Bitdefender安全遥测大数据发现：

93.10％的人为风险因素是由于员工使用旧密码
87.31％的错误配置都涉及启用WinRM服务
46.84％的网络级别攻击涉及SMB漏洞
2020年上半年，家庭中可疑物联网事件增加46％
在冠状病毒邮件中，40%的邮件是欺诈，网络钓鱼或包含恶意软件
在所有报告的未修补漏洞中，有63.63％的 CVE 早于2018年（含）
42.52％的无文件攻击使用PowerShell

安全新常态和趋势

冠状病毒大流行迫使IT和安全专业人士做出重大改变，以适应员工的全职远程工作能力，同时草拟新的安全程序和策略以限制公司的攻击面。

这种大流行导致公司的基础架构被重新设计并支持无限的远程工作，但是对策略和配置进行的通宵更改可能会打开新的攻击媒介，攻击者可以长期使用。

尽管某些组织的表现要好于其他组织，但这并不能改变以下事实：72％的CIO和CISO认为网络安全需要更多样化的技能。网络战争对组织构成威胁，有71％的安全专业人员认为这可能对组织构成威胁，由于担心成为网络战争事件的潜在附带受害者而导致的这种恐惧状态，使安全专业人员无法入眠，但是，仍有27％的组织没有适当的策略来防止这种情况发生。

错误配置和风险

根据统计，2019年遏制一次数据泄露的平均时间为206天，到2021年，时间可能会显着增加，这是由于配置失误所致，或者是由于缺乏可视化工具而导致的错误配置，或由于缺少可视化工具而导致的错误配置，这些工具无法识别由新的基础架构重新配置引起的新的潜在盲点。

实际上，根据Bitdefender企业安全遥测大数据，发现在企业端点上发现的最多的错误配置是涉及启用WinRM服务（占87.31％）。远程管理服务使IT和安全团队可以远程管理端点并在员工计算机上运行各种脚本。这在自动化任务和策略时特别有用，但是如果服务配置错误，它也可能被攻击者滥用。

再加上员工离场并可能通过不安全的网络甚至是不受管理的系统连接到公司基础结构带来的人为风险因素，这给安全团队增加了额外的压力，需要重新设计安全策略和基础结构以适应新的常态。此外，根据Bitdefender企业遥测，员工使用旧密码（93.10％）是最大的人为风险之一。

来自物联网的威胁

虽然同一调查指出，有75％的CIO和CISO认为更频繁地使用IoT设备增加了组织对如何保护它们的安全知识，但20％的CIO和CISO认为IoT设备的威胁传播速度将比他们想象的更快。

尽管组织在过去几年中在集成物联网方面获得了一些经验，甚至已经对其内部安全策略进行了调整以适应它们，但设备的不断扩散却很少涉及安全标准或框架。仍然会引起严重的问题。

企业风险

Bitdefender的诱骗网络旨在通过在Internet上设置和公开易受攻击的应用程序和服务来观察物联网的这些攻击趋势，以了解攻击者的行为和如何入侵这些类型的设备。

结果，我们的诱骗网络平均每15分钟记录150万次命中，这表明攻击者会自动执行对易受攻击的互联网连接设备的大部分扫描操作。每隔24小时，网络犯罪分子就会在我们的诱骗网络中打开850万以上的网络会话。这表明，许多攻击都围绕操纵会话ID和cookie进行，一直到对公开的Web服务执行目录遍历攻击。

Bitdefender的诱骗网络技术每24小时报告近8000个SSH会话和4500个Telnet会话，每小时收集大约200个文件，这些文件通常被黑客和攻击者丢弃。除了恶意软件外，这些文件还包括工具，脚本，甚至是旨在完全破坏设备或在基础结构中横向移动的漏洞利用程序。

所有这些遥测都有助于进一步增强CIO和CISO的信念，即物联网的普及已经超过了旨在保护它们的安全标准和实践。无论这些IoT是放置在家庭网络还是公司网络中，它们的许多功能，使用的服务和通信协议都是相似的，这意味着无论它们连接到哪个网络，大多数都面临相同的风险。

远程员工风险

就家庭用户而言，根据Bitdefender遥测，家庭中所有传统的互联网连接设备中有61.56％由智能手机，计算机，平板电脑，笔记本电脑，监控和路由器组成，而物联网占了其余部分。在非传统的物联网设备中，一些最奇特的与互联网连接的设备示例包括智能灯泡，智能吸尘器，空气净化器，空调，冰箱，太阳能电池板，baby监视器，烹饪机器人，运动传感器等。

有趣的是，最近的调查显示，家用/商用路由器在一年多的时间内没有更新过，充满了数百个漏洞，并且正在运行古老的OS和EOL Linux内核。

Bitdefender研究人员调查了一个实例，在该实例中，对家用路由器的特定攻击导致攻击者更改DNS设置并将受害者重定向到提供恶意软件服务的网站。虽然此策略当时被用来说服受害者下载并安装以冠状病毒为主题的恶意软件，但它也可能危及远程员工，因为同一攻击可能会将他们重定向到旨在收集公司凭据和数据的钓鱼网站。

因此，成功危害家用路由器可能不仅危害远程员工数据，而且还危害公司。

漏洞

漏洞仍然是组织面临的最大挑战之一。根据2019年60％的被入侵受害者的说法，未修补的漏洞是组织遭到入侵的主要原因之一，而对这些未修补的漏洞缺乏可见性通常会导致数据泄露或感染勒索病毒。根据同一项调查，有62％的组织直到漏洞泄露后才知道自己是易受攻击的，还有52％的组织采用手动修补程序而不是自动修补程序。

Bitdefender的企业遥测表明，在2020年上半年报告的所有未修补漏洞中，有63.63％涉及早于2018年（含）的CVE。这意味着，尽管2020年上半年报告的所有未修补漏洞中有36.37％涉及2019年报告的CVE，但绝大多数组织仍具有在2002年至2018年之间发现的未修补漏洞。

在2019年报告的漏洞中，有88.39％涉及Mozilla应用程序中未修补的漏洞，Microsoft产品和服务中涉及7.91％。

大多数企业环境通常都会部署各种Microsoft和Mozilla版本，这说明了为什么攻击者可能将重点放在这些特定的供应商上，但是Bitdefender的企业遥测还发现了Oracle Virtual Box（1.77％），VLC Media Player（1.11％），甚至Notepad ++（0.24％）。

但是，如果这些应用程序在大多数公司中平均分布，我们还发现了通常涉及资产管理，身份管理（IAM）平台甚至IT常用的流行压缩软件和网络分析工具的特定企业级软件的未修补漏洞。从HPE智能管理中心（IMC），PuTTY，QUEMU和Squid到Atlassian，Extenua SilverSHielD，Wireshark和MongoDB等等。

根据Bitdefender企业安全遥测，这些只是少数具有未修补漏洞的受欢迎的商业流行应用程序。尽管与Mozilla或Microsoft相比，据报道利用这些企业级解决方案中未修补漏洞的尝试次数相对较少，但确实表明，攻击者也可能对专门破坏特定商业软件感兴趣。

例如，在2020年5月期间，Mozilla产品中报告最多的未修复2019高严重性漏洞是CVE-2019-1174619。此特定漏洞可能在类似浏览器的上下文中被利用，并且涉及操纵可能导致可利用的崩溃的视频元素。

在同一时间段内，Microsoft产品中报告最多的未修复2019高严重性漏洞是CVE-2019-054120。该漏洞影响从Microsoft Office到Internet Explorer以及Office 365 ProPlus的各种各样的Microsoft产品，如果用户使用管理用户权限登录，则该漏洞可能允许攻击者控制受影响的系统。

来自Bitdefender补丁管理技术的遥测表明，企业在积极及时地为操作系统和应用程序部署补丁以及安全更新时仍面临挑战。无论是由于向后兼容性问题，还是由于无法为其现有基础架构安排和执行兼容性测试，未修补的漏洞都可能增加数据泄露的风险，尤其是在员工不再位于企业后端，而是在“在家办公”场景中，没有强大的安全硬件设备，防止网络层的攻击。

由于组织的大部分员工都在远程工作，因此设置和部署修补策略从未像现在这样至关重要。在60%的组织中，其未修补漏洞的计算机早于2018年，攻击者利用这些漏洞的风险比以往任何时候都要高。在所有员工计算机上推出的一致且修补的策略可以显着降低组织因未修补的应用程序而遭受数据泄露的风险。

冠状病毒主题的威胁

主题威胁概述

从3月7日开始，在七个星期的时间范围内，以Bitdefender冠状病毒为主题的遥测表明，攻击者已将冠状病毒也变成本地大流行的国家作为目标。西班牙，英国，意大利和德国等国家似乎受到了生物威胁和主题恶意软件的重创。

冠状病毒大流行似乎已成为攻击者扩大其活动并迅速建立机会主义垃圾邮件，欺诈和恶意软件活动的催化剂，目的是诱骗受害者破坏其系统。

上面的热点图揭示的是，攻击者立即就有关特定国家大流行趋势的本地新闻和报道及时了解最新信息，从而微调其信息以利用爆发所引起的恐惧和恐慌。

传统上，大多数垃圾邮件，网络钓鱼和欺诈性电子邮件都是设计为具有简单构造的邮件，其主要目的是诱骗受害者打开受污染的附件或链接。但是，随着消息的精心构造和措辞，所有这些都发生了变化，从而使消息看起来可信，合法且具有高度重要性。

以冠状病毒为主题的威胁和信息更加着眼于社会工程学部分并树立信誉，针对各行各业的公司，以大流行引起的信息普遍匮乏为前提。

网络钓鱼和鱼叉式钓鱼攻击

就远程工作而言，对员工而言最大的挑战之一可能是网络钓鱼和鱼叉式钓鱼邮件。在大流行之前，从同事那里收到的任何可疑电子邮件都可以很容易识别，你可以去他们的办公桌并要求确认。远程工作让很多员工忘记了这一点，这可能使企业面临比以往更多的商业电子邮件诈骗攻击。

事实证明，冠状病毒主题的垃圾邮件在2020年上半年激增。Bitdefender遥测显示，40%的冠状病毒为主题的电子邮件被归类为垃圾邮件，网络钓鱼或恶意软件。远程员工和普通用户一直面临着打开受污染电子邮件的风险，这些电子邮件或URL中嵌入的威胁可能会影响到企业的基础架构，这些威胁可能会升级并增加组织的风险因素。

网络犯罪分子也在充分利用电子邮件诈骗。大多数诈骗邮件似乎简短，个人化，并且总是被用语表达为受害者需要迅速采取行动或需要同事的帮助。

其他人本质上则更为通用，倾向于模仿内部IT团队或内部使用的平台。最终目标是诱使员工要么回复电子邮件并与攻击者进行实时对话，要么通过下载恶意软件或在攻击者控制的网站上搜集身份验证凭据来入侵端点。

据FBI称，商业电子邮件欺诈在整个网络钓鱼计划中扮演着利基角色，但据估计是最具破坏性的，2019年每起投诉的损失平均估计近750万美元，2019年总计17亿美元。由于大流行是2020年的全球现象，因此商业电子邮件诈骗的财务损失可能将远远超过2019年的损失。

高级攻击的重大转变

攻击战术和技术

在讨论网络风险时，沟通是关键。55％的CIO和CISO认为，如果他们想增加投资，就需要做出重大改变。MITRE ATT&CK 技术框架已成为所有组织映射其安全事件的安全标准。因为它提供了攻击者在整个攻击过程中常用的策略和技术的详尽列表，所以它可以帮助从安全攻击的初始点确定安全事件，一直到横向移动，持久化和数据泄露。

映射到此框架的安全事件报告已成为新规范，因为它允许安全专业人员在描述安全事件时使用相同的语言。但是，通常，映射所有这些策略所需的大多数功能通常都捆绑在安全供应商的EDR端点检测和响应解决方案中，从而使调查和安全团队能够全面了解导致违规的事件，以及之后的情况。

对攻击链进行有意义的覆盖是组织的最终目标，因为它可以帮助组织了解什么是盲点以及如何解决它们，并透视整个攻击链，在攻击到达之前进行阻止来增强其安全状态为最终目标。各组织都致力于最大程度地降低风险，而MITER框架可以为您提供帮助。

2020年热门的MITER ATT＆CK技术和子技术

Bitdefender的企业遥测技术用于识别最复杂的黑客使用的最常用的攻击策略和技术，数据表明网络钓鱼仍然是报告的初始访问最常见的策略之一。

在执行阶段，最常用的一种策略被MITER ATT＆CK®企业版矩阵称为“命令和脚本解释器”（T1059），占Bitdefender遥测报告的所有策略的21.37％。此策略最流行的子技术之一（T1059.001）围绕使用PowerShell命令和脚本，占报告的T1059子技术总数的42.52％。这是攻击者常用的策略，因为PowerShell可以用于自动执行任务，并且存在于受害者的计算机上。此外，无需使用“ powershell.exe”二进制文件即可执行PowerShell命令和脚本，只需使用通过Windows公共语言接口（CLI）公开的基础组件接口即可执行Powershell脚本。

就持久化策略而言，使用最广泛的技术之一是T1546-事件触发的执行，它负责绘制各种系统事件，这些事件可能表明攻击者试图篡改系统注册表或行为，从而使他们可以在机器上获得持久化。例如，就事件触发执行而言，Bitdefender企业遥测报告的最常遇到的子技术是T1546.001-更改默认文件关联，它占T1546所有已报告子技术的31.54％。这对于攻击者特别有用，因为它允许攻击者更改与文件关联相关的注册表，然后执行设置为这些Shell键的子键的命令。更改默认程序关联可以使攻击者诱骗OS执行命令或打开受污染的文档。

提升特权技术也是攻击者用来获取受害者机器或基础结构更高级别权限的攻击链的一部分，其中一项被报道的技术是T1134-访问令牌操纵。但是，最多报告的子技术之一涉及T1134.002-使用令牌创建进程。攻击者通常为具有管理特权的用户复制访问令牌，并使用它来创建在模拟用户的安全上下文下运行的新进程。通过限制对用户和用户组的权限，使他们无法创建访问令牌，以及审核涉及特权提升的命令的命令行活动，可以轻松缓解这种攻击技术。

Bitdefender的企业遥测防御规避技术的一部分，发现T1562-Impair Defenses技术似乎是最常用的战术。就子技术而言，T1562.006- Indicator Blocking似乎是攻击者特别感兴趣的问题，它涉及禁用负责收集和分析数据的各种安全传感器。

凭据访问技术也非常流行，因为攻击者经常尝试获取不安全存储的凭据。但是，报告最多的子技术之一涉及T1552.002-注册表中的凭据，占T1552-不安全凭据的所有已报告子技术的20.27％。这表明攻击者使用凭据伪造者搜索注册表项，或者专门查询属于流行的SSH和telnet客户端的注册表项，以便找到他们可以使用的不安全存储的凭据。众所周知，两个APT组都采用这种机制，还使用了各种木马，例如TrickBot木马。

攻击链的发现部分在侦察过程中也至关重要，因为它可以使攻击者识别潜在的高价值目标，例如管理员帐户。据报道，Bitdefender企业遥测技术发现的一项发现技术涉及T1087-帐户发现技术。但是，报告最多的子技术，即报告的“帐户发现”子技术总数的66.58％，涉及T1087.002-域帐户。

这表明，攻击者最有兴趣列出域中的用户帐户，从而可能找到具有管理权限的用户帐户。此技术的简单缓解方法是设置一个策略，以防止枚举管理员帐户。

横向移动技术是另一件值得担心的事情，因为攻击者经常尝试使用SSH或VNC服务来探查被入侵的网络，寻找其他有价值的目标。但是，就子技术而言，T1021.002-SMB / Windows 管理共享似乎是T1021-远程服务技术中被报道最多的，这表明攻击者正在尝试使用服务器消息块与远程网络共享进行交互（ SMB）。这些SMB共享有时对于复杂的攻击者非常有用，因为它们可用于文件存储和渗透。

就命令和控制技术而言，T1071-应用层协议似乎是Bitdefender企业遥测报告最多的，其中有两个特定的子技术，即T1071.002-文件传输协议和T1071.003-邮件协议。最受欢迎。这意味着攻击者可以通过文件传输协议（例如FTP，FTPS和TFPT）或通过电子邮件协议（例如SMTP/S，POP3/S和IMAP）与命令和控制基础结构进行持续通信。这些是组织内部非常常见的通信协议，通常会绕过旨在标记可疑通信协议的安全解决方案的监控。

在影响（攻击链的最后阶段）方面，最常报告的技术之一是T1565-数据操纵。但是，T1565.003-运行时数据操作子技术占所有报告的数据操作子技术的72.91％。这意味着攻击者经常尝试操纵数据以引起运行时操纵或修改特定应用程序的输出。

APT攻击即服务的兴起

在2020年上半年，Bitdefender研究人员调查了一系列APT和攻击。传统上，APT组织是由国家赞助或严格财务驱动的业务，通常根据某些政治议程或后续行动针对政府实体或金融机构。

2020年初的一项调查显示，伊朗的一个APT小组Chafer26袭击了科威特和沙特的航空运输机构和政府机构。该小组采用的一些攻击策略和技术在APT中并不罕见，从使用鱼叉式网络作为初始攻击媒介，到建立自己的持久性用户帐户，甚至通过有时使用定制工具进行横向移动。Chafer APT组的一个特别有趣的方面是，这两种攻击都可能集中于数据泄露，并且攻击者的活动在周末发生。

后来对另一个名为BitterAPT27的APT小组进行的调查也发现了该小组有一些政治上的证据。根据安全研究人员过去揭示的目标区域和受害者的个人资料，已知BitterAPT的目标是巴基斯坦，中国，印度，南亚其他国家和沙特的受害者。

当Bitdefender研究人员调查一个名为StrongPity28的APT小组时，可能是APT小组行为中最有趣的组织，该小组使用水坑攻击策略选择性地感染受害者，APT攻击配合了土耳其的军事行动。StrongPity APT小组使用的高级策略，工具和基础结构表明，它既有能力，也有可能由国家赞助。然而，自2016年首次报道以来，该组织一直在隐蔽运作。

在Bitdefender研究人员进行的最新调查中，我们成功了解了APT小组的发展情况。就像传统的恶意软件已经发展成为一种即服务的商业模式一样，勒索病毒已经遵循同样的趋势，APT攻击似乎也做出了同样的改变。

针对一家国际建筑和视频制作公司的网络间谍攻击表明，APT团体可能不再受政治因素的驱使，而是可以向出价最高的人提供服务。调查的主要发现之一是，针对建筑公司的初始攻击媒介是该公司使用的3D计算机图形软件Autodesk 3ds Max，其中存中零日漏洞。

众所周知，这家建筑公司一直与纽约，伦敦，澳大利亚和阿曼的数十亿美元房地产项目合作。根据APT小组采用的战术和技术来攻击目标，该小组很可能是潜在的APT雇佣军组织，进行工业网络间谍活动。

工业间谍活动并不是什么新鲜事物，而由于房地产行业竞争激烈，合同价值数十亿美元，因此赢得豪华项目合同的吸引力太大。在某些人看来，这可能有理由转向雇佣军APT组织以获得谈判优势。

网络级别的攻击

企业基础架构与应用程序和网络有关。如果应用程序和操作系统中未修补的漏洞可能使计算机暴露于各种恶意软件和网络罪犯中，则基于网络的威胁可能使攻击者能够探测和映射您的基础架构并破坏高价值数据。

例如，在过去的几年中，勒索病毒运营商已将其攻击方式从散弹式攻击转移到更具针对性的方法，在这种方法中，他们通过传统的攻击媒介（如鱼叉式攻击）攻击了受害者。滥用远程桌面协议，利用SMB协议中未修补的漏洞，甚至对FTP或RDP会话使用暴力破解凭据，成为破坏企业环境的最常见攻击策略。

Bitdefender的网络攻击防护技术发现，在所有网络级攻击中，有46.84％涉及利用SMB协议中的漏洞。其中，DoublePulsar漏洞占SMB漏洞的90.74％。虽然这可能表明某些组织可能仍然容易受到该漏洞利用，但DoubelPulsar也可能已成为网络罪犯的首选工具，这些罪犯在寻找网络漏洞时希望在基础设施之间横向移动。

如EternalBlue，EternalDarkness，EternalChampion甚至EternalRomance之类的SMB漏洞是用于危害企业网络的顶级SMB漏洞之一。但是，很可能它们都捆绑在各种网络利用工具包中，并以级联方式使用，直到有人设法破坏未打补丁的系统。

同样的遥测也显示，对RDP和FTP服务的暴力攻击占企业基础架构中所有网络级攻击的41.63％。成功获得对这些服务的访问权意味着攻击者可以远程控制企业机器和端点，甚至可以访问通常存储敏感数据的内部FTP共享。但是，如果我们查看企业当前的威胁状况，则对这些威胁的许多攻击服务涉及勒索病毒运营商，它们试图在组织内站稳脚跟，寻找有价值的数据，然后使用自定义payload和手动部署高昂赎金的勒索病毒。

结论-中小企业面临新的威胁

APT雇佣兵可能会改变中小型企业对威胁的认知，APT雇佣兵已经完全商业化运作。商业化意味着任何公司，无论其规模或规模如何，都可能面临复杂攻击。

中小型公司应该不仅仅部署反恶意软件，还应当扩展其安全堆栈，同时还要在端点和网络层都使用可见性工具。例如，EDR/XDR端点检测和响应工具，可以轻松地标记潜在的入侵者。

此外，可以通过寻求MDR来解决缺乏安全人员不足的问题，Bitdefender安全运营团队可以评估公司的基础结构并提出安全和强化工具，并可以充当专门的安全狩猎团队来对可疑事件进行威胁狩猎。EDR和MDR都已为中小型公司所用，它们提供了仅大型组织通常可以承受的，类似于SOC的安全性，但成本却很低。

传统威胁的演变

随着企业威胁状况不断发展，组织应定期投资于安全技术并建立新的检测和缓解风险策略。

Bitdefender的企业遥测表明，传统威胁（例如勒索病毒，挖矿病毒，无文件恶意软件，流氓软件仍然对组织构成威胁。

勒索病毒市场分散到各个由勒索病毒运营商提供的勒索即服务家族中，勒索软件的最新发展之一是盗窃数据。入侵后，勒索软件运营商通常会在部署勒索软件之前查找并盗窃公司的敏感数据。如果公司拒绝付款，勒索软件运营商就会威胁要公开被盗的数据，从而迫使该公司被GDPR的罚款，而GDPR罚款的金额可能高于所要求的勒索赎金。

从我们的企业遥测来看，从2020年4月开始，全球勒索软件报告的数量似乎有所下降，但在家办公的情况可能会为网络犯罪分子创造新的机会。

Bitdefender的企业遥测产生的全球挖矿病毒报告还表明，挖矿病毒仍然是网络犯罪分子正在研究的东西。通过成功破坏组织的系统后利用组织的云计算能力，或通过污染各种应用程序来运行挖矿软件，威胁仍然存在于企业环境中。尽管大多挖矿病毒的报告都发生在2020年的前三个月，但后三个月仍然占2020年上半年所有检测到的38.91％。

Bitdefender企业遥测报告中的全球无文件恶意软件报告还显示，攻击者仍在利用隐蔽的工具来破坏企业环境。通过欺骗员工运行受污染的附件或利用未修补的漏洞运行无文件恶意软件，企业仍然需要检测和阻止这些威胁的技术和策略。

如果放宽员工的安全策略，从而允许用户安装和使用未经IT和安全团队认可的软件，则可能会在企业环境中出现流氓软件PUA。虽然PUA并不是恶意软件那样的恶意软件，但它们可以安装其他组件，它可能允许攻击者植入后门，或者通过显示广告和弹出窗口并给整体用户带来糟糕的用户体验。我们的企业遥测表明，2020年上半年的PUA报告仅在3月达到顶峰（占2020年上半年PUA报告总数的18.22％），并且保持相对稳定的状态。

2020年度总结

企业威胁格局已经演变到所有组织，无论规模大小或行业，都面临着相同的威胁。最近的全球大流行已经推动了以商业邮件诈骗的新一波潮流，迫使公司必须更新其培训和意识计划。

现在，新常态包括远程工作的员工，这意味着为攻击者扩大了攻击面，以前这些端点被公司的网络安全硬件设备保护，现在不在公司网络范围内。操作系统和第三方软件漏洞，配置错误和整体网络安全技能短缺使公司面临新的挑战和风险，而大多数公司甚至在12个月前都没有想到过这些挑战和风险。

APT雇用黑客改变了中小型企业的威胁格局，APT这种过去针对高价值目标的高成本低频次攻击，门槛大幅降低，正呈现泛滥趋势，很多过去没有将APT纳入威胁模型的用户，例如中小企业，如今也正成为APT攻击的目标。这意味着大量企业和机构都应当根据APT的最新发展趋势重新修订其威胁模型。

Bitdefender建议，中小型企业和大型企业，都应当考虑将现有的端点保护EPP，升级到EDR或XDR安全解决方案，EDR 端点检测和响应工具可帮助企业高效应对复杂攻击的所有阶段：