BHIS 渗透测试数据：2025年组织仍受相同顶级漏洞困扰

BHIS 渗透测试数据：2025年组织仍受相同顶级漏洞困扰

执行摘要

Black Hills Information Security (BHIS) 发布了其“为什么你被黑了——2025超级版”分析，涵盖了截至2025年9月收集的渗透测试数据。这些发现与BHIS 2022年和2023年之前的分析惊人地一致：同样的少数安全失败——弱密码、未修补的远程桌面协议（RDP）、配置错误的多因素认证（MFA）、过度的管理员权限和缺失的端点检测——继续主导着漏洞景观。攻击者和渗透测试人员年复一年都在利用这些系统性的弱点，无需新的攻击向量或零日漏洞。

技术分析

BHIS汇总了截至2025年9月结束的15个月内进行的内部和外部渗透测试的结果。按频率排列的前五项发现是：

1. 弱或默认凭证 —— 包括跨服务和账户重用的密码以及没有密码复杂性要求的账户。
2. 未修补的RDP暴露在互联网上 —— 系统可通过TCP/3389访问，未启用网络级认证（NLA）。
3. 配置错误的MFA —— 包括未对所有用户强制执行MFA，可通过旧版协议（例如，IMAP、POP3）绕过，或考虑到推送通知疲劳而配置。
4. 过度的本地管理员权限 —— 用户在工作站上以管理员权限运行，使得横向移动和权限提升成为可能。
5. 缺失的端点检测和响应（EDR） —— 系统缺乏EDR代理或代理未积极监控。

BHIS指出，这些发现与他们2022年和2023年的报告非常相似，表明尽管行业意识和工具有所增加，但组织的安全姿态并没有实质性的改善。报告将这种停滞归因于“安全债务”——由于运营压力或资源限制，组织未能修复累积的错误配置和未修补的系统。

缓解措施与建议

防御者应将上述五个类别作为基线安全检查表的优先事项。BHIS建议：

• 强制执行密码复杂性并在可行的情况下实施无密码认证（例如，FIDO2/WebAuthn）。
• 在面向互联网的系统上禁用RDP，或要求VPN + NLA进行远程访问。
• 审计MFA配置，确保覆盖所有认证方法并禁用旧版协议。
• 为用户账户实施最小权限模型，并从标准用户中移除本地管理员权限。
• 在所有端点部署和维护EDR，积极监控和警报常见的攻击模式。

由于漏洞基于配置和行为，而不是软件缺陷，因此没有引用特定的CVE或补丁。