Fortinet《2026 年全球威胁态势研究报告》基于 2025 年全球海量遥测数据指出，，攻击从孤立事件转为标准化、可复用的产业链运作，防御核心从 “封堵漏洞” 转向 “速度对抗”。

　　报告核心结论显示，网络犯罪已形成完整黑色产业链，漏洞、身份凭证、访问权限均成为可交易、可复用的 “生产资料”。暗网已完成全球目标暴露面自动化标记，46.2 亿条窃密日志、规模化企业访问权限被公开交易，RedLine、Lumma 等窃密木马成为凭证黑产核心工具，身份信息从攻击目标沦为攻击素材。

　　攻击全流程实现高度自动化：2025 年全球侦察达 6400 亿次、暴力破解 676.5 亿次、漏洞利用 1219.9 亿次（同比增 25%）。攻击者放弃无差别扫描，转向精准化、持续性侦察，重点锁定 SIP/VoIP、DNS、远程管理接口等高价值暴露面，暴力破解高度集中于 SMB、SSH、RDP 等凭证类服务。漏洞利用时间（TTE）从一周压缩至 24-48 小时，多个漏洞披露当天即遭大规模利用，防御修复窗口被急剧压缩。

　　武器化与执行呈现产业化特征：635 个活跃漏洞中超 53% 有公开 PoC、31% 具备可直接使用的攻击代码，漏洞被视为库存资产而非一次性事件。AI 攻击工具（如 FraudGPT、HexStrike AI）普及，降低攻击门槛、加速全流程效率。攻击执行以无文件、原生工具滥用为主，48.96% 可疑活动依托合法系统工具完成，规避传统安全检测。

　　后渗透与云安全风险加剧：全球检测到 71 亿次僵尸网络 C2 连接，攻击者通过持久化控制实现规模化驻留与横向移动，滥用 WinRM、WMIC 等合法工具快速扩张权限。云环境成为重灾区，身份盗用为首要入侵途径，攻击者通过 API 滥用、身份凭证窃取、配置错误实现快速接管，变现集中于 SES 滥用、资源劫持与加密挖矿。

　　攻击影响规模化爆发：2025 年全球勒索软件受害者达 7831 家（同比增 389%），制造业、商业服务、零售为重点目标，Qilin、Akira 等组织占据主要攻击份额。漏洞被跨威胁复用，20.47% 的漏洞同时用于勒索软件与 APT 攻击，43.15% 归属未知攻击者，单一漏洞可引发多重安全后果。

　　防御层面，传统单点防护失效，需转向持续威胁暴露管理（CTEM）与产业化防御体系。企业应优先管控暴露面、强化身份认证、缩短漏洞修复与信任撤销时效，依托跨域关联分析与 SOAR 自动化响应，实现机器速度级威胁遏制。同时，需联动全球执法与行业协作，摧毁网络犯罪基础设施，从源头削弱攻击生态。