行业现状与威胁分析 - 初始访问经纪人(IABs)在地下黑市以低于1000美元的价格出售企业网络访问权限，平均售价约为2700美元，近40%的报价在500-1000美元区间 [1][8] - 71.4%的访问销售不仅包含单一访问途径，还附带权限级别，近10%的交易捆绑了多种初始访问向量和/或权限 [8] - VPN、域用户和RDP是最常见的访问类型，这些薄弱环节与公司事件响应调查中发现的问题高度一致 [8] 攻击模式演变 - IABs不再满足于单点入侵，而是深度渗透网络并探索内部系统，为买家提供管理员权限或多重访问方式 [2][3] - 攻击者通过经纪人获取的凭证登录时，大部分入侵准备工作已完成，防御重点转向能否在入侵升级前响应 [3] 防御策略与技术方案 - 建议强制实施多因素认证(MFA)，特别是针对VPN、RDP及访问关键基础设施的账户 [9] - 需投资于威胁情报驱动的检测响应平台，将访问信号与可疑活动关联分析 [9] - 定期红队演练可识别暴露路径，如废弃账户、默认凭证和外部可访问的RDP服务 [9] 公司产品与行业主张 - 公司推出AI原生SIEM产品"Incident Command"，整合预防、检测、情报和响应于单一工作流，并内置支持本报告的威胁情报 [5] - 研究强调威胁检测与暴露管理需快速、统一且富含上下文，这一理念使其入选2025年Frost Radar MDR榜单 [6] - 公司认为安全团队需协同操作威胁情报、资产上下文和自动化，这已成为行业必要实践而非可选建议 [6] 研究基础与数据来源 - 报告基于对Exploit、XSS和BreachForums等暗网论坛6个月的威胁情报分析，涵盖多行业和地区案例 [1][2] - 研究团队分析了数百个IABs发布的网络访问销售帖文，揭示其攻击深度远超"初始"范畴 [2][3]

"With Incident Command, Rapid7 is marrying exposure management capabilities with threat detection and this is a differentiator in a crowded SIEM market," said Michelle Abraham, senior research director at IDC. "By bringing detection automation, internal and external attack surface visibility, threat intelligence, and AI automation into one platform, Rapid7 is offering security analysts a solution that reduces complexity, connects data, and streamlines investigations, which improves analyst workflows." To le ...