Rapid7访问中介报告：新研究揭示访问中介交易中的妥协深度，71%的交易提供特权访问

初始访问经纪人出售的不仅仅是一种进入方式；Rapid7 呼吁统一的检测、情报和自动化，以便尽早阻止这些网络攻击

波士顿，2025年8月12日（环球新闻社）——威胁检测和暴露管理领域的领导者Rapid7公司（纳斯达克股票代码：RPD）今日发布了其《2025年访问经纪人报告》 ，这是一份针对网络犯罪分子买卖企业网络访问权的非法地下市场的最新研究分析报告。该报告基于暗网论坛Exploit、XSS和BreachForums六个月来的威胁情报，揭示了受感染企业初始访问权的出售方式（通常价格不到1,000美元），以及防御者在早期阶段可以采取哪些措施来阻止这一过程。

Rapid7 的威胁情报研究人员分析了数百条由初始访问代理 (IAB) 发布的帖子，这些帖子提供了对各行各业和地区受感染网络的访问权限。他们的发现揭示了一个严峻的现实：“初始”访问权限并不一定等同于最低限度的访问权限；在许多情况下，这种访问权限代表着深度入侵。

Rapid7 高级副总裁兼首席科学家 Raj Samani 表示：“这份报告显示，最初的访问经纪人并非只想找到一条进入组织网络的单一途径，然后迅速撤离——他们正在尝试探索已渗透的网络。而且他们经常会成功。” “通过这样做，IAB 可以为买家提供管理员权限、多种访问类型，或两者兼而有之。当威胁行为者使用从经纪人那里购买的访问权限和特权凭证登录时，很多繁重的工作已经为他们完成了。因此，问题不在于您是否暴露，而在于您是否能在入侵升级之前做出响应。”

报告的主要发现包括：

• 绝大多数访问代理销售（ 71.4% ）提供的不仅仅是特定的访问向量；它们还包括一定程度的特权——在近 10% 的销售中，它是包含多个初始访问向量和/或特权的捆绑包。
• 平均售价徘徊在 2,700 美元以上，其中近 40% 的售价在 500 至 1,000 美元之间。
• VPN、域用户和 RDP是最常见的访问类型——与 Rapid7 的事件响应调查中发现的弱点完全相同。
  

《访问代理报告》的发布正值安全团队努力应对警报疲劳、资源匮乏以及攻击者日益精妙的攻击手段之际。该报告印证了 Rapid7 日益增长的证据，即暴露管理和威胁检测必须协同运作，而非孤立处理。

这一愿景支撑了公司近期推出的“事件指挥部” （Incident Command）。这是一款人工智能原生的安全信息与事件管理 (SIEM) 系统，将预防、检测、情报和响应整合到一个工作流程中。通过与“情报中心”（Intelligence Hub）的无缝集成，事件指挥部让安全团队能够直接访问与本报告相同的精选威胁洞察——这些洞察现已嵌入到检测逻辑和调查工作流程中。

除了深入的论坛分析之外，该报告还概述了组织可以采取的具体步骤，以加强防御并减少攻击者的停留时间：

• 强制执行 MFA — 尤其是在 VPN、RDP 和访问关键基础设施的用户帐户上。
• 投资威胁知情检测和响应——包括将访问信号与可疑活动相关联的统一平台。
• 定期进行红队演习，以识别暴露路径，例如废弃账户、默认凭据和外部可访问的 RDP 服务。
  

这项研究强化了 Rapid7 的立场：威胁检测和暴露管理必须快速、统一且上下文丰富。正如该公司在 2025 年Frost Radar for MDR中所强调的那样，将威胁情报、资产上下文和自动化付诸实践不仅仅是一种最佳实践，而是一项要求。

最初的访问代理及其使用的论坛早已受到威胁情报团队的分析。尽管执法部门仍在持续开展行动和打击行动，但访问代理仍然是全球组织持续面临的威胁。

要阅读报告的完整副本，请访问https://www.rapid7.com/lp/initial-access-brokers-report/ 。

关于 Rapid7
Rapid7, Inc. (NASDAQ: RPD) 致力于通过简化网络安全流程、提升易用性，创造更安全的数字世界。我们凭借一流的技术、前沿研究和广泛的战略专业知识，赋能安全专业人员管理现代攻击面。Rapid7 的全面安全解决方案帮助全球超过 11,000 家客户将云风险管理与威胁检测和响应相结合，以减少攻击面并快速精准地消除威胁。欲了解更多信息，请访问我们的网站、 博客或在LinkedIn或X上关注我们。

Rapid7媒体关系
斯泰西·霍勒兰
全球传播高级经理
press@rapid7.com
(857) 216-7804

Rapid7 投资者联系方式
瑞安·加德拉 / 瑞安·弗拉纳根
ICR公司
investors@rapid7.com
(617) 865-4277