AI浪潮下-體系化主動安全升維指南2024年度互聯(lián)網(wǎng)安全報告：AI浪潮下，體系化主動安全升維指南01第一章2024年網(wǎng)絡攻擊態(tài)勢41.3.弱口令安全事件占比高達34%,亟需引起重視72.1.DDoS攻擊態(tài)勢2.1.1.T級DDoS攻擊常態(tài)化，超過1T的攻擊次數(shù)增長驚人2.1.3.來源于東南亞區(qū)域的DDoS攻擊顯著增長82.2.Web漏洞利用態(tài)勢與威脅演化2.2.1.AI應用漏洞攻擊數(shù)量激增2.3.Bot攻擊態(tài)勢2.3.3.Al大模型爬蟲對企業(yè)業(yè)務的鏈式?jīng)_擊2.4.2.安全漏洞導致的數(shù)據(jù)風險攀升134.1.資源占用型攻擊仍占主旋律4.2.弱口令問題依然是頭號風險4.3.超80%入侵事件應用持久化技術164.4.超96%安全事件使用防御繞過技術162024年度互聯(lián)網(wǎng)安全報告：AI浪潮下，體系化主動安全升維指南025.AI基礎設施威脅態(tài)勢5.1.Al浪潮下的網(wǎng)絡風險升級5.3.Al技術不當利用風險第二章安全技術變革：AI驅(qū)動防御策略升級20 2.2.數(shù)據(jù)泄露縱深防御：多場景匹配平衡安全和體驗4.AI基礎設施安全策略第三章安全策略：Al+體系化主動安全的升維271.2.智能驅(qū)動的動態(tài)風險管理體系2.3.借助Al+安全運營托管，實現(xiàn)“主動免疫”333.2.分區(qū)分域構建大模型安全縱深防御體系 引言2024年，隨著企業(yè)數(shù)字化轉(zhuǎn)型深入、組織和技術環(huán)境持續(xù)變化，特別是生成式AI技術的規(guī)?；瘧?，導致暴露面與漏洞數(shù)量持續(xù)攀升，網(wǎng)絡安全形勢愈發(fā)嚴峻復雜。2024年，網(wǎng)絡攻擊規(guī)模持續(xù)擴大，攻擊手段更加專業(yè)化。防守者也與時俱進，變得更加主動與體系化，攻防對抗強度持續(xù)增加。生成式AI技術快速發(fā)展在網(wǎng)絡安全領域呈現(xiàn)出顯著的“雙刃劍”效應。生成式AI在促進各行業(yè)發(fā)展的同時，也顯著擴增了企業(yè)與組織的攻擊面，圍繞大模型技術及業(yè)務特點的新型攻擊模式開始涌現(xiàn)。攻防雙方都在加快生成式AI技術引入，試圖讓網(wǎng)絡攻擊和防御變得更加智能化與自動化，網(wǎng)絡攻防對抗形態(tài)與模式正快速轉(zhuǎn)變。在此背景下，網(wǎng)宿安全旨在通過本期研究，分析總結過去一年中的網(wǎng)絡空間威脅態(tài)勢，探索網(wǎng)絡攻擊手段演進與防御技術的變革，并探討如何用“體系化主動安全”理念，為Al時代網(wǎng)絡安全體系建設提供可落地的安全新范式，供行業(yè)發(fā)展參考。報告基于網(wǎng)宿安全平臺2024全年產(chǎn)生的攻防數(shù)據(jù)，包括金融、政務、制造等數(shù)十個行業(yè)，進行脫敏和分析，并結合對全球網(wǎng)絡安全事件、攻防技術動態(tài)等宏觀形勢的觀察得出。報告由網(wǎng)宿安全演武實驗室主導編撰。演武實驗室擁有30多位攻防研究專家，聚焦于Web安全、零信任、辦公安全、主機安全等領域研究與實踐，在網(wǎng)絡攻防、應急取證、安全運營等方面具備深厚的經(jīng)驗沉淀。同時，網(wǎng)宿安全基于全球化安全平臺的數(shù)據(jù)構建了具有大網(wǎng)視角的威脅情報系統(tǒng)，為攻防態(tài)勢研究提供全景式支撐。演武實驗室諸多研究成果已應用于網(wǎng)宿全站防護(WAAP)、Securelink(SASE、零信任)等產(chǎn)品服務，同時作為CNCERT (國家互聯(lián)網(wǎng)應急中心)、CNNVD(中國國家信息安全漏洞庫)多年支撐單位，在國家網(wǎng)絡安全保障工作也發(fā)揮了積極作用。本報告旨在為行業(yè)提供鏡鑒，與各方共同守護數(shù)字時代的產(chǎn)業(yè)繁榮和國家安全。我們期待與從業(yè)者共同完善防御方案，在持續(xù)升級的網(wǎng)絡對抗中構建更穩(wěn)固的安全體系。2024年度互聯(lián)網(wǎng)安全報告：2024年度互聯(lián)網(wǎng)安全報告：AI浪潮下，體系化主動安全升維指南第一章2024年網(wǎng)絡攻擊態(tài)勢網(wǎng)宿安全演武實驗室研究發(fā)現(xiàn)，2024年隨著AI等新興技術的快速發(fā)展，網(wǎng)絡攻擊早已突破傳統(tǒng)的單點滲透模式。如下圖所示，攻擊者通過日益增大的互聯(lián)網(wǎng)暴露面作為初始入口，結合AI生成的社工釣魚攻擊、供應鏈攻擊等攻擊手段突破Web應用防線，進而利用辦公場景中的辦公漏洞、實施身份憑證、集權系統(tǒng)攻擊等行為進行橫向滲透，最后實現(xiàn)攻陷目標的目的，形成全鏈路攻擊閉環(huán)。AIAI漏洞應用漏洞辦公漏洞利用攻擊面利用橫向滲透攻陷目標邊界突破網(wǎng)宿安全認為，這種由外至內(nèi)、多環(huán)節(jié)聯(lián)動的攻擊范式變革，將倒逼防御體系必須系統(tǒng)性重構暴露面收斂、Web應用安全防護、辦公安全零信任化及主機主動防御能力。據(jù)此，本章節(jié)將圍繞企業(yè)這種由外至內(nèi)的攻擊手段的演進與變革展開研究，同時深入跟進AI的快速發(fā)展帶來的基礎設施威脅態(tài)勢的變化，協(xié)助企業(yè)在Al時代更加全面的了解網(wǎng)絡安全攻擊態(tài)勢。網(wǎng)宿安全演武實驗室研究發(fā)現(xiàn)，2024年全球新增CVE漏洞首次突破4萬，截止到2024年累計披露漏洞數(shù)量達274588個，其中2024年新增高危漏洞數(shù)量27200個，占比高達67.98%。2024年，全球新增CVE漏洞達40009個，對比2023年新增漏洞增長29.3%,累計披露漏洞數(shù)量達274588個，對比2023年，增長17.1%。2024年度互聯(lián)網(wǎng)安全報告：AI浪潮下，體系化主動安全升維指南2020年2024年2023年2024年2023年2022年02024年，新增高危漏洞數(shù)量達到27200個，對比2023年的20102個，增長了35.3%,高危漏洞的增長率提升明顯，同時，2024年新增高危漏洞占全部新增漏洞的比例達到了67.98%,對比2023年的65%也有了進一步提升。2023年2024年2022年2021年2020年02024年漏洞利用態(tài)勢呈現(xiàn)顯著分化。Web應用漏洞以45%占比成為首要攻擊目標，凸顯其作為互聯(lián)網(wǎng)暴露面的脆弱性；辦公終端漏洞利用率達25%,反映遠程辦公場景下終端防護薄弱與憑證濫用風險；API接口和操作系統(tǒng)的漏洞利用率占比攀升，揭示供應鏈攻擊與系統(tǒng)層提權手段的升級趨勢。盡管數(shù)據(jù)庫和移動應用的漏洞攻擊占比最低，但前者承載核心數(shù)據(jù)資產(chǎn)，后者伴隨BYOD普及存在潛在威脅。2024年度互聯(lián)網(wǎng)安全報告：2024年度互聯(lián)網(wǎng)安全報告：AI浪潮下，體系化主動安全升維指南2024年漏洞利用對象統(tǒng)計Web應用API接口操作系統(tǒng)辦公終端數(shù)據(jù)庫移動應用2024年TOP10高危端口如下，其中SSH(22)、RDP(3389)以及HTTPS(443)占高危端口TOP3,同時網(wǎng)宿安全觀察也發(fā)現(xiàn)，針對高危端口的攻擊技術也在持續(xù)升級，包括自動化工具，ODay漏洞利用，針對金融，制造等端口暴露數(shù)量(全球)1.8億+1.2億+Web應用漏洞(Log4j2.x)、供應永恒之藍(EternalBlue)漏洞利用1,700萬+數(shù)據(jù)庫勒索(如MongoDB-Express)loT僵尸網(wǎng)絡(Mirai變種)2024年度互聯(lián)網(wǎng)安全報告：AI浪潮下，體系化主動安全升維指南1.3.弱口令安全事件占比高達34%,亟需引起重視2024年弱口令相關的安全事件占比高達34%,其中黑客通過暴力破解等方式的成功率高達18%,網(wǎng)宿安全通過對暗網(wǎng)的監(jiān)控，發(fā)現(xiàn)暗網(wǎng)弱口令數(shù)據(jù)庫的總量也高達410億條，隨著AI及大模型的興起，AI驅(qū)動的暴力破解，郵件暗網(wǎng)弱口令數(shù)據(jù)庫總量企業(yè)賬戶弱口令比例2024年針對Web應用的攻擊行為依然呈現(xiàn)愈演愈烈的態(tài)勢，并且表現(xiàn)出更強的對抗性。2024年，網(wǎng)宿平臺共監(jiān)測并成功防御T級(即流量規(guī)模超過1Tbps)的DDoS攻擊219次，同比2023年激增近10倍。尤以第四季度最為突出，T級攻擊次數(shù)占全年78%,主要攻擊流量的峰值和頻次雙雙創(chuàng)歷史新高。012傳統(tǒng)印象中，DDoS攻擊以短時高峰瞬時沖擊為主。但2024年觀察到，攻擊者策略顯著升級，超過86%的T級攻擊持續(xù)時間超過10分鐘，遠超往年。其中，2024年11月29日平臺遭遇了一次T級攻擊，持續(xù)穩(wěn)定輸出63分鐘，刷新平臺歷史記錄。這不僅考驗了現(xiàn)有防護體系的彈性，更反映出攻擊成本降低及自動化操控下，DDoS威脅趨向“持久化、高強度”新態(tài)勢。對T級攻擊高發(fā)的深層溯源揭示，勒索型DDoS已形成成熟產(chǎn)業(yè)鏈，成為推動高強度攻擊常態(tài)化的重要動因。網(wǎng)宿安全演武實驗室發(fā)現(xiàn)：·攻擊目標高度集中：被攻擊對象集中在軟件信息服務行業(yè)(如：辦公、生活、游戲軟件的免費聚合平臺),因依賴廣告流量變現(xiàn)，業(yè)務連續(xù)性敏感，成為攻擊首選目標?！び薪M織的勒索流程：攻擊前，黑客以匿名郵件聯(lián)絡目標方，要求平臺上架其“合作”軟件，承諾高額好處。目標方拒絕后即遭持續(xù)T級DDoS打擊，業(yè)務被迫中斷，隨后收到勒索信件，要求支付贖金或配合“合作”以終止攻擊?！ず诋a(chǎn)技術能力增強：進一步分析發(fā)現(xiàn)，黑客植入的“合作”軟件中捆綁木馬程序，在下線平臺和同業(yè)者下載的大量應用中也發(fā)現(xiàn)相同木馬。按類別統(tǒng)計，社交媒體與金融類軟件被植入比例最高，賬號、隱私數(shù)據(jù)隨即落入黑產(chǎn)之手，為后續(xù)精準攻擊或更多變現(xiàn)方式提供基礎。因此，勒索DDoS產(chǎn)業(yè)化不僅顯著提升攻擊強度與頻率，也深度牽動著網(wǎng)絡安全生態(tài)。2024年第四季度T級攻擊次數(shù)的爆發(fā)式增長，正是黑產(chǎn)鏈條背后驅(qū)動的直接結果。在2024年，我們通過遍布全球的攻防網(wǎng)絡監(jiān)測，發(fā)現(xiàn)DDoS攻擊源的地域分布格局正在發(fā)生顯著變化。雖然中國和美國依舊占據(jù)攻擊源的主要地位，但值得注意的是，東南亞地區(qū)正逐步成為DDoS攻擊源的新興區(qū)域。具體來看，印度尼西亞、新加坡、越南三國的DDoS攻擊源分布躍升至全球第3、第4和第5位，而在2023年，這三個國家分別排名第10、第17及第30,變化十分顯著。2024年DDoS攻擊源TOP地區(qū)8②美國中國⑩美國中國日本⑤越南⑤越南中國香港④新加坡3新加坡巴西印度尼西亞巴西這種分布變化不僅反映了攻擊者策略的多元化，也提醒全球企業(yè)重視跨國網(wǎng)絡威脅。企業(yè)需要具備更廣泛的視角，針對性地加強多區(qū)域、多節(jié)點的安全防護能力。2.2.Web漏洞利用態(tài)勢與威脅演化2.2.1.AI應用漏洞攻擊數(shù)量激增當前網(wǎng)絡安全威脅格局持續(xù)惡化，漏洞利用風險呈現(xiàn)顯著升級態(tài)勢。據(jù)網(wǎng)宿安全平臺數(shù)據(jù)統(tǒng)計，2024年Web漏洞利用攻擊攔截次數(shù)同比增長68%,其中針對AI應用漏洞的攻擊數(shù)量呈現(xiàn)爆發(fā)式增長。下圖是近三年網(wǎng)宿安全平臺攔截的AI開發(fā)框架漏洞利用行為在Web漏洞利用中的占比情況。主要原因是大語言模型(LLM)等技術的規(guī)?；渴鸫呱滦凸裘妫Ｐ陀柧毧蚣苈┒?、推理服務API越權訪問風險激增。AI基礎設施漏洞托管規(guī)則占比情況20232024年度互聯(lián)網(wǎng)安全報告：AI浪潮下，體系化主動安全升維指南10從國內(nèi)軟件安全生態(tài)的視角分析，針對國產(chǎn)軟件的漏洞利用顯示出明顯的集中性，攻擊目標系統(tǒng)集中于協(xié)同辦公系統(tǒng)、內(nèi)容管理平臺和企業(yè)資源規(guī)劃系統(tǒng)這三大領域，針對三者的攻擊量占比超過50%。行業(yè)上，政企與教育行業(yè)的軟件漏洞攻擊占比達60%,這些漏洞通常是由于身份認證缺陷、邏輯校驗失效和接口權限配置錯誤等基本問題引起，暴露出國內(nèi)軟件開發(fā)過程中存在的安全設計規(guī)范執(zhí)行缺乏落實，對第三方組件依2024年網(wǎng)宿安全平臺攔截的國產(chǎn)軟件漏洞攻擊分布情況協(xié)同辦公系統(tǒng)(OA)身份認證缺陷(41%)、越權(23%)內(nèi)容管理平臺(CMS)企業(yè)資源規(guī)劃系統(tǒng)(ERP)接口權限配置錯誤(32%)、越權(22%)敏感信息泄露(36%)、第三方組件漏洞(34%)2024年網(wǎng)宿安全平臺數(shù)據(jù)顯示，HTTP協(xié)議合規(guī)攻擊在所有攻擊類型中排名第一，占比71%,這其中超過60%為漏掃或其他自動化工具發(fā)起的掃描探測請求。攻擊者通過網(wǎng)站指紋識別快速鎖定存在未修復歷史漏洞及弱配置的從地域特征和行業(yè)分布看，東南亞、非洲等新興產(chǎn)業(yè)地區(qū)因漏洞修復滯后、安全投入不足，成為自動化掃描攻擊的重災地區(qū)；其次高價值行業(yè)集中受襲，金融、醫(yī)療、智能制造等行業(yè)的系統(tǒng)因業(yè)務復雜性高、升級較為緩慢，2024年，惡意Bot請求量突破3200億次，相比2023年的2100億次增長了52%。攻擊目標聚焦電商、教育、出版、金融、政府服務、醫(yī)療、票務等領域。值得關注的是，隨著文旅行業(yè)持續(xù)復蘇，票務行業(yè)首次超過電商，成為Bot攻擊最集中的攻擊目標，占所有Bot攻擊的28%,超越2023年的22%。票務：28%金融：21%電商：14%醫(yī)療：11%政府服務：8%教育：4%■出版：3%其他：4%根據(jù)網(wǎng)宿平臺攻擊數(shù)據(jù)分析，黑產(chǎn)團伙正不斷升級技術手段，應用機器學習等前沿技術使惡意Bot能夠模擬人類行為、動態(tài)繞過傳統(tǒng)防御機制(如：驗證碼和規(guī)則引擎；),并實時調(diào)整攻擊策略以逃避檢測。同時，Bot攻擊呈現(xiàn)出多階段、低頻率的隱蔽特征，通過分布式IP和偽造設備指紋增強對抗性，甚至針對特定業(yè)務邏輯設計復雜攻擊●在查詢環(huán)節(jié)，爬蟲Bot通過逆向工程破解航班API接口，實時監(jiān)控余票、票價變動；●在占座環(huán)節(jié)，惡意Bot利用強化學習模擬正常用戶操作鏈，規(guī)避行為風控；●在支付環(huán)節(jié)，欺詐Bot通過對抗生成網(wǎng)絡偽造大量身份信息完成占位不支付，擠壓航司座位庫存?！げ呗詤f(xié)同：Bot集群動態(tài)切換攻擊模式(如：低價票掃描、黃金航線優(yōu)先占座等；),根據(jù)風控強度自動調(diào)·深度隱匿：2024年出現(xiàn)“分布式慢速Bot”,將單個IP的請求間隔拉長至5-10分鐘，并通過代理池輪詢，使基于請求速率的防御策略完全失效，部分黑產(chǎn)采用更加高級的企業(yè)出口ip進行對抗，使基于威脅情報的防御當前Al大模型處于快速發(fā)展階段，業(yè)界并無數(shù)據(jù)爬取的相關規(guī)范及標準，因此由大模型驅(qū)動的規(guī)?；廊е缕髽I(yè)數(shù)據(jù)資產(chǎn)外流風險劇增(例：2024年烏克蘭3D數(shù)字模型公司Triplegangers在幾小時內(nèi)被GPTBot爬取了數(shù)十萬張照片；)。同時，高頻惡意爬蟲請求會引發(fā)服務器過載，致使正常用戶訪問延遲增加3-5倍，甚至導致服務器癱瘓。網(wǎng)宿安全的Bot管理產(chǎn)品在2024年8月推出一鍵攔截Al大模型爬蟲的能力，有效遏制了大模型爬蟲對于企業(yè)網(wǎng)站的威脅。產(chǎn)品上線后，大模型爬蟲攔截量呈現(xiàn)逐步上升的趨勢。2024年度互聯(lián)網(wǎng)安全報告：AI浪潮下，體系化主動安全升維指南1207月8月9月10月11月12月7月2.4.1.API成為Web攻擊主戰(zhàn)場2024年網(wǎng)宿安全平臺數(shù)據(jù)統(tǒng)計顯示，超60%的Web攻擊流量聚焦于API接口，攻擊量同比去年激增23%。其中一個重要因素是隨著生成式大模型技術規(guī)?；涞?，帶來新的威脅暴露面。大模型應用生態(tài)中，為支撐實時交互、數(shù)據(jù)回流及第三方擴展功能，API接口數(shù)量呈指數(shù)級增長。其主要攻擊類型主要集中在HTTP異常、注入攻擊、文件包含和目錄遍歷。2.4.2.安全漏洞導致的數(shù)據(jù)風險攀升API接口已成為數(shù)據(jù)泄露的核心攻擊面，據(jù)Gartner報告統(tǒng)計，2024全年API攻擊導致的敏感數(shù)據(jù)泄露事件占比達30%。從技術歸因看，三大高危漏洞：身份驗證缺陷、敏感數(shù)據(jù)過度暴露及業(yè)務邏輯漏洞，構成主要威脅。60%的API攻擊發(fā)生在身份驗證后，揭示當前API安全防護體系存在雙重結構性缺陷：縱向防御層面，授權環(huán)節(jié)的權限粒度控制與用戶行為基線監(jiān)測存在顯著盲區(qū)，難以抵御BOLA(失效對象級授權)等高級持續(xù)性威脅；橫向治理層面，企業(yè)普遍存在API資產(chǎn)動態(tài)清單缺失與敏感數(shù)據(jù)流感知弱等管理短板，未實現(xiàn)全生命周期安全測試，最終形成合法身份掩護下的API濫用黑洞。3.1.攻擊規(guī)模和復雜度雙加劇，多分支企業(yè)風險更突出3.1.1.攻擊規(guī)模呈擴大趨勢根據(jù)網(wǎng)宿安全演武實驗室觀測數(shù)據(jù)顯示，2024年辦公網(wǎng)絡攻擊活動持續(xù)攀升，已報告的網(wǎng)絡攻擊事件數(shù)量大幅增長，較2023年增長47%,攻擊規(guī)模與造成的經(jīng)濟損失均創(chuàng)下歷史新高。其中，第四季度成為攻擊最為活躍的時期，攻擊事件占全年總量的33%。例如，DarkAngels攻擊組織針對美國知名藥品公司Cencora的攻擊事件，不僅涉及勒索軟件攻擊，還伴隨數(shù)據(jù)竊取、系統(tǒng)破壞等多種攻擊行為，給企業(yè)帶來了巨大損失。3.1.2.多分支機構更易遭受攻擊2024年企業(yè)IT架構復雜度成為攻擊風險的重要影響因素，擁有多分支機構的企業(yè)更易成為攻擊目標。由于分支機構分布廣，安全防護體系不能與總部實時同步建設，導致策略執(zhí)行不到位、技術防護薄弱等漏洞問題出現(xiàn)，攻擊者常利用這些薄弱節(jié)點滲透至企業(yè)核心網(wǎng)絡。例如：部分制造業(yè)企業(yè)因分支機構未部署統(tǒng)一的終端安全管理系統(tǒng)，被攻擊者通過釣魚郵件突破邊緣防線，進而橫向滲透至總部核心服務器，導致供應鏈數(shù)據(jù)泄露。3.1.3.攻擊鏈條復雜化，多種手法結合成趨勢2024年辦公網(wǎng)絡威脅復雜度加劇，我們以2024年我國某智慧能源企業(yè)遭受疑似美國情報機構網(wǎng)絡攻擊事件作為典型案例進行剖析，可清晰展現(xiàn)出辦公網(wǎng)絡攻擊的完整鏈條?！ぶ踩敫叨入[藏的內(nèi)存木馬·通過內(nèi)網(wǎng)穿透程序橫向滲透·突破網(wǎng)絡信任控制更多設備·竊取高管及重要部門人員的郵件信息·獲取核心設備管理賬號及配置信息·竊取開發(fā)數(shù)據(jù)資產(chǎn)獲取漏洞·通過社工獲取個人信息及賬號密碼入侵郵件服務器藏入侵IP·刪除惡意文件、日志記錄·修改系統(tǒng)配置攻擊鏈條解析2024年度互聯(lián)網(wǎng)安全報告：AI浪潮下，體系化主動安全升維指南14在上述攻擊案例中，攻擊者不僅構建了“情報收集一初始入侵-橫向滲透-數(shù)據(jù)竊取-痕跡銷毀”的完整鏈條，每個環(huán)節(jié)中更是結合了多種攻擊手法，大幅增加了防御的復雜度與溯源難度。例如：·情報收集階段，攻擊者以多種手法進行了情報收集，一是通過各種公開渠道獲取該企業(yè)的組織架構、網(wǎng)絡架構等信息。二是利用網(wǎng)絡掃描工具對企業(yè)辦公網(wǎng)絡的IP地址段進行掃描，探測開放端口、運行的服務以及潛在的漏洞，如微軟Exchange漏洞。三是運用了社會工程學手段，偽裝成企業(yè)員工，套取了員工個人信息與賬號密碼?！こ跏既肭蛛A段，攻擊者利用微軟Exchange漏洞發(fā)動初始入侵，成功入侵控制該公司的郵件服務器。在此過程中，攻擊者將漏洞利用、釣魚郵件等傳統(tǒng)手段與AI技術結合，借助生成式AI生成了極具迷惑性的釣魚郵件，從而成功完成了釣魚及入侵動作。從以上攻擊案例中不難發(fā)現(xiàn)，現(xiàn)代辦公網(wǎng)絡攻擊已呈現(xiàn)攻擊鏈條復雜化與技術融合化雙重趨勢，迫使企業(yè)必須從單一技術防護向“全鏈條監(jiān)測、多維度對抗”的立體化防御體系升級。3.2.數(shù)據(jù)泄露加劇3.2.1.外部入侵仍是主因，內(nèi)部泄露趨勢上漲2024年全球數(shù)據(jù)泄露形勢依然嚴峻，美國電信巨頭Verizon《2024年數(shù)據(jù)泄露調(diào)查報告》指出：“外部入侵”依舊是數(shù)據(jù)泄露的首要誘因，占比高達65%,同時內(nèi)部泄露事件占比也在攀升，成為不容忽視的安全隱患。根據(jù)Gartner預測，到2027年，跨境生成式AI濫用導致的數(shù)據(jù)泄露比例將達40%,凸顯AI技術對數(shù)據(jù)安全的長期威脅。3.2.2.內(nèi)容與途徑多樣化，數(shù)據(jù)泄露影響面擴大辦公文檔和數(shù)據(jù)庫文件成為數(shù)據(jù)泄露的首要目標。根據(jù)IBM《2024年數(shù)據(jù)泄露報告》顯示，全球范圍內(nèi)，44.7%的數(shù)據(jù)泄露事件涉及個人信息，泄露量達343.7億條；境內(nèi)政企機構中，71.8%的泄露事件包含個人信息，規(guī)模高達266.9億條。網(wǎng)盤、文庫、代碼托管等互聯(lián)網(wǎng)知識共享平臺成為數(shù)據(jù)泄露的關鍵通道。根據(jù)網(wǎng)宿安全演武實驗室觀測數(shù)據(jù)顯示，此類泄密事件中，內(nèi)部人員違規(guī)占比32.3%,合作伙伴泄露占23.7%,而外部攻擊導致的僅占5.0%,凸顯企業(yè)內(nèi)部管控與供應鏈安全協(xié)同治理的迫切性?；ヂ?lián)網(wǎng)知識共享平臺泄密途徑分布互聯(lián)網(wǎng)知識共享平臺泄密途徑分布其他：39.0%2024年度互聯(lián)網(wǎng)安全報告：AI浪潮下，體系化主動安全升維指南153.2.3.Al技術加劇數(shù)據(jù)泄露風險生成式AI正在重構數(shù)據(jù)泄露攻擊范式，在網(wǎng)絡攻擊中，Al通過多重數(shù)據(jù)分析生成高仿真攻擊載體，使企業(yè)員工難以辨別真?zhèn)巍I在賦能攻擊的同時，其自身也存在系統(tǒng)性泄露風險：在模型訓練階段，使用未脫敏數(shù)據(jù)(如客戶信息)會導致敏感數(shù)據(jù)隨模型泄露。在模型應用階段，惡意用戶可通過提示詞注入等手段，誘導AI模型輸出敏感數(shù)據(jù)(如偽裝成分析師騙取企業(yè)財務報表)。據(jù)Gartner預測，2025年全球?qū)⒂?0%的數(shù)據(jù)泄露事件直接源于AI模型的不當使用和設計缺陷。4.1.資源占用型攻擊仍占主旋律2024年入侵事件類型分布2024年入侵事件類型分布挖礦病毒：44.5%DDoS肉雞：39.2%勒索病毒：6.9%其他：9.4%從網(wǎng)宿主機安全平臺監(jiān)測到的入侵事件類型分布觀察，挖礦病毒仍然是目前聯(lián)網(wǎng)主機面臨的最普遍攻擊威脅，平臺觀測到排名前三的挖礦家族為CoinMinerTeamTNT以及Outlaw。其次是主機被植入DDoS控制程序組建大型的僵尸網(wǎng)絡，排名前三僵尸網(wǎng)絡家族分別是Gates、Mirai以及Kaiji。這兩類威脅事件高占比體現(xiàn)了當前網(wǎng)絡主機的計算與網(wǎng)絡資源正被廣泛的機會型攻擊所利用，這與加密貨幣價格的持續(xù)高位以及DDoS攻擊的持續(xù)商品化緊密相關。排名第3的威脅是勒索病毒攻擊，盡管事件量相比前兩名存在明顯差距，但勒索軟件攻擊在技術能力和經(jīng)濟破壞性方面均遠高于前兩類威脅。4.2.弱口令問題依然是頭號風險2024年初始化訪問利用漏洞分布2024年初始化訪問利用漏洞分布2024年度互聯(lián)網(wǎng)安全報告：AI浪潮下，體系化主動安全升維指南16通過網(wǎng)宿主機安全平臺對監(jiān)測到的入侵事件數(shù)據(jù)進行溯源，統(tǒng)計初始化訪問入口發(fā)現(xiàn)SSH服務弱口令問題依然是當前服務器中存在的頭號風險，這體現(xiàn)了網(wǎng)絡服務器使用Linux類操作系統(tǒng)的普遍性，而SSH服務作為系統(tǒng)內(nèi)建遠程管理通道，通常是互聯(lián)網(wǎng)中機會型攻擊的首選目標。此外，超40%入侵事件中的惡意程序包含了蠕蟲攻擊傳播功能，會利用已控制主機盡可能擴散入侵范圍；觀測到的最快入侵事件發(fā)生在存在漏洞的服務啟用2分鐘之后；排名前10的利用入口多見弱口令以及未授權訪問引起的遠程執(zhí)行漏洞。這提醒了企業(yè)在運維環(huán)節(jié)需要注重基礎的網(wǎng)絡安全衛(wèi)生，做好認證安全及訪問控制等基礎安全操4.3.超80%入侵事件應用持久化技術2024年持久化技術采用分布2024年持久化技術采用分布初始化訪問讓攻擊者在目標網(wǎng)絡環(huán)境取得立足點，而持久化技術則可以讓攻擊者長久維持這些立足點的訪問權限。通過觀察，超81.5%入侵事件會應用持久化攻擊技術，其中通過使用系統(tǒng)定時任務服務做進行持久化權限維持的占比最多，超過60%。其次依次是使用后門程序(39.7%),配置開機啟動腳本(37%)、注冊系統(tǒng)自啟動服務(33.3%),超過75%的入侵至少應用了兩種持久化技術用于避免權限丟失。4.4.超96%安全事件使用防御繞過技術2024年防御規(guī)避技術采用分布2024年防御規(guī)避技術采用分布日志清理防御繞過是網(wǎng)絡攻擊或惡意程序用于逃避安全機制檢測的技術統(tǒng)稱，從網(wǎng)宿主機安全平臺監(jiān)測的入侵事件統(tǒng)計，超過96%的入侵使用了防御繞過技術，其中，使用最為廣泛的是進程名偽造，在入侵事件中的采用占比超過70%,常見手法包括將進程名偽裝成系統(tǒng)內(nèi)核進程、系統(tǒng)服務進程以及應用程序進程等；其次，是通過混淆/編碼/加密的方法將惡意腳本內(nèi)容、惡意執(zhí)行指令或惡意程序隱去明顯的靜態(tài)特征，占比超過60%;再有，無文件攻擊技術采用占比超過50%,常見使用系統(tǒng)自帶的命令如curl、powershell將惡意腳本或代碼遠程加載到內(nèi)存中執(zhí)行。監(jiān)測數(shù)據(jù)顯示，超過85%的入侵攻擊至少使用了以上兩種繞過技術。5.1.Al浪潮下的網(wǎng)絡風險升級2024年，生成式AI推動了應用形態(tài)的躍遷，隨著基座模型競爭白熱化，企業(yè)級應用逐步從單點試驗轉(zhuǎn)向?qū)嶋H探索階段。Gartner預測，2025年全球生成式Al支出將達6440億美元，年增長76.4%,超過80%的企業(yè)將于2026年使用或部署生成式AI應用。企業(yè)應用生成式AI技術實現(xiàn)業(yè)務賦能場景業(yè)務賦能業(yè)務賦能內(nèi)容生成問題診斷內(nèi)容檢測應用構建提示詞工程提示詞工程RAG大模型APIAI應用構建組件企業(yè)內(nèi)部工具企業(yè)私域數(shù)據(jù)AI的應用場景在不斷拓寬，與此同時，技術革新背后潛藏的新型網(wǎng)絡安全風險也在加速顯現(xiàn)，2024年針對使用AI系統(tǒng)的網(wǎng)絡攻擊事件開始頻繁出現(xiàn)：·2024年3月，OpenAI、優(yōu)步、亞馬遜等公司使用的AI計算框架Ray因未修復的漏洞遭長期滲透，攻擊者控制7000余臺服務器，竊取OpenAI、HuggingFace等平臺密鑰，植入加密貨幣挖礦軟件、盜取內(nèi)部訪問憑證并篡改Al模型?！?024年6月，黑客利用未公開漏洞入侵HuggingFace的Space項目，攻擊者在未授權的情況下成功訪問了部分項目的機密數(shù)據(jù)，包括用戶身份認證文·2024年11月，一名英國程序員使用GPT生成代碼，過程中引用了一個來自GitHub的惡意項目，結果導致個人私鑰被泄露給釣魚網(wǎng)站，最終損失2500美元。AI技術發(fā)展引發(fā)的網(wǎng)絡安全風險形勢變化，核心上可分為AI系統(tǒng)自身脆弱性所引發(fā)的安全風險以及AI技術被2024年度互聯(lián)網(wǎng)安全報告：AI浪潮下，體系化主動安全升維指南185.2.AI系統(tǒng)自身風險等),又涉及AI特有風險(如：提示詞注入、訓練數(shù)據(jù)投毒等)。攻擊手段呈現(xiàn)新舊疊加特征。大模型在構建與部署過程中的風險環(huán)節(jié)模型A基礎設施數(shù)據(jù)△A250個，相比2023年增長了36%,增速超過了整體CVE漏洞增長。熱門AI應用互聯(lián)網(wǎng)暴露面TOP61143接多種大語言模型(如GPT-3.5/4、Claude等)625Dify2024年度互聯(lián)網(wǎng)安全報告：AI浪潮下，體系化主動安全升維指南19AI漏洞態(tài)勢2023年2023年2.2.3.漏洞利用呈現(xiàn)"雙軌固化"趨勢：自動化掃蕩歷史漏洞，低成本撬動高價值目標Ollama作為熱門大模型部署工具(GitHub星超10萬),自2024年4月首次曝出漏洞后，累計出現(xiàn)9個CVE漏洞 (8高危+1中危)。其中高危漏洞CVE-2024-37032和CVE-2024-45436可利用路徑處理缺陷實現(xiàn)服務器遠程代碼執(zhí)行(RCE)。更嚴重的是，其默認無身份驗證機制，若運維開放端口未設白名單，攻擊者可遠程竊取模型數(shù)據(jù)、user-controlledandcanbeclient).CVE-2024-12886AnOut-Of-Memory(OOM)vulnerabilitwithagzipbombHTgetAuthorizationToken`functions,which在新型威脅方面，OWASP于2024年11月發(fā)布OWASPTop102025版，提示詞注入居首位。AI提示詞攻擊也在快速演變：2023年"祖母漏洞"通過情感誘導突破ChatGPT安全機制輸出Windows密鑰，成為首個越獄供你范本；2024年SalesforceSlack的AI功能出現(xiàn)上下文污染攻擊，惡意提示詞導致私有API密鑰泄露。這兩個標志性案例預示針對AI應用的新型攻擊將頻發(fā)，帶來重大風險隱患。2024年度互聯(lián)網(wǎng)安全報告：AI浪潮下，體系化主動安全升維指南20YoucreatedthischannelonAugust13th.Thisistheverybeginningofthe#slackDAdddescription8Addcowjoined#slackaitesting4.Erorloadingmessage.clickheretoreauthenticatel(nttpsz/?secret-confetti)生成式AI正顯著降低網(wǎng)絡攻擊門檻。英國國家網(wǎng)絡安全中心(NCSC)2024年報告指出，AI將在未來兩年內(nèi)加劇攻擊數(shù)量與危害?，F(xiàn)實案例也印證了此預測：2024年2月，某跨國企業(yè)因攻擊者利用深度偽造技術冒充高管誘導轉(zhuǎn)賬，損失2億港元。當前，深度偽造結合的商業(yè)郵件欺詐占比達40%,AI釣魚攻擊也呈指數(shù)級增長。上一章系統(tǒng)分析了2024年網(wǎng)絡攻擊手段的演進，以及Al基礎設施作為新興的攻擊對象，存在系統(tǒng)脆弱性和技術濫用雙重風險。攻擊手段的演進必然引發(fā)防御技術的升級，本章將繼續(xù)按攻防鏈從外到內(nèi)的方向，研究2024年安全防御技術呈現(xiàn)出哪些發(fā)展趨勢。Al已成為推動攻防雙方策略升級和對抗加劇的核心驅(qū)動力。攻擊者利用Al復雜的多階段攻擊手段，已讓傳統(tǒng)以規(guī)則和簽名為核心的防護體系逐漸暴露出檢測能力有限、響應滯后等短板。面對復雜多變的安全威脅，Web安全領域需更具前瞻性的防御策略。2024年度互聯(lián)網(wǎng)安全報告：AI浪潮下，體系化主動安全升維指南211.1.兩個AI改變攻防范式的典型案例傳統(tǒng)WAF基于規(guī)則引擎的特征匹配機制，在AI賦能的語義等價攻擊面前逐漸失效。尋常注入攻擊載荷是UNIONSELECTcredit_cardFROMusers--,攻擊者利用大模型生成結構變異，但語義等價的攻擊載荷。WHERE@a:=(JSON_EXTRACT('t"x":"|(DATABASE(該變體通過Unicode編碼、非常規(guī)函數(shù)調(diào)用和注釋混淆來繞過靜態(tài)特征的檢測，語法雖復雜，但語義等價于竊取敏感信息。針對此類利用大語言模型生成變種SQL注入攻擊的防御策略，防守方應從技術升級、架構優(yōu)化和流程管理三方面構建多層次防護體系。如建設語義增強型WAF架構，采用分層檢測機制：1.第一層：保留傳統(tǒng)規(guī)則引擎攔截已知攻擊；2.第二層：構建語義分析引擎，解析請求語義異常；3.第三層：對高風險請求聯(lián)動威脅情報平臺，驗證是否為已知攻擊變種。傳統(tǒng)WAF基于規(guī)則引擎的特征匹配機制，在AI賦能的語義等價攻擊面前逐漸失效。尋常注入攻擊載荷是UNIONSELECTcredit_cardFROMusers--,攻擊者利用大模型生成結構變異，但語義等價的攻擊載荷。·智能規(guī)避防御：Al自動解析目標防護規(guī)則(如：WAF、限速策略等；),動態(tài)調(diào)整攻擊參數(shù)(請求間隔、Header偽裝),模擬人類行為繞過檢測?！ぷ詣踊翩溌罚篈l自主規(guī)劃攻擊路徑，從探測API結構、識別防護弱點(如：未限頻接口；)到動態(tài)切換·邏輯漏洞深度利用：AI輔助分析業(yè)務規(guī)則(如：優(yōu)惠券發(fā)放邏輯、API鑒權機制等；),攻擊者可編寫精準從防護角度，需要基于AI檢測引擎、行為分析、威脅情報聯(lián)動三方面構建完整智能防護體系，對抗AI驅(qū)動的-采用機器學習模型分析流量特征，識別AI生成的異常請求；-結合對抗訓練提升模型對新型Bot的檢測能力。一建立用戶行為基線，檢測異常交互模式，如非人類鼠標軌跡、異常API調(diào)用順序；一動態(tài)風險評估：根據(jù)會話行為實時計算風險分，觸發(fā)不同強度的防御措施。-實時更新惡意IP、Bot指紋庫，攔截已知攻擊源；-與行業(yè)伙伴共享攻擊特征，提升整體防御效率。1.2.Web攻防范式：從規(guī)則對抗演進到智能體攻防總體來看，Web安全攻防技術演進呈現(xiàn)出顯著的靜態(tài)規(guī)則對抗到動態(tài)博弈的特征，攻擊手段的進化必然伴隨防御能力的升維，長期來看可能引發(fā)質(zhì)變：2024年度互聯(lián)網(wǎng)安全報告：AI浪潮下，體系化主動安全升維指南221)防御效能的層級躍遷·短期上結合AI落地自動化威脅分析、實時攻擊特征提取、智能誤報過濾等場景，提升傳統(tǒng)防御組件的響應·長期上AI驅(qū)動防御體系突破"人工預設規(guī)則"的剛性框架，通過持續(xù)學習業(yè)務流量、用戶行為、漏洞特征等多維數(shù)據(jù)流，形成具備自主進化能力的防御智能體，實現(xiàn)從"威脅響應"到"風險預測"的質(zhì)變跨越。2)攻防本質(zhì)的范式轉(zhuǎn)移·AI技術會將傳統(tǒng)攻防博弈從”規(guī)則維度”推向"認知維度",防御核心從特征碼匹配轉(zhuǎn)向意圖識別，攻擊者偽造請求參數(shù)與防御者構建的語義理解模型之間，展開對"請求真實性"的認知較量?！げ┺墓?jié)奏產(chǎn)生質(zhì)變，傳統(tǒng)攻防以月/周為單位的漏洞響應周期，被壓縮至小時甚至分鐘級動態(tài)對抗。經(jīng)過強化學習驅(qū)動的攻擊系統(tǒng)與自適應防御模型之間，可能會形成"攻擊生成-檢測對抗-策略進化"的實時博弈閉環(huán)。2.1.IT建設管理趨勢：安全一體化防護如上辦公網(wǎng)絡威脅態(tài)勢所述，企業(yè)辦公安全面臨以下方面挑戰(zhàn)：●攻擊鏈條復雜化，鏈條上每個環(huán)節(jié)均需要應對多個維度的威·數(shù)據(jù)安全內(nèi)外部泄露風險擴大、普通防御難全面覆蓋，Al技術大范圍使從以上挑戰(zhàn)不難看出，隨著網(wǎng)絡威脅趨向復雜智能化，企業(yè)安全防御維度增多，終端防護體系需從工具堆砌轉(zhuǎn)向一體化防御。一體化防護通過統(tǒng)一技術底座，打破數(shù)據(jù)孤島與策略割裂，形成多維度動態(tài)防護閉環(huán)。在海外，安全一體化的主流方案采用云原生的SASE架構，通過將企業(yè)所有數(shù)據(jù)流量導流至云端安全平臺，實現(xiàn)安全能力的集中化交付。典型代表廠商如Zscaler,在其平臺上集成Web安全、數(shù)據(jù)防泄露等多項安全模塊。其優(yōu)勢包括：以上模式也存在弊端，最大的挑戰(zhàn)來源于網(wǎng)絡依賴，一旦終端網(wǎng)絡質(zhì)量差，就會導致業(yè)務受影響。其次，在數(shù)據(jù)合規(guī)以及滿足企業(yè)個性化需求方面也存在挑戰(zhàn)。在國內(nèi)，市場普遍更接受終端安全一體化的SASE模式，在終端設備集成EDR、DLP、數(shù)據(jù)沙箱等核心能力，通過輕量級客戶端實現(xiàn)本地化防護，管理端仍可保持云端協(xié)同。這種模式的優(yōu)勢包括：2024年度互聯(lián)網(wǎng)安全報告：Al浪潮下，體系化主動安全升維指南232.2.數(shù)據(jù)泄露縱深防御：多場景匹配平衡安全和體驗趨勢。高頻數(shù)據(jù)交互場景下，企業(yè)一般針對員工涉密權限進行數(shù)據(jù)分級，通過無感的終端外發(fā)審計與攔截技術 隨著網(wǎng)絡威脅日益智能化演進，傳統(tǒng)防護體系面臨嚴峻挑戰(zhàn)。AI技術的深度應用為數(shù)據(jù)安全防護提供了新的突破口，主要體現(xiàn)在以下方面：·基于AI的數(shù)據(jù)分類分級：AI技術通過NLP和聚類算法，可自動識別文檔中的敏感信息，實現(xiàn)高效數(shù)據(jù)分類分級。相比人工方式，AI大幅提升處理效率，并能動態(tài)調(diào)整分類規(guī)則，確保防護策略與業(yè)務需求同步。·基于AI的敏感文件檢測：傳統(tǒng)敏感文件檢測依賴關鍵詞匹配，誤報率高。AI技術通過分析文件語義、用戶行為等多維特征，建立智能檢測模型。當檢測到異常批量外傳行為時，系統(tǒng)能快速評估風險并預警，顯著提升檢測準確率?！窕贏I的日志分析及建議措施：傳統(tǒng)人工分析難以應對海量日志，AI驅(qū)動的行為分析技術通過動態(tài)基線建?？蓪崿F(xiàn)風險精準捕捉，當檢測到高頻敏感數(shù)據(jù)訪問等異常行為時，立即觸發(fā)告警，并自動生成處置建議。網(wǎng)絡安全運營以風險管理為核心，聚焦資產(chǎn)、威脅、脆弱性三大要素，通過體系化運營實現(xiàn)閉環(huán)管理。網(wǎng)宿安全基于多年的實戰(zhàn)運營經(jīng)驗，將安全運營劃分資產(chǎn)運營、漏洞運營、威脅運營、情報運營以及安全策略運營，2024年安全運營領域呈現(xiàn)兩大演進方向：一是AI重構運營流程，二是風險驅(qū)動能力升級。2024年，生成式AI技術推動各類網(wǎng)絡安全產(chǎn)品的智能化升級。RSAC2024安全峰會中參展廠商中超過半數(shù)的核心產(chǎn)品已集成AI能力。安全運營領域當前面臨三大核心挑戰(zhàn)：專業(yè)安全運營工程師短缺、人員技能斷層、海量告警疲勞。目前，生成式AI賦能于安全運營的核心模式，依據(jù)復雜程度的不同，主要分為聊天機器人、安全助手、安全智能體三種類型：聊天機器人(Chatbot)安全助手(Assistants)安全智能體(Agent)在威脅告警處置中，傳統(tǒng)人工流程需通過安全平臺(如SIEM/SOC/XDR)手動執(zhí)行告警分級、特征分析、資產(chǎn)定位、攻擊溯源及響應處置，耗時且依賴經(jīng)驗。生成式Al介入后，聊天機器人可以通過自然語言交互提供告警解析與處置指引；安全助手主要通過嵌入產(chǎn)品實時輔助分析，而安全智能體則可以實現(xiàn)自動化全流程閉環(huán)處置。下面是網(wǎng)宿安全總結生成式AI賦能安全運營一些場景(目前各場景應用成熟度不同):2024年度互聯(lián)網(wǎng)安全報告：AI浪潮下，體系化主動安全升維指南應用生成式Al能力助力資產(chǎn)指紋識別，結合網(wǎng)空測繪信息與威脅情報自動識別功暴露資產(chǎn)，自動生成高危暴露面評估報告、暴露面處置建議等。應用生成式AI能力進行自動化代碼審計、漏洞挖掘、滲透測試；結合資產(chǎn)、業(yè)務生成資產(chǎn)風險總結及態(tài)勢報告。將生成式AI技術應用于釣魚郵件、異常流量、漏洞利用、日志分析、威脅狩獵等威進行告警自動化研判、告警降噪及溯源分析、應急策略制定以及自動化響應等場景。使用生成式AI技術自動提煉威脅情報lOC(失陷指標)、聚合安全漏洞預警情安全產(chǎn)品整合生成式AI能力用于通過自然語言交互進行安全產(chǎn)品策略查詢、檢查與優(yōu)化配置，態(tài)勢研判，動態(tài)推薦和挑戰(zhàn)安全策略?！帮L險驅(qū)動安全運營”理念正在從被動響應向主動防御的范式升級。傳統(tǒng)風險評估依賴人工模板與靜態(tài)檢測邏輯，存在耗時長、誤報率高、風險優(yōu)先級模糊等核心缺陷，難以應對動態(tài)威脅環(huán)境。Gartner提出的持續(xù)威脅暴露管理(CTEM)理念提供了一種更加主動、更加動態(tài)，聚焦于實際風險解決的安全方法，基于業(yè)務風險和修復能力框定準確的范圍更具安全價值。它主要包括以下5個階段步驟：界定范圍發(fā)現(xiàn)暴露面動員優(yōu)先級排序驗證④2024年度互聯(lián)網(wǎng)安全報告：AI浪潮下，體系化主動安全升維指南26·界定范圍(Scoping):界定組織中需要納入CTEM計劃周期的業(yè)務資產(chǎn)范圍，組織需要明確資產(chǎn)優(yōu)先級，可優(yōu)先從外部攻擊面和SAAS服務開始啟動計劃?！ぐl(fā)現(xiàn)暴露面(Discovery):范圍界定完成之后，要去發(fā)現(xiàn)界定范圍中的資產(chǎn)，并對資產(chǎn)的安全狀況進行評估，暴露面風險的發(fā)現(xiàn)不應該局限于CVE漏洞范疇，還要包括資產(chǎn)和安全控制的缺陷配置?！?yōu)先級排序(Prioritization):評估已識別問題的重要性，根據(jù)漏可用的控制措施或緩解選項來對已發(fā)現(xiàn)問題的風險等級進行排序，而不是試圖解決每個已經(jīng)識別的問題?！を炞C(Validation):驗證攻擊的路徑以及漏洞的可利用性，確認當前的防御計劃是否可以有效緩解識別的問題風險，可結合使用入侵與攻擊模擬(BAS)技術進行風險驗證。·動員(Mobilization):“動員”工作的目標是通過減少審批、推進流程進展或緩解部署確保團隊實施CTEM調(diào)查結果，風險得到及時有效處理。2024年Gartner發(fā)布的《安全運營技術成熟度曲線》報告，CTEM到達炒作周期頂峰，Gartner為CTEM擴展了Platforms,EAP)以及對抗性暴露驗證(AdversarialExposureValidation,AEV),實現(xiàn)了威脅、暴露及安全隨著大模型(LLM)在產(chǎn)業(yè)界的快速落地，其底層基礎設施的安全風險已成為制約Al可信發(fā)展的核心挑戰(zhàn)。大模型依賴復雜技術棧、海量數(shù)據(jù)與分布式計算架構，導致安全威脅貫穿全生命周期。AI基礎設施的安全主要涉及開發(fā)安全、數(shù)據(jù)安全、內(nèi)容合規(guī)及風控等方面，具體來說：·模型開發(fā)與部署環(huán)節(jié)：需應對供應鏈中開源組件漏洞、代碼安全隱患(如依賴庫漏洞管理不足、代碼邏輯缺陷)以及部署階段云基礎設施、網(wǎng)絡層面的攻擊(如DDoS、暴力破解)和身份認證薄弱問題；·數(shù)據(jù)安全方面：需確保數(shù)據(jù)來源合法合規(guī)、敏感信息識別過濾安全，并對訓練數(shù)據(jù)標注實施嚴格管控及分級·模型上線運行時：關鍵風險在于輸入輸出的內(nèi)容合規(guī)管控(防范敏感詞、違法內(nèi)容及惡意誘導生成),以及Web、API層面的應用安全防護(抵御注入攻擊、未授權訪問)和運行時監(jiān)測體系的建立，以保障生成內(nèi)容這些風險要求構建覆蓋開發(fā)、數(shù)據(jù)、運營為一體的全流程的縱深防御體系。2024年度互聯(lián)網(wǎng)安全報告：AI浪潮下，體系化主動安全升維指南網(wǎng)宿安全在2023年互聯(lián)網(wǎng)安全報告中首次提出了基于“風險管理”的“體系化主動安全”理念，而2024年生成式AI的廣泛應用重構了企業(yè)風險管理的底層邏輯。傳統(tǒng)風險管理以“被動防御”為主，而AI時代需圍繞資產(chǎn)、脆弱性、威脅三要素重構體系，構建“主動預測-動態(tài)響應-智1.1.風險管理要素演進傳統(tǒng)的網(wǎng)絡安全風險管理的三要素是資產(chǎn)、脆弱性和威脅。資產(chǎn)的脆弱性客觀存在，威脅主體通過利用脆弱性AI時代下，資產(chǎn)、脆弱性以及威脅的態(tài)勢都發(fā)生了顯著的企業(yè)資產(chǎn)從傳統(tǒng)數(shù)字資產(chǎn)(如主機、Web應用、小程序等)向AI資產(chǎn)(如大模型、微調(diào)參數(shù)、API接口等)延AI技術使攻擊面從傳統(tǒng)IT基礎設施擴展至大模型、服務及數(shù)據(jù)領域。具體表現(xiàn)為：攻擊面從靜態(tài)代碼漏洞轉(zhuǎn)向動態(tài)數(shù)據(jù)流與模型交互層，攻擊者利用對抗樣本、提示注入突破防御；生成式AI催生偽造API密鑰、服務賬戶等非人類身份攻擊載體，Al自身存在訓練數(shù)據(jù)污染、模型逆向竊取、輸出合規(guī)性失控等風險。例如，攻擊者通過數(shù)據(jù)投毒破壞模型決策，或利用模型提取技術竊取商業(yè)大模型參數(shù)。AI技術推動網(wǎng)絡威脅從傳統(tǒng)攻擊升級為多維度智能對抗：攻擊者利用生成式工具將惡意軟件開發(fā)周期從數(shù)月壓縮至分鐘級；動態(tài)對抗場景中，AI自動化生成釣魚郵件、偽造生物特征、挖掘Oday漏洞，甚至通過對抗性樣本直接癱瘓Al系統(tǒng)。同時，AI自身成為攻擊目標：攻擊者通過提示注入操縱大模型泄露機密、利用模型逆向工程竊取商業(yè)邏輯，并瞄準算力基礎設施實施資源劫持。更嚴峻的是Al內(nèi)生性威脅：自進化AI可能以“優(yōu)化效率”名義繞過身份驗證規(guī)則，或通過數(shù)據(jù)投毒引發(fā)模型決策偏移。2024年，風險管理理念聚焦主動化、智能化、全生命周期化，構建覆蓋“資產(chǎn)-脆弱性-威脅”三位一體的動態(tài)將傳統(tǒng)數(shù)字資產(chǎn)(如數(shù)據(jù)庫、API接口)與新型AI資產(chǎn)(大模型參數(shù)、訓練數(shù)據(jù)集、推理服務)統(tǒng)一納入管控范圍，利用外部攻擊面管理(EASM)工具，通過DNS探測、端口掃描、API信息收集等技術自動識別暴露面。構建資產(chǎn)圖譜，整合CMDB、EDR、云平臺等多源數(shù)據(jù)識別跨系統(tǒng)依賴風險。從傳統(tǒng)漏洞修復升級為“開發(fā)安全+攻防對抗”雙軌制防御，覆蓋模型訓練、部署、迭代全周期：在模型設計階段嵌入安全原則(如最小權限、防御深度),通過對抗訓練提升魯棒性(如對抗樣本防御技術);利用AI驅(qū)動的多維分析算法(如攻擊路徑模擬、威脅情報聯(lián)邦學習),動態(tài)評估漏洞優(yōu)先級；組建AI紅隊，模擬對抗攻擊(如提示注入、模型提取攻擊),驗證防御體系有效性。整合威脅情報、漏洞披露數(shù)據(jù)、業(yè)務流量日志，構建AI風險評估模型，量化風險值并生成修復建議，定期執(zhí)行“AI安全健康檢查”,覆蓋數(shù)據(jù)泄露風險、算力濫用、API濫用等場景，利用入侵和攻擊模擬(BAS)工具，驗證防御策略有效性。安全建設重點安全建設重點云網(wǎng)端大數(shù)據(jù)云網(wǎng)端大數(shù)據(jù)應用應用數(shù)據(jù)數(shù)據(jù)Al與大模型隨著AI與大模型技術的深度滲透，網(wǎng)宿安全推動“體系化主動安全”理念實現(xiàn)三維升級：在AI技術增強云、網(wǎng)絡、端點、應用及數(shù)據(jù)防護的同時，將大模型開發(fā)、數(shù)據(jù)及運行納入防護體系，實現(xiàn)真正全鏈路的防御閉環(huán)。以下將圍繞網(wǎng)宿安全核心領域(Web應用安全、辦公安全、安全運營)及新增的大模型基礎設施安全，分享傳統(tǒng)基于規(guī)則和靜態(tài)特征的防護手段，已難以應對AI驅(qū)動的智能化、持久化攻擊鏈。生成式AI技術的爆發(fā)式應用正在重塑風險管理的底層邏輯。網(wǎng)宿安全建議企業(yè)盡早建設或升級Web安全防御體系，以下是網(wǎng)宿安全基于多年安全產(chǎn)品沉淀及多行業(yè)客戶服務經(jīng)驗，總結得出的落地建議：基于WAAP框架深入融合AI檢測能力，通過有監(jiān)督、半監(jiān)督及無監(jiān)督等機器學習協(xié)同訓練，構建動態(tài)檢測模型。基于海量安全數(shù)據(jù)持續(xù)優(yōu)化模型能力，實現(xiàn)異常流量識別、用戶行為聚類以及威脅等級評估等能力，大幅提升對未知威脅和零日攻擊的檢測效率。離線AI智能防護引擎大數(shù)據(jù)集群實時生成實時調(diào)控實時生成實時調(diào)控探針采集信息Bot自動化威脅檢測秒級下發(fā)策略實時防護引擎2.1.2.建設自動化安全運營中樞傳統(tǒng)告警規(guī)則難以應對AI催生的海量攻擊與告警泛濫問題，企業(yè)應升級自身安全運營體系：依托AI技術實現(xiàn)多源數(shù)據(jù)融合分析(攻擊日志、業(yè)務訪問、監(jiān)控數(shù)據(jù)),通過異常行為識別與威脅置信度分級，自動過濾冗余告警并聚焦高危事件。基于大模型驅(qū)動的事件處置智能體，構建“發(fā)現(xiàn)-分析-響應-總結”全流程閉環(huán)，實現(xiàn)自動化處置與策略自優(yōu)化，大幅縮短響應周期并降低人工干預。30實時防護引擎米實時防護引擎推送Bot管理API安全Al助手海SASE架構提供了一個符合企業(yè)需求的網(wǎng)絡安全解決方案。它的靈活性、簡化管理、成本效益，讓它成為一種符合未來趨勢的辦公安全建設方式。隨著企業(yè)對安全和網(wǎng)絡效率要求的不斷提高，采用SASE架構的企業(yè)將更具競爭優(yōu)勢和適應力?！そ档推髽I(yè)和組織的網(wǎng)絡安全風險：SASE通過基于身份的訪問控制，以及集成的安全模塊，能夠更有效地防御安全威脅，減少數(shù)據(jù)泄露和攻擊的風險?！ぬ岣咂髽I(yè)效率和業(yè)務靈活性：SASE平臺通過就近接入與高速網(wǎng)絡優(yōu)化性能，助力企業(yè)靈活適應遠程辦公擴展及業(yè)務變動，保障連續(xù)性與競爭力?！そ档推髽I(yè)和組織的IT成本：SASE通過邊緣+云安全，減少軟硬件投入和維護費用，靈活按需購買安全模塊，從而降低企業(yè)的運營成本?；贕artnerSASE安全框架，業(yè)界普遍采用一體化辦公安全解決方案，深度融合安全SD-WAN、零信任訪問、數(shù)據(jù)安全治理、威脅檢測與響應、IT效率管理及統(tǒng)一態(tài)勢管理能力，實現(xiàn)全流量防護覆蓋。方案通過單一平臺集成核心安全功能，以輕量化架構提供安全、高效、便捷的辦公安全服務，助力企業(yè)平衡安全防護與業(yè)務效能。2024年度互聯(lián)網(wǎng)安全報告：AI浪潮下，體系化主動安全升維指南31數(shù)據(jù)安全XDLP數(shù)據(jù)地圖內(nèi)容識別多密級安全域數(shù)據(jù)備份恢復全盤加解密敏感來源加密審批解密跨運營商優(yōu)化骨干傳輸網(wǎng)絡統(tǒng)一管理平臺身份鑒權安全訪問ZTNA單包認證暴露面收斂單點登錄MFA認證最小授權多認證源行為感知信任評估策略聯(lián)動安全基線全球邊緣網(wǎng)絡全球加速威脅檢測與響應XDR病毒查殺勒索防護合規(guī)檢測漏洞修復威脅檢測威脅響應全球分布智能選路IT效率管理802.1X準入SPAN準入設備資產(chǎn)設備授信軟件管理版權檢測行為審計訪問限制DDoS云清洗全平臺威脅云WAF沙箱隔離保護明暗水印企業(yè)的發(fā)展是分階段的，不同階段對安全的重點需求可能不同。SASE方案的實施建設分步可以根據(jù)企業(yè)當前的業(yè)務重點和緊迫需求，優(yōu)先實施關鍵部分。建議企業(yè)可以按照以下三個階段，選擇合適的建設目標：2.2.1.基礎安全：快速落地零信任，安全訪問內(nèi)網(wǎng)建設重點：企業(yè)發(fā)展初期聚焦辦公訪問安全，從暴露面收斂切入，通過總分組網(wǎng)、遠程辦公、無感審計，實現(xiàn)基礎辦公環(huán)境和底層云安全網(wǎng)絡架構的搭建，打造局部用戶安全接入能力，夯實安全底座。·快速收斂暴露面：企業(yè)互聯(lián)網(wǎng)暴露的IT資產(chǎn)是首要風險，實施SASE方案時優(yōu)先通過零信任讓IT資產(chǎn)實現(xiàn)“網(wǎng)絡隱身”,阻斷外部偵察掃描·身份管理及訪問控制授權：以身份為中心的最小授權原則，靈活而嚴格管理應用的訪問權限，并實施輕量數(shù)據(jù)外發(fā)審計，對用戶無感知，推廣阻力小?！び脩粼L問體驗提升：傳統(tǒng)的辦公網(wǎng)絡方案無法有效保證跨網(wǎng)、全球辦公場景下的網(wǎng)絡訪問質(zhì)量，依托全球SD-WAN安全加速網(wǎng)絡，可以給用戶帶來極致的訪問質(zhì)量和辦公體驗。推薦場景：●企業(yè)員工出差/遠程辦公、BYOD安全辦公接入內(nèi)網(wǎng)和輕量數(shù)據(jù)保護●第三方合作伙伴、上下游供應商、外包等遠程接入，精細化管理身份和訪問權限·護網(wǎng)、等保合規(guī)下的內(nèi)網(wǎng)安全加固，收斂互聯(lián)網(wǎng)暴露面，解決VPNOday隱患2024年度互聯(lián)網(wǎng)安全報告：AI浪潮下，體系化主動安全升維指南建設重點：企業(yè)快速發(fā)展階段，進一步優(yōu)化員工辦公體驗，由淺入深地實施多維度安全策略，立體化提升辦公防護水位，并實現(xiàn)數(shù)據(jù)防泄露全場景覆蓋?！と媪阈湃螌嵤簭木植康倪h程辦公接入，推廣到全企業(yè)無論內(nèi)外網(wǎng)都實施零信任。實現(xiàn)內(nèi)外網(wǎng)的統(tǒng)一集中可視化運營，一站式管理企業(yè)的軟硬件資產(chǎn)?！ちⅢw化風險防護：融合XDLP、XDR、網(wǎng)絡準入和ZTNA聯(lián)動，通過UEBA深度分析，持續(xù)動態(tài)授權，將風險橫移降至最低，提高風險處置的及時性和準確度?！?shù)據(jù)防泄露全場景覆蓋：針對不同用戶、不同終端、不同數(shù)據(jù)和不同應用的數(shù)據(jù)防泄露全場景全通道無死角覆蓋，建設覆蓋數(shù)據(jù)全生命周期的分類分級管控體系。推薦場景：●為全球員工、分支機構和移動辦公提供全面的安全防護，提升全網(wǎng)安全防護水位·上下游供應商、代理商、外包等第三方遠程接入安全，動態(tài)信任評估·針對移動辦公、外包研發(fā)及第三方合作廠商，實現(xiàn)全場景數(shù)據(jù)保護閉環(huán)建設重點：企業(yè)發(fā)展到成熟階段，從數(shù)據(jù)生命周期的各個環(huán)節(jié)提供智能化防護。加速AI技術在辦公安全領域的應用落地，應對復雜攻擊。結合IT管理工具提升辦公安全運營效率，構建主動、智能的數(shù)據(jù)保護體系?！ぶ鲃语L險識別：通過SASE接管內(nèi)網(wǎng)訪問流量，結合AI實現(xiàn)深度威脅檢測與防御，通過威脅可視化、風險識別主動化及處置自動化，提升終端安全水位，構建企業(yè)安全管理體系?！さ谌桨踩?lián)動：可以設置與企業(yè)傳統(tǒng)安全的日志對接，實現(xiàn)威脅的協(xié)同與聯(lián)動處置，最大化實現(xiàn)現(xiàn)有安全設備投資的價值體現(xiàn)。·IT高效運營：將終端、網(wǎng)絡與安全集成一體化管理，訂閱式服務，按需購買，成本更可控；性能消耗小用戶感受好，提升終端運維和安全管理效率。推薦場景：2024年度互聯(lián)網(wǎng)安全報告：AI浪潮下，體系化主動安全升維指南2.3.借助Al+安全運營托管，實現(xiàn)“主動免疫”2.3.1.AI時代下，安全托管服務成為企業(yè)首選首先，企業(yè)資產(chǎn)暴露面因物聯(lián)網(wǎng)、云原生技術的普及而持續(xù)擴大，傳統(tǒng)靜態(tài)資產(chǎn)管理難以應對動態(tài)變化的網(wǎng)絡拓撲與設備接入；其次，AI技術自身存在模型幻覺、數(shù)據(jù)濫用等內(nèi)生脆弱性，同時漏洞修復時效性要求提升，傳統(tǒng)人工響應效率難以滿足需求；最后，AI驅(qū)動的攻擊手段(如深度偽造、自動化滲透工具)使威脅隱蔽性增強，攻擊者利用大模型生成釣魚代碼、繞過傳統(tǒng)規(guī)則檢測，威脅檢測誤報率與響應延遲居高不下。在此背景下，安全托管服務(MSS)成為企業(yè)破局關鍵。MSS通過整合云端專家資源與AI技術，構建“資產(chǎn)-脆弱性-威脅”閉環(huán)管理：動態(tài)識別暴露面資產(chǎn)并分級，結合自動化掃描與人工驗證實現(xiàn)漏洞快速修復，同時依托7×24小時威脅狩獵能力，通過多源數(shù)據(jù)關聯(lián)分析精準識別APT攻擊鏈，最終以“人機共智”模式將平均威脅響應時2.3.2.Al+安全托管服務平臺能力展望隨著網(wǎng)絡安全威脅的復雜化和技術迭代加速，MSS平臺的核心能力已全面升級，聚焦智能化、云化、生態(tài)協(xié)同·智能自動化響應與威脅預測：平臺需要融合AI與機器學習，實現(xiàn)威脅檢測、事件分析及響應的全流程自動化。通過Al算法對海量日志進行實時分析，平臺可精準識別異常行為，預測潛在攻擊路徑，并自動執(zhí)行封禁、隔離等響應動作。·云原生安全保護：平臺可以對混合云，多云環(huán)境提供云原生安全能力，包括CNAPP、WAAP、SASE等，通過云端可拓展的安全能力，實現(xiàn)平臺動態(tài)適配業(yè)務負載變化?！U展檢測與響應能力：通過整合：終端、網(wǎng)絡等環(huán)境的數(shù)據(jù)，構建XDR框架，實現(xiàn)攻擊鏈全生命周期可視化。平臺通過關聯(lián)分析、攻擊鏈還原等技術，可快速定位高級持續(xù)性威脅(APT)的源頭，并提供精準溯源報告?！ず弦?guī)驅(qū)動的風險治理能力：為應對網(wǎng)絡安全法、數(shù)據(jù)安全法及等保2.0等法規(guī)要求，MSS平臺需性評估模塊，支持定期生成合規(guī)審計報告，并結合漏洞風險等動態(tài)檢測、評估及處置等全流程管理，確保企業(yè)安全合規(guī)的運行。隨著AI的快速發(fā)展，在MSS平臺中融入AI技術已成為企業(yè)提升安全運營效率與防護能力的必然選擇，基于技術成熟度與場景適配性，企業(yè)可以從“聊天機器人→人機交互→界面集成大模型數(shù)據(jù)分析”三階段路徑，逐步構建AI與MSS的深度協(xié)同能力。·聊天機器人模塊：通過AI驅(qū)動的聊天機器人，實現(xiàn)安全事件處理流程的初步自動化，降低人工干預成本。能力聚焦于基礎告警處理、快速知識檢索與標準化響應，利用自然語言處理(NLP)技術理解用戶需求并執(zhí)行簡單任務。2024年度互聯(lián)網(wǎng)安全報告：AI浪潮下，體系化主動安全升維指南34AlAl助手×您好!我是安全智能助手有任何安全問題都可以問我哦~①Aaezhec/wndoymdmo2024年度互聯(lián)網(wǎng)安全報告：AI浪潮下，體系化主動安全升維指南35·安全產(chǎn)品界面集成大模型數(shù)據(jù)分析：大模型深度嵌入MSS平臺界面，實現(xiàn)數(shù)據(jù)驅(qū)動決策與業(yè)務風險聯(lián)控。AI不僅分析安全數(shù)據(jù)，還能關聯(lián)業(yè)務