2024年网络安全深度洞察及2025年趋势研判

D E E P I N S I G H T I N TO CY B E RS E CU R I TY I N 2 0 2 4A N D T R E N D A N A LYS I S I N 2 0 2 5 千里目安全技术中心 引言 2024 年的网络安全局势可谓惊心动魄，网络安全大事件频发，从微软高管邮箱被黑客攻陷，到 CrowdStrike 更新失误致全球 Windows 系统崩溃，再到黎巴嫩突发寻呼机大规模群体爆炸。勒索软件攻击的逐年上升，攻防之间的战略博弈，以及利用生成式人工智能（GenAI）和深度伪造技术发起的复杂且隐蔽的攻击，都使得企业和个人面临着前所未有的安全威胁。 本报告旨在深入分析当前网络安全领域的关键趋势，探讨最新的攻击手段和防御技术，并提供实用的策略和建议，帮助企业和组织更好地应对网络安全挑战。本报告根据国内外开源软件漏洞发展现状，分析当前开源软件漏洞威胁态势和治理成效；深入研究国内外勒索软件攻击发展趋势与犯罪特点，给出勒索软件治理的建议与策略；从实际攻防场景出发，深入剖析攻防场景技战法；根据人工智能大模型不断突破的能力，思考大模型赋能网络安全的革新场景。 声明 本报告由深信服千里目安全技术中心编写。文中数据来源于 KEV、OSV、GitHub Advisory Database、Ransomfeed 等行业代表性数据，且均明确注明来源，其余数据来源于报告编写团队，目的仅为帮助读者及时了解中国或其他地区网络安全趋势的最新动态和发展，仅供参考。 本报告中所含内容乃一般性信息，不应被视为任何意义上的决策意见或依据，任何编制单位的关联机构、附属机构并不因此构成提供任何专业建议或服务。在作出任何可能影响您的财务或业务的决策或采取任何相关行动前，或您对本报告内容有任何问题与建议，可联系深信服官方。 摘要 2024 年，人工智能大模型深度赋能网络安全技术革新，在安全运营、威胁检测、钓鱼邮件检测方面已得到应用，数据分级分类场景的大模型正逐步应用，全网威胁情报整合分析目前还处于概念可行阶段，待进一步开展应用。 2024 年，新兴技术突破遭受境外网络攻击严重，中国首款 3A 游戏《黑神话：悟空》全网上线遭受大规模网络攻击导致服务器瘫痪，AI 大模型 Deepseek-R1 上线持续遭受境外网络攻击。我国技术的突破和领先屡次遭受境外网络攻击和打压。 2024 年典型攻防场景中，在初始访问阶段社工钓鱼和 0day 漏洞利用是最常用的技战法，主要通过社工钓鱼窃取凭证和多渠道钓鱼进行攻击，逻辑漏洞是战中 0day 漏洞挖掘的主要方向。 2024 年典型攻防场景中，在横向移动阶段身份攻击和免杀对抗是最主要的攻击方式，主要针对常规集控、知识密集型应用和安全设备进行身份攻击，通过高级逃逸技术和致盲终端安全软件进行免杀对抗。 2024 年深信服响应勒索应急事件超过 210 起，制造业占比超过 27%，是受影响最严重的行业。全球勒索攻击事件逐年增多但对全球产生巨大影响的勒索事件有所减少。 2024 年已披露的开源软件漏洞高危及以上占比超 40%，开源软件漏洞中 CWE-416 类型上升最快，排名第二。利用此类漏洞可以获取任意代码执行权限，是 APT 攻击者的重要目标和武器。 目录 开源软件漏洞威胁态势分析开源软件漏洞影响分析开源软件漏洞治理与防御的策略与建议010304 勒索软件攻击发展趋势分析05 勒索软件攻击发展趋势分析勒索软件网络犯罪特点分析勒索软件治理与合作的策略与建议050607 攻防场景发展趋势分析09 攻防场景下初始访问阶段技战法分析攻防场景下横向移动阶段技战法分析攻防场景下安全防御能力建设的策略与建议091110 人工智能赋能网络安全应用发展情况分析13 网络安全大模型基本概况人工智能大模型赋能的网络安全场景安全运营威胁检测钓鱼邮件检测数据分级分类威胁情报整合与分析13141516171819 2025年重点关注趋势20 参考链接22 开源软件漏洞态势分析 开源软件漏洞威胁态势分析 近年来，开源软件漏洞数量整体呈增长趋势，2024 年统计数据显示，高危及以上漏洞占比超过 40%，开源软件作为软件供应链的重要组成部分，一旦爆发严重漏洞将对整个软件供应链带来极大安全风险。开源漏洞数据库（Open SourceVulnerability，OSV）数据显示，近 10 年披露的开源软件漏洞总计 57000 个，从十年增长率来看，整体呈增长趋势，历年高危及以上漏洞占比均超 40%。漏洞数量逐年增长和高危以上漏洞占比居高，与近年来开源项目的增多和全球开源软件大事件的频发存在一定关系。 2024 年 CWE-416 上升最快，目前排名第二，通过此类漏洞攻击者可以获取任意代码执行权限，是 APT 攻击者的重要目标和武器。根据对 OSV 漏洞数据库数据统计分析，截至 2024 年 12 月 31 日，发现近 10 年缺陷类型为 CWE-79 的漏洞数量最多。按照数量统计，CWE-416 近 10 年排名第六，2024 年排名第二，CWE-416 是上升最快的缺陷类型，通过此类漏洞攻击者可以获取任意代码执行权限，该类型的漏洞在浏览器和 Office 软件中比较常见。已知被利用漏洞目录（KEV）数据显示，2023 年被利用最多的十大 CWE 漏洞排名第一的是 CWE-416，是 APT 攻击者的重要目标和武器。 Maven 仓库漏洞数量现居榜首，2022 年主流生态仓漏洞均有明显增加，2024 年增速放缓。根据 GitHub AdvisoryDatabase 数据显示，截至 2024 年 12 月 31 日，对 Github 已审核的 21272 个开源软件漏洞进行分析，发现 Maven 仓库漏洞数量最多，总计 5239 个，2022 年各仓库已审核漏洞数量是 2021 年 2 倍多，是已审核漏洞数量增长最快的一年。（GitHub Security Advisories 是一个专注于开源领域通用漏洞披露的数据库，是开源软件漏洞领域最具权威的漏洞库之一，基于通用漏洞披露列表而构建。） 在 Github 漏洞库已审核漏洞中，高危及以上漏洞占比超过 50%，暴露了当前开源软件在安全性方面仍存在风险，同时也反映了软件供应链安全问题的严重性。根据 GitHub Advisory Database 数据显示，截至 2024 年 12 月 31 日，Github 漏洞库已审核漏洞 21272 个，严重漏洞占比 15%，高危漏洞占比 36%。 开源软件漏洞影响分析 开源软件漏洞传播链长，危害性沿供应链逐级放大。 复用开源软件的情况在现代软件开发中愈发普遍，软件供应链也随之复杂多元。开源软件属于软件开发原料，攻击者可以通过软件供应链的上下游关系，利用开源软件对下游软件发起裂变式恶意攻击。CNCERT《开源软件供应链安全风险研究报告》调查结果显示，选取 17,570 个含漏洞的开源文件，超 80% 的文件可在开源项目中找到同源文件。该报告的另一调查结果显示，开源组件漏洞一级传播（直接依赖）影响范围扩大 125 倍，二级传播（间接依赖）影响范围扩大173 倍。 开源软件漏洞影响范围大，持续时间长。 2021 年曝出的 Log4j2 安全漏洞事件，是典型的软件供应链安全漏洞事件，Apache 安全团队公布了受影响软件项目列表，涉及 Cloudflare、iCloud 等多个国际知名商业服务，影响了 93% 的企业云环境。据统计，35000+ 个开源软件Java 组件依赖于 Log4j2，意味着超过 8% 的软件包里至少有一个版本会受此漏洞影响，可见该漏洞影响范围之大。美国网络安全审查委员会首份报告指出，Log4j2 漏洞要十余年才能修完，将在未来十年甚至更长时间持续引发风险，持续时间之长可见一斑。 开源软件漏洞维护成本大，责任落实难。 主要受以下因素影响：开源软件通常依赖于社区的支持来发现和修复漏洞，社区的规模和活跃程度会影响漏洞修复的速度和质量，然而社区的规模及活跃度往往参差不齐；开源软件供应关系网络错综复杂，增加了发现和修复漏洞的难度，修复漏洞往往需要更多的时间和资源；开源软件通常面临大量的漏洞报告和修复请求，管理这些漏洞并及时响应需要专门的漏洞管理流程和工具，增加了开源软件漏洞的维护成本；开源软件漏洞责任落实困难，开源软件开发者群体分散，导致开源软件漏洞的责任界定和追溯变得复杂；开源项目通常依赖于捐赠，可能由于资金和资源的限制导致漏洞修复延迟或不完善；在某些国家和地区，缺乏明确法律框架，从而影响了漏洞的及时修复和责任的追究。 开源软件漏洞治理与防御的策略与建议 建议我国开源软件漏洞治理工作从国际合作、数字化发展内需、开源人才、新兴技术等方面开展。 一是顺应国际化合作趋势，协作发现和修复漏洞，上下游共享漏洞信息和资源，建立统一的漏洞披露标准和最佳实践。在全球化趋势之中，提高全球开源软件安全性，也意味着提升我国开源软件安全性。 二是符合国内数字化建设发展的安全内需，开源软件已成为数字化基础设施的重要组成部分，在云计算、大数据、人工智能等领域被广泛应用。开源软件在为各行业企业数字化转型提供便利的同时也带来了严峻的安全风险，智能制造、电力、能源、汽车等重要行业领域应加强开源软件漏洞治理。 三是开源人才新生力量持续注入，国内拥有超过 1200 万的开源开发者和高校毕业生已加入开源生态圈，积极开展开源软件开发、维护等工作，开源人才的持续孵化，有望推动新一轮全球开源发展升级。 四是人工智能大模型技术兴起，推动漏洞治理工作自动化、智能化和高效化。通过模型训练和指令微调，能够自动化开展提供代码安全审计、漏洞检测、漏洞挖掘，提供漏洞修复建议，极大降低漏挖技术门槛，提升工作效率。 针对释放后重用（CWE-416）漏洞，根据攻击步骤不同可以从安全内存释放、安全的内存分配、访问内存时检查等方面进行防御。 一是安全的内存释放，该类防御机制的特点在于他们能够在释放内存时将指针放回空闲链表前，通过不同的方式确保释放的内存不存在悬空指针。具体可采用自动垃圾回收、检查后释放、清除悬空指针等方法防御释放后重用漏洞攻。释放后重用攻击能够成立的一个必要条件就是程序在释放内存时未及时清理悬空指针，这类防御机制破坏了释放后重用漏洞的必要条件，因此具有较高的安全性。 二是安全的内存分配，该类防御机制通过调整内存分配器的分配策略，进而缓解针对释放后重用漏洞的攻击。具体可采用概率化堆空间分配、类型安全的堆分配、不回收释放内存的虚拟地址空间等方法防御释放后重用漏洞攻击。 三是访问内存时检查，该类防御机制则是通过给指针和其对应的内存加上元数据并且追踪指针的传播，从而确认指针是否与当前访问的内存相匹配。由于内存重分配前和重分配后的元数据是不同的，使用指向释放前内存的指针访问重分配的内存会因为元数据不匹配导致异常。 针对开源软件高危等级以上漏洞，可以从漏洞修复优先级、软件物料清单、项目监控与评估审查等方面进行防御。 一是利用漏洞优先级技术（VPT）对开源软件高危等级以上漏洞进行修复。在安全运营工作中，想修复所有的漏洞几乎不可能，VPT 是采用某些方法和流程，动态地将需要修复的漏洞进行优先级排序和流程优化，提高修复效率，以达到用最少的时间实现最好的效果。 二是维护软件物料清单（SBOM）和开源组件清单。使用自动化工具分析软件物料清单（SBOM），以更好地了解软件组件、相关漏洞及其对软件架构的影响。跟踪项目中使用的所有开源组件对于有效管理和更新漏洞补丁至关重要，全面的清单允许组织高效监控和管理依赖项，确保所有组件都是安全和合规的。 三是持续地对项目进行监控并进行全面的安全评估和审查。使用安全工具持续监控生产中的应用程序，自动防止漏洞被利用。对开源工具进行全面的安全评估，确保所有组件定期更新和打补丁。实施严格的代码审查，并使用安全工具自动审查开源代码中的已知漏洞，并参考漏洞数据库了解漏洞的潜在影响及补救措施。