AI浪潮下-体系化主动安全升维指南
AI智能总结
目录 CONTENTS引言第一章2024年网络攻击态势1.企业暴露面威胁态势1.1.CVE漏洞数量持续上升,高危漏洞数量占比持续处于高位1.2.高危端口数量攀升,攻击技术升级1.3.弱口令安全事件占比高达34%,亚需引起重视2.Web威胁态势2.1.DDoS攻击态势2.1.1.T级DDoS攻击常态化,超过1T的攻击次数增长惊人2.1.2.勤索型DDoS产业化2.1.3.来源于东南亚区城的DDoS攻击呈著增长2.2.Web漏洞利用态势与威胁演化2.2.1.AI应用漏洞攻击数量激增2.2.2.国产软件漏洞攻击多发于特定行业,暴露安全审计能力不足2.2.3.漏洞利用呈现"双轨固化"趋势2.3.Bot攻击态势2.3.1.恶意Bot流量持续增长,票务行业成为Bot重点攻击对象2.3.2.Bot攻击总体呈现"高智能化、强对抗性”态势2.3.3.AI大模型爬虫对企业业务的链式冲击2.4.API攻击态势2.4.1.API成为Web攻击主战场2.4.2.安全漏洞导致的数据风险攀升3.办公网络威胁态势3.1.攻击规模和复杂度双加剧,多分支企业风险更突出3.2.数据泄露加剧4,主机威胁态势4.1.资源占用型攻击仍占主旋律4.2.弱口令问题依然是头号风险4.3.超80%入侵事件应用持久化技术4.4.超96%安全事件使用防御绕过技术 467801010101011111212131313141515151616 5.AI基础设施威胁态势5.1.AI浪潮下的网络风险升级5.2.AI系统自身风险5.3.AI技术不当利用风险第二章安全技术变革:AI驱动防御策略升级1.Web安全技术变革1.1.两个AI改变攻防范式的典型案例1.2.Web攻防范式:从规则对抗演进到智能体攻防2.办公安全技术变革2.1.IT建设管理趋势:安全一体化防护2.2.数据泄露纵深防御:多场景匹配平衡安全和体验2.3.办公安全与AI技术融合:利用AI增强数据保护3.安全运营技术变革3.1.安全运营正逐步迈向智能化3.2.“风险驱动安全运营“理念持续升级4.AI基础设施安全策略第三章安全策略:AI+体系化主动安全的升维1.AI时代下的风险管理范式升级1.1.风险管理要索演进1.2.智能驱动的动态风险管理体系2.体系化主动安全的技术跃迁2.1.Web安全:WAAP+AI的纵深防御架构2.2.深化SASE架构,建设体系化主动办公安全2.3.借助AI+安全运营托管,实现“主动免疫"3,大模型体系化安全建设思路3.1.筑牢大模型安全底座,构建全栈防护闭环3.2.分区分域构建大模型安全纵深防御体系总结 21212222232424242526272727282829OE333636378E 引言2024年,随着企业数字化转型深入、组织和技术环境持续变化,特别是生成式AI技术的规模化应用,导致暴露面与漏洞数量持续攀升,网络安全形势愈发严峻复杂。2024年,网络攻击规模持续扩大,攻击手段更加专业化。防守者也与时俱进,变得更加主动与体系化,攻防对抗强度持续增加。生成式AI技术快速发展在网络安全领域呈现出显著的“双刃剑”效应。生成式AI在促进客行业发展的同时,也显著扩增了企业与组织的攻击面,围绕大模型技术及业务特点的新型攻击模式开始通现。攻防双方都在加快生成式AI技术引入,试图让网络攻击和防御变得更加智能化与自动化,网络攻防对抗形态与模式正快速转变。在此背景下,网宿安全旨在通过本期研究,分析总结过去一年中的网络空间威胁态势,探索网络攻击手段演进与防御技术的变革,并探讨如何用“体系化主动安全”理念,为AI时代网络安全体系建设提供可落地的安全新范式,供行业发展参考。报告基于网宿安全平台2024全年产生的攻防数据,包括金融、政务、制造等数十个行业,进行脱敏和分析,并结合对全球网络安全事件、攻防技术动态等宏观形势的观察得出。报告由网宿安全演武实验室主导编撰。演武实验室拥有30多位攻防研究专家,聚焦于Web安全、零信任、办公安全,主机安全等领域研究与实践,在网络攻防、应急取证、安全运营等方面具备深厚的经验况淀。同时,网宿安全基于全球化安全平台的数据构建了具有大网视角的威胁情报系统,为攻防态势研究提供全景式支撑。演武实验室诸多研究成果已应用于网宿全站防护(WAAP)、Securelink(SASE、零信任)等产品服务,同时作为CNCERT(国家互联网应急中心)、CNNVD(中国国家信息安全漏洞库)多年支撑单位,在国家网络安全保障工作也发挥了积极作用。本报告在为行业提供镜鉴,与各方共同守护数字时代的产业累荣和国家安全。我们期待与从业者共同完善防御方案,在持续升级的网络对抗中构建更稳固的安全体系。 第一章2024年网络攻击态势网宿安全演武实验室研究发现。2024年随着AI等新兴技术的快速发展。网络攻击早已突破传统的单点渗透模式。如下围所示,攻击者通过日益增大的互联网暴露面作为初始入口,结合A生成的社工钓鱼攻击、供应链攻击等攻击手段突破Web应用防线,进而利用办公场景中的办公漏洞、实施身份凭证、集权系统攻击等行为进行横向涉透,最后实现攻陷目标的目的,形成全链路攻击闭环。应用漏润社工/的鱼身份先证势取API漏涡高危端口DMZ应用入侵内网扫描弱口令集权系统政击改击西利用边界突破横向港透改击者DDOS双击VPN漏润办公漏润利用网络限虫供应链攻击撞库暴力破解应用安全办公与生产安全网宿安全认为,这种由外至内、多环节联动的攻击范式变革,将倒逼防御体系必须系统性重构暴露面收敛、Web应用安全防护、办公安全零信任化及主机主动防御能力。据此,本章节将国绕企业这种由外至内的攻击手段的演进与变革展开研究,同时深入跟进AI的快速发展带来的基础设施威胁态势的变化,协助企业在AI时代更加全面的了解网络安全攻击态势。1.企业暴露面威胁态势1.1.CVE漏洞数量持续上升,高危漏洞数量占比持续处于高位网宿安全演武实验室研究发现,2024年全球新增CVE漏洞首次突破4万,截止到2024年累计披露漏润数量达274588个,其中2024年新增高危漏洞数量27200个,占比高达67.98%。1.1.1.新增CVE漏洞连续5年保持增长,2024年新增CVE漏洞超4万个2024年,全球新增CVE漏洞达40009个,对比2023年新增漏洞增长29.3%,累计披露漏洞数量达274588个,对比2023年,增长17.1%。 防卸绕过提权改击权限持久化命令与控制目标主机安全 1.1.2.新增高危漏洞数量逐年攀升,2024年高危漏洞占比高达67.98%2024年,新增高危漏洞数量达到27200个,对比2023年的20102个,增长了35.3%,高危漏洞的增长率提升明显,同时,2024年新增高危漏润占全部新增漏润的比例达到了67.98%,对比2023年的65%也有了进一步提升。近5年高危险漏洞数据态势700006000052.52%62.36%65.00355000047.86%400001585830000100461050520000254313092710000192222195C02020年2021年2022年2023年■新增CVE数量新增高危漏润致量高急占比1.1.3.Web应用、APl以及办公终端漏洞利用占比高2024年漏洞利用态势呈现星著分化。Web应用漏洞以45%占比成为首要攻击目标,凸显其作为互联网暴露面的胎弱性;办公终端漏洞利用率达25%,反映远程办公场景下终端防护薄弱与凭证滥用风险;API接口和操作系统的漏洞利用审占比攀升,揭示供应链攻击与系统层提权手段的升级趋势。尽管数据库和移动应用的漏洞攻击占比最低,但前者承载核心数据资产,后者伴随BYOD普及存在潜在威胁。数据表明,攻击者正沿“暴露面突破→应用层渗透→终端横向移动”路径重构攻击链。 67.98%70.00%60.00%%00°0540.00%30.00%20.00%10.00%0.00%2024年 1.2.高危端口数量攀升,攻击技术升级2024年TOP10高危端口如下,其中5SH(22)、RDP(3389)以及HTTPS(443)占高危端口TOP3,同时网宿安全观察也发现,针对高危端口的攻击技术也在持续升级,包括自动化工具,ODay漏洞利用,针对金融,制造等行业的定向攻击也有了明显的增加。第口协议/服务暴需致量(全球)22SSH1.B亿+3389RDP1.2Z+443HTTPS9.5亿+445SMB6,700万+80HTTP8.4亿+53DNS3.6fZ+5900VNC2,300万+90EEMySQL1,700万+27017MongoDB900万+23Telnet4,500万+ 攻击占比主要威胁类型27%暴力破解,挖矿本马、后门植入22%勒素软件(如LockBit4.0)、APT改击14%Web应用漏测(Log4j2.x)、供应链攻击12%永恒之蓝(EternalBlue)混润利用9%恶意重定向,DDoS反射攻击5%DNS隧道、数据外泄4%远程控制缺持、摄像头守取3%数据库激素(如 MongoDB-Express)2%来授权访间、数据泄露2%loT僵户网络(Mirai查种) 1.3.弱口令安全事件占比高达34%,驱需引起重视2024年弱口令相关的安全事件占比高达34%,其中黑客通过易力破解等方式的成功率高达18%,网宿安全通过对暗网的监控,发现暗网弱口令数据库的总量也高达410亿条,随着AI及大模型的兴起,AI驱动的暴力破解,邮件钓鱼等新型攻击行为的占比也在提升。指标弱口令相关安全事件占比最力破解成功率暗网弱口令数据库总量企业账户弱口令比例2.Web威胁态势2024年针对Web应用的攻击行为依然呈现愈演愈烈的态势,并且表现出更强的对抗性。2.1.DDoS攻击态势2.1.1.T级DDoS攻击常态化,超过1T的攻击次数增长惊人2024年,网宿平台共监测并成功防御T级(即流量规模超过1TbpS)的DD05攻击219次,同比2023年激增近10倍。尤以第四季度最为突出,T级攻击次数占全年78%,主要攻击流量的峰值和频次双双创历史新高。T级攻击次数月份分布2001801601401201008060402005122024-012024-032024-042024-09 34%18%410亿条23%1721B172024-102024-112024-12 传统印象中,DD0S攻击以短时高峰瞬时冲击为主。但2024年观察到,攻击者策略显著升级,超过86%的T级攻击持续时间超过10分钟,远超往年。其中,2024年11月29日平台遭遇了一次T级攻击,持续稳定输出63分钟,剧新平台历史记录。这不仅考验了现有防护体系的弹性,更反映出攻击成本降低及自动化操控下,DDoS威胁趋向“持久化、高强度"新态势。2.1.2.勒索型DDoS产业化对T级攻击高发的深层渊源揭示,勒索型DDOS已形成成熟产业链,成为推动高强度攻击常态化的重要动因。网宿安全演武实验至发现:,攻击目标高度集中:被攻击对象集中在软件信息服务行业(如:办公、生活、游戏软件的免费聚合平台),因依赖广告流量变现,业务连续性数感,成为攻击首选目标。目标方拒绝后即遭持续T级DDOS打击,业务被迫中断,随后收到勃索信件,要求支付赋金或配合“合作以终止攻击。,黑产技术能力增强:进一步分析发现,黑客植入的“合作”软件中捆绑木马程序,在下线平台和同业者下载的大量应用中也发现相同木马。按类别统计,社交媒体与金融类软件被植入比例最高,账号、隐私数据随即落入黑产之手,为后续精准攻击或更多变现方式提供基础。因此,索DD0S产业化不仅显著提升攻击强度与频率,也深度牵动着网络安全生态。2024年第四季度T级攻击次数的爆发式增长,正是黑产链条背后驱动的直接结果。2.1.3.来源于东南业区域的DDoS攻击显著增长在2024年,我们通过遍布全球的攻防网络监测,发现DDoS攻击源的地域分布格局正在发生显著变化。虽然中国和美国依旧占据攻击源的主要地位,但值得注意的是,东南亚地区正逐步成为DDoS攻击源的新兴区域。具体来看,印度尼西亚、新加坡、越南三国的DD0S攻击
