AI浪潮下－体系化主动安全升维指南

AI浪潮下一体系化主动安全升维指南 目录 CONTENTS 引言 第一章2024年网络攻击态势 1.企业暴露面威胁态势 1.1.CVE漏洞数量持续上升，高危漏洞数量占比持续处于高位41.2.高危端口数量攀升，攻击技术升级61.3.弱口令安全事件占比高达34%，亚需引起重视 2.Web威胁态势 2.1.DDoS攻击态势2.1.1.T级DDoS攻击常态化，超过1T的攻击次数增长惊人2.1.2.勤索型DDoS产业化2.1.3.来源于东南亚区城的DDoS攻击呈著增长 2.2.Web漏洞利用态势与威胁演化2.2.1.AI应用漏洞攻击数量激增2.2.2.国产软件漏洞攻击多发于特定行业，暴露安全审计能力不足2.2.3.漏洞利用呈现"双轨固化"趋势 2.3.Bot攻击态势2.3.1.恶意Bot流量持续增长，票务行业成为Bot重点攻击对象2.3.2.Bot攻击总体呈现"高智能化、强对抗性”态势2.3.3.AI大模型爬虫对企业业务的链式冲击 2.4.API攻击态势2.4.1.API成为Web攻击主战场2.4.2.安全漏洞导致的数据风险攀升 3.办公网络威胁态势 3.1.攻击规模和复杂度双加剧，多分支企业风险更突出3.2.数据泄露加剧 4，主机威胁态势 4.1.资源占用型攻击仍占主旋律 4.2.弱口令问题依然是头号风险 4.3.超80%入侵事件应用持久化技术 4.4.超96%安全事件使用防御绕过技术 5.AI基础设施威胁态势 5.1.AI浪潮下的网络风险升级5.2.AI系统自身风险5.3.AI技术不当利用风险 第二章安全技术变革：AI驱动防御策略升级 1.Web安全技术变革 1.1.两个AI改变攻防范式的典型案例211.2.Web攻防范式：从规则对抗演进到智能体攻防21 2.办公安全技术变革 3．安全运营技术变革3.1.安全运营正逐步迈向智能化3.2.“风险驱动安全运营“理念持续升级 4.AI基础设施安全策略 第三章安全策略：AI+体系化主动安全的升维 1.AI时代下的风险管理范式升级271.1.风险管理要索演进271.2.智能驱动的动态风险管理体系282.体系化主动安全的技术跃迁282.1.Web安全：WAAP+AI的纵深防御架构292.2.深化SASE架构，建设体系化主动办公安全OE2.3.借助AI+安全运营托管，实现“主动免疫"333，大模型体系化安全建设思路363.1.筑牢大模型安全底座，构建全栈防护闭环363.2.分区分域构建大模型安全纵深防御体系37 总结 引言 2024年，随着企业数字化转型深入、组织和技术环境持续变化，特别是生成式AI技术的规模化应用，导致暴露面与漏洞数量持续攀升，网络安全形势愈发严峻复杂。2024年，网络攻击规模持续扩大，攻击手段更加专业化。防守者也与时俱进，变得更加主动与体系化，攻防对抗强度持续增加。 生成式AI技术快速发展在网络安全领域呈现出显著的“双刃剑”效应。生成式AI在促进客行业发展的同时，也显著扩增了企业与组织的攻击面，围绕大模型技术及业务特点的新型攻击模式开始通现。攻防双方都在加快生成式AI技术引入，试图让网络攻击和防御变得更加智能化与自动化，网络攻防对抗形态与模式正快速转变。 在此背景下，网宿安全旨在通过本期研究，分析总结过去一年中的网络空间威胁态势，探索网络攻击手段演进与防御技术的变革，并探讨如何用“体系化主动安全”理念，为AI时代网络安全体系建设提供可落地的安全新范式，供行业发展参考。 报告基于网宿安全平台2024全年产生的攻防数据，包括金融、政务、制造等数十个行业，进行脱敏和分析，并结合对全球网络安全事件、攻防技术动态等宏观形势的观察得出。 报告由网宿安全演武实验室主导编撰。演武实验室拥有30多位攻防研究专家，聚焦于Web安全、零信任、办公安全，主机安全等领域研究与实践，在网络攻防、应急取证、安全运营等方面具备深厚的经验况淀。同时，网宿安全基于全球化安全平台的数据构建了具有大网视角的威胁情报系统，为攻防态势研究提供全景式支撑。演武实验室诸多研究成果已应用于网宿全站防护（WAAP）、Securelink（SASE、零信任）等产品服务，同时作为CNCERT（国家互联网应急中心）、CNNVD（中国国家信息安全漏洞库）多年支撑单位，在国家网络安全保障工作也发挥了积极作用。 本报告在为行业提供镜鉴，与各方共同守护数字时代的产业累荣和国家安全。我们期待与从业者共同完善防御方案，在持续升级的网络对抗中构建更稳固的安全体系。 第一章2024年网络攻击态势 网宿安全演武实验室研究发现。2024年随着AI等新兴技术的快速发展。网络攻击早已突破传统的单点渗透模式。如下围所示，攻击者通过日益增大的互联网暴露面作为初始入口，结合A生成的社工钓鱼攻击、供应链攻击等攻击手段突破Web应用防线，进而利用办公场景中的办公漏洞、实施身份凭证、集权系统攻击等行为进行横向涉透，最后实现攻陷目标的目的，形成全链路攻击闭环。 网宿安全认为，这种由外至内、多环节联动的攻击范式变革，将倒逼防御体系必须系统性重构暴露面收敛、Web应用安全防护、办公安全零信任化及主机主动防御能力。 据此，本章节将国绕企业这种由外至内的攻击手段的演进与变革展开研究，同时深入跟进AI的快速发展带来的基础设施威胁态势的变化，协助企业在AI时代更加全面的了解网络安全攻击态势。 1.企业暴露面威胁态势 1.1.CVE漏洞数量持续上升，高危漏洞数量占比持续处于高位 网宿安全演武实验室研究发现，2024年全球新增CVE漏洞首次突破4万，截止到2024年累计披露漏润数量达274588个，其中2024年新增高危漏洞数量27200个，占比高达67.98%。 1.1.1.新增CVE漏洞连续5年保持增长，2024年新增CVE漏洞超4万个 2024年，全球新增CVE漏洞达40009个，对比2023年新增漏洞增长29.3%，累计披露漏洞数量达274588个，对比2023年，增长17.1%。 1.1.2.新增高危漏洞数量逐年攀升，2024年高危漏洞占比高达67.98% 2024年，新增高危漏洞数量达到27200个，对比2023年的20102个，增长了35.3%，高危漏洞的增长率提升明显，同时，2024年新增高危漏润占全部新增漏润的比例达到了67.98%，对比2023年的65%也有了进一步提升。 1.1.3.Web应用、APl以及办公终端漏洞利用占比高 2024年漏洞利用态势呈现星著分化。Web应用漏洞以45%占比成为首要攻击目标，凸显其作为互联网暴露面的胎弱性；办公终端漏洞利用率达25%，反映远程办公场景下终端防护薄弱与凭证滥用风险；API接口和操作系统的漏洞利用审占比攀升，揭示供应链攻击与系统层提权手段的升级趋势。 尽管数据库和移动应用的漏洞攻击占比最低，但前者承载核心数据资产，后者伴随BYOD普及存在潜在威胁。数据表明，攻击者正沿“暴露面突破→应用层渗透→终端横向移动”路径重构攻击链。 1.2.高危端口数量攀升，攻击技术升级 2024年TOP10高危端口如下，其中5SH（22）、RDP（3389）以及HTTPS（443）占高危端口TOP3，同时网宿安全观察也发现，针对高危端口的攻击技术也在持续升级，包括自动化工具，ODay漏洞利用，针对金融，制造等行业的定向攻击也有了明显的增加。 1.3.弱口令安全事件占比高达34%，驱需引起重视 2024年弱口令相关的安全事件占比高达34%，其中黑客通过易力破解等方式的成功率高达18%，网宿安全通过对暗网的监控，发现暗网弱口令数据库的总量也高达410亿条，随着AI及大模型的兴起，AI驱动的暴力破解，邮件钓鱼等新型攻击行为的占比也在提升。 2.Web威胁态势 2024年针对Web应用的攻击行为依然呈现愈演愈烈的态势，并且表现出更强的对抗性。 2.1.DDoS攻击态势 2.1.1.T级DDoS攻击常态化，超过1T的攻击次数增长惊人 2024年，网宿平台共监测并成功防御T级（即流量规模超过1TbpS）的DD05攻击219次，同比2023年激增近10倍。尤以第四季度最为突出，T级攻击次数占全年78%，主要攻击流量的峰值和频次双双创历史新高。 传统印象中，DD0S攻击以短时高峰瞬时冲击为主。但2024年观察到，攻击者策略显著升级，超过86%的T级攻击持续时间超过10分钟，远超往年。其中，2024年11月29日平台遭遇了一次T级攻击，持续稳定输出63分钟，剧新平台历史记录。这不仅考验了现有防护体系的弹性，更反映出攻击成本降低及自动化操控下，DDoS威胁趋向“持久化、高强度"新态势。 2.1.2.勒索型DDoS产业化 对T级攻击高发的深层渊源揭示，勒索型DDOS已形成成熟产业链，成为推动高强度攻击常态化的重要动因。网宿安全演武实验至发现： ，攻击目标高度集中：被攻击对象集中在软件信息服务行业（如：办公、生活、游戏软件的免费聚合平台），因依赖广告流量变现，业务连续性数感，成为攻击首选目标。目标方拒绝后即遭持续T级DDOS打击，业务被迫中断，随后收到勃索信件，要求支付赋金或配合“合作以终止攻击。，黑产技术能力增强：进一步分析发现，黑客植入的“合作”软件中捆绑木马程序，在下线平台和同业者下载的大量应用中也发现相同木马。按类别统计，社交媒体与金融类软件被植入比例最高，账号、隐私数据随即落入黑产之手，为后续精准攻击或更多变现方式提供基础。 因此，索DD0S产业化不仅显著提升攻击强度与频率，也深度牵动着网络安全生态。2024年第四季度T级攻击次数的爆发式增长，正是黑产链条背后驱动的直接结果。 2.1.3.来源于东南业区域的DDoS攻击显著增长 在2024年，我们通过遍布全球的攻防网络监测，发现DDoS攻击源的地域分布格局正在发生显著变化。虽然中国和美国依旧占据攻击源的主要地位，但值得注意的是，东南亚地区正逐步成为DDoS攻击源的新兴区域。 具体来看，印度尼西亚、新加坡、越南三国的DD0S攻击源分布跃升至全球第3、第4和第5位，而在2023年，这三个国家分别排名第10、第17及第30，变化十分显著。 2024年DD05攻击源TOP地区 这种分布变化不仅反映了攻击者策略的多元化，也提醒全球企业重视跨国网络威胁。企业需要具备更广泛的视角，针对性地加强多区域、多节点的安全防护能力。 2.2.Web漏洞利用态势与威胁演化 2.2.1.AI应用漏洞攻击数量激增 当前网络安全威胁格局持续恶化，漏润利用风险呈现显著升级态势。据网宿安全平台数据统计，2024年Web漏洞利用攻击拦截次数同比增长68%，其中针对AI应用漏洞的攻击数量呈现爆发式增长。下图是近三年网宿安全平台拦截的Al开发框架漏洞利用行为在Web漏洞利用中的占比情况。 主要原因是大语言模型（LLM）等技术的规模化部署催生新型攻击面，模型训练框架漏洞、推理服务API越权访问风险激增。 2.2.2.国产软件漏洞攻击多发于特定行业，暴露安全审计能力不足 从国内软件安全生态的视角分析，针对国产软件的漏润利用显示出明显的集中性，攻击目标系统集中于协同办公系统、内容管理平台和企业资源规划系统这三大领域，针对三者的攻击量占比超过50%。 行业上，政企与教育行业的软件漏调攻击占比达60%，这些漏洞通常是由于身份认证缺陷，逻辑校验失效和接口权限配置错误等基本问题引起，暴露出国内软件开发过程中存在的安全设计规范执行缺乏落实，对第三方组件依赖的风险管控不足等深层面问题。 2.2.3.漏洞利用呈现"双轨固化"趋势：自动化扫荡历史漏洞，低成本撬动高价值目标 2024年网宿安全平台数据显示，HTTP协议合规攻击在所有攻击类型中排名第一，占比71%，这其中超过60%为漏扫或其他自动化工具发起的扫描探测请求。攻击者通过网站指纹识别快速锁定存在未修复历史漏洞及弱配置的目标，此类“低门槛高收益”的策略大幅降低了攻击成本。 从地域特征和行业分布看，东南亚，非洲等新兴产业地区因漏洞修复滞后安全投入不足