2024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判報(bào)告

2024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判DEEPINSIGHTINTOCYBERSECURITYIN2024ANDTRENDANALYSISIN2025千里目安全技術(shù)中心引言2024年的網(wǎng)絡(luò)安全局勢(shì)可謂驚心動(dòng)魄，網(wǎng)絡(luò)安全大事件頻發(fā)，從微軟高管郵箱被黑客攻陷，到CrowdStrike更新失誤致全球Windows系統(tǒng)崩潰，再到黎巴嫩突發(fā)尋呼機(jī)大規(guī)模群體爆炸。勒索軟件攻擊的逐年上升，攻防之間的戰(zhàn)略博弈，以（GenAI本報(bào)告旨在深入分析當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的關(guān)鍵趨勢(shì)，探討最新的攻擊手段和防御技術(shù)，并提供實(shí)用的策略和建議，幫助企業(yè)和組織更好地應(yīng)對(duì)網(wǎng)絡(luò)安全挑戰(zhàn)。本報(bào)告根據(jù)國(guó)內(nèi)外開源軟件漏洞發(fā)展現(xiàn)狀，分析當(dāng)前開源軟件漏洞威脅態(tài)勢(shì)和治理成效；深入研究國(guó)內(nèi)外勒索軟件攻擊發(fā)展趨勢(shì)與犯罪特點(diǎn)，給出勒索軟件治理的建議與策略；從實(shí)際攻防場(chǎng)景出發(fā)，深入剖析攻防場(chǎng)景技戰(zhàn)法；根據(jù)人工智能大模型不斷突破的能力，思考大模型賦能網(wǎng)絡(luò)安全的革新場(chǎng)景。摘要2024年，人工智能大模型深度賦能網(wǎng)絡(luò)安全技術(shù)革新，在安全運(yùn)營(yíng)、威脅檢測(cè)、釣魚郵件檢測(cè)方面已得到應(yīng)用，數(shù)據(jù)分級(jí)分類場(chǎng)景的大模型正逐步應(yīng)用，全網(wǎng)威脅情報(bào)整合分析目前還處于概念可行階段，待進(jìn)一步開展應(yīng)用。2024年，新興技術(shù)突破遭受境外網(wǎng)絡(luò)攻擊嚴(yán)重，中國(guó)首款3A游戲《黑神話：悟空》全網(wǎng)上線遭受大規(guī)模網(wǎng)絡(luò)攻擊導(dǎo)致服務(wù)器癱瘓，AI大模型Deepseek-R1上線持續(xù)遭受境外網(wǎng)絡(luò)攻擊。我國(guó)技術(shù)的突破和領(lǐng)先屢次遭受境外網(wǎng)絡(luò)攻擊和打壓。2024年典型攻防場(chǎng)景中，在初始訪問階段社工釣魚和0day漏洞利用是最常用的技戰(zhàn)法，主要通過社工釣魚竊取憑2024年，人工智能大模型深度賦能網(wǎng)絡(luò)安全技術(shù)革新，在安全運(yùn)營(yíng)、威脅檢測(cè)、釣魚郵件檢測(cè)方面已得到應(yīng)用，數(shù)據(jù)分級(jí)分類場(chǎng)景的大模型正逐步應(yīng)用，全網(wǎng)威脅情報(bào)整合分析目前還處于概念可行階段，待進(jìn)一步開展應(yīng)用。2024年，新興技術(shù)突破遭受境外網(wǎng)絡(luò)攻擊嚴(yán)重，中國(guó)首款3A游戲《黑神話：悟空》全網(wǎng)上線遭受大規(guī)模網(wǎng)絡(luò)攻擊導(dǎo)致服務(wù)器癱瘓，AI大模型Deepseek-R1上線持續(xù)遭受境外網(wǎng)絡(luò)攻擊。我國(guó)技術(shù)的突破和領(lǐng)先屢次遭受境外網(wǎng)絡(luò)攻擊和打壓。2024年典型攻防場(chǎng)景中，在初始訪問階段社工釣魚和0day漏洞利用是最常用的技戰(zhàn)法，主要通過社工釣魚竊取憑證和多渠道釣魚進(jìn)行攻擊，邏輯漏洞是戰(zhàn)中0day漏洞挖掘的主要方向。2024年典型攻防場(chǎng)景中，在橫向移動(dòng)階段身份攻擊和免殺對(duì)抗是最主要的攻擊方式，主要針對(duì)常規(guī)集控、知識(shí)密集型應(yīng)用和安全設(shè)備進(jìn)行身份攻擊，通過高級(jí)逃逸技術(shù)和致盲終端安全軟件進(jìn)行免殺對(duì)抗。2024年深信服響應(yīng)勒索應(yīng)急事件超過210起，制造業(yè)占比超過27%，是受影響最嚴(yán)重的行業(yè)。全球勒索攻擊事件逐年增多但對(duì)全球產(chǎn)生巨大影響的勒索事件有所減少。2024年已披露的開源軟件漏洞高危及以上占比超40%，開源軟件漏洞中CWE-416類型上升最快，排名第二。利用此類漏洞可以獲取任意代碼執(zhí)行權(quán)限，是APT攻擊者的重要目標(biāo)和武器。錄錄開源軟件漏洞態(tài)勢(shì)分析 01開源軟件漏洞威脅態(tài)勢(shì)分析 01開源軟件漏洞影響分析 03開源軟件漏洞治理與防御的策略與建議 04勒索軟件攻擊發(fā)展趨勢(shì)分析 05勒索軟件攻擊發(fā)展趨勢(shì)分析 05勒索軟件網(wǎng)絡(luò)犯罪特點(diǎn)分析 06勒索軟件治理與合作的策略與建議 07攻防場(chǎng)景發(fā)展趨勢(shì)分析 09攻防場(chǎng)景下初始訪問階段技戰(zhàn)法分析 09攻防場(chǎng)景下橫向移動(dòng)階段技戰(zhàn)法分析 10攻防場(chǎng)景下安全防御能力建設(shè)的策略與建議 11人工智能賦能網(wǎng)絡(luò)安全應(yīng)用發(fā)展情況分析 13網(wǎng)絡(luò)安全大模型基本概況 13人工智能大模型賦能的網(wǎng)絡(luò)安全場(chǎng)景 14安全運(yùn)營(yíng) 15威脅檢測(cè) 16釣魚郵件檢測(cè) 17數(shù)據(jù)分級(jí)分類 18威脅情報(bào)整合與分析 192025年重點(diǎn)關(guān)注趨勢(shì) 20參考鏈接 22開源軟件漏洞威脅態(tài)勢(shì)分析開源軟件漏洞開源軟件漏洞威脅態(tài)勢(shì)分析開源軟件漏洞態(tài)勢(shì)分析圖1-1開源軟件漏洞整體分布情況（來源：OSV漏洞數(shù)據(jù)庫(kù)）2015年 2016年 2017年 2018年 2019年 2020年 2021年 2022年 2023年 圖1-1開源軟件漏洞整體分布情況（來源：OSV漏洞數(shù)據(jù)庫(kù)）2015年 2016年 2017年 2018年 2019年 2020年 2021年 2022年 2023年 2024年漏洞數(shù)量 增長(zhǎng)率 含高危以上占比160%140%120%100%80%60%40%20%0%-20%100009000800070006000500030002000100002024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判0102022024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判2024年CWE-416上升最快，目前排名第二，通過此類漏洞攻擊者可以獲取任意代碼執(zhí)行權(quán)限，是APT標(biāo)和武器。根據(jù)對(duì)OSV漏洞數(shù)據(jù)庫(kù)數(shù)據(jù)統(tǒng)計(jì)分析，截至2024年12月31日，發(fā)現(xiàn)近10年缺陷類型為CWE-79量最多。按照數(shù)量統(tǒng)計(jì)，CWE-416近10年排名第六，2024年排名第二，CWE-416洞攻擊者可以獲取任意代碼執(zhí)行權(quán)限，該類型的漏洞在瀏覽器和O?ce軟件中比較常見。已知被利用漏洞目錄（KEV）據(jù)顯示，2023CWECWE-416，是APT表1-12024年開源軟件漏洞TOP10CWE缺陷類型（來源：OSV漏洞數(shù)據(jù)庫(kù)）CWE編號(hào)中文名稱2024年漏洞數(shù)量CWE-79跨站腳本384CWE-416釋放后重用138CWE-476空指針解引用118CWE-89SQL注入99CWE-400未加控制的資源消耗96CWE-284訪問控制缺失91CWE-200信息暴露87CWE-22路徑遍歷83CWE-20輸入驗(yàn)證不當(dāng)81CWE-918服務(wù)器端請(qǐng)求偽造70Maven倉(cāng)庫(kù)漏洞數(shù)量現(xiàn)居榜首，2022年主流生態(tài)倉(cāng)漏洞均有明顯增加，2024年增速放緩。根據(jù)GitHubAdvisoryDatabase20241231Github21272Maven5239202220212圖1-2開源軟件主流倉(cāng)庫(kù)漏洞按時(shí)間分布情況（來源：GitHubAdvisoryDatabase）MavenRust圖1-2開源軟件主流倉(cāng)庫(kù)漏洞按時(shí)間分布情況（來源：GitHubAdvisoryDatabase）MavenRust2024年Go RubyGems2022年 2023年pip2021年Maven Composer npm2019年以前 2020年600050003000200010000在Github漏洞庫(kù)已審核漏洞中，高危及以上漏洞占比超過50%，GitHubAdvisoryDatabase20241231，Github2127215%，36%。圖1-3開源軟件漏洞危害占比（來源：GitHubAdvisoryDatabase）嚴(yán)重漏洞高危漏洞中危漏洞低危漏洞圖1-3開源軟件漏洞危害占比（來源：GitHubAdvisoryDatabase）嚴(yán)重漏洞高危漏洞中危漏洞低危漏洞(6%)嚴(yán)重漏洞(15%)中危漏洞(43%)高危漏洞(36%)開源軟件漏洞影響分析173倍。173倍。（直接依賴影響范圍擴(kuò)大125（間接依賴影響范圍擴(kuò)大17,57080%CNCE《開源軟件供應(yīng)鏈安全風(fēng)續(xù)時(shí)間之長(zhǎng)可見一斑。續(xù)時(shí)間之長(zhǎng)可見一斑。Java組件依賴于8%Cloud?areiCloud93%2021年曝出的Log4j2安全團(tuán)隊(duì)公布了受影響軟件項(xiàng)目主要受以下因素影響：開源軟件通常依賴于社區(qū)的支持來發(fā)現(xiàn)和修復(fù)漏洞，社區(qū)的規(guī)模和活躍程度會(huì)影響漏洞修復(fù)2024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判03042024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判042024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判開源軟件漏洞治理與防御的策略與建議開源軟件漏洞治理與防御的策略與建議三是開源人才新生力量持續(xù)注入，國(guó)內(nèi)擁有超過1200萬的開源開發(fā)者和高校畢業(yè)生已加入開源生態(tài)圈，積極開展方面進(jìn)行防御（WE-416問重分配的內(nèi)存會(huì)因?yàn)樵獢?shù)據(jù)不匹配導(dǎo)致異常。一是利用漏洞優(yōu)先級(jí)技術(shù)對(duì)開源軟件高危等級(jí)以上漏洞進(jìn)行修復(fù)。在安全運(yùn)營(yíng)工作中，想修復(fù)所有的漏洞幾乎不可能，VPT是采用某些方法和流程，動(dòng)態(tài)地將需要修復(fù)的漏洞進(jìn)行優(yōu)先級(jí)排序和流程優(yōu)化，提高修復(fù)效率，以達(dá)到用最少的時(shí)間實(shí)現(xiàn)最好的效果。二是維護(hù)軟件物料清單（BOM）和開源組件清單。使用自動(dòng)化工具分析軟件物料清單（BOM，以更好地了解軟件組件、相關(guān)漏洞及其對(duì)軟件架構(gòu)的影響。跟蹤項(xiàng)目中使用的所有開源組件對(duì)于有效管理和更新漏洞補(bǔ)丁至關(guān)重要，全面的清單允許組織高效監(jiān)控和管理依賴項(xiàng)，確保所有組件都是安全和合規(guī)的。三是持續(xù)地對(duì)項(xiàng)目進(jìn)行監(jiān)控并進(jìn)行全面的安全評(píng)估和審查。使用安全工具持續(xù)監(jiān)控生產(chǎn)中的應(yīng)用程序，自動(dòng)防止漏洞被利用。對(duì)開源工具進(jìn)行全面的安全評(píng)估，確保所有組件定期更新和打補(bǔ)丁。實(shí)施嚴(yán)格的代碼審查，并使用安全工具自動(dòng)審查開源代碼中的已知漏洞，并參考漏洞數(shù)據(jù)庫(kù)了解漏洞的潛在影響及補(bǔ)救措施。勒索軟件攻擊發(fā)展勒索軟件攻擊發(fā)展趨勢(shì)分析勒索軟件攻擊發(fā)展趨勢(shì)分析勒索軟件攻擊發(fā)展趨勢(shì)分析全球勒全球勒索軟件攻擊事件逐年增多但對(duì)全球產(chǎn)生巨大影響的勒索事件有所減少。年至202401167528734846和52642024年在暗網(wǎng)公布的勒索軟件攻擊事件逐20212017“想哭（annaCry20212021年以后尚未出現(xiàn)。全球關(guān)鍵基礎(chǔ)設(shè)施勒索軟件攻擊事件頻發(fā)。全球關(guān)鍵基礎(chǔ)設(shè)施勒索軟件攻擊事件頻發(fā)。022021年全球最大的肉類供應(yīng)商JBS遭到REvil勒索團(tuán)伙攻擊，導(dǎo)致部分產(chǎn)線停擺，贖金高達(dá)1100萬美元；2022年哥斯達(dá)黎加政府遭到Conti家緊急狀態(tài)；2023al2023年，我國(guó)工商銀行美國(guó)子公司遭到Lockbit3.0勒索軟件攻擊，導(dǎo)致部分金融服務(wù)（FS）系統(tǒng)中斷；2024IT巨頭UnitedHealth60億美元。制造業(yè)成為我國(guó)企業(yè)遭受勒索攻擊的重災(zāi)區(qū)。2024年12月31年國(guó)內(nèi)勒索應(yīng)急響應(yīng)事件超過210Ransomfeed勒索0320241231202457占比（T個(gè)重要原因，RaaS的興起極大地降低了勒索攻擊成本，而因勒索攻擊導(dǎo)致的停工和業(yè)務(wù)中斷無疑是對(duì)制造業(yè)的致命打擊。2024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判2024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判05062024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判062024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判爆破和爆破和漏洞利用是當(dāng)前針對(duì)我國(guó)勒索攻擊的主流手法。042024年12月31年國(guó)內(nèi)勒索應(yīng)急響應(yīng)事件超過210SQLServer爆破和RDPCoveware數(shù)據(jù)201820241231（KEV24520%，“暗網(wǎng)索病毒作者進(jìn)行收入分成。第三是傳播渠道商，幫助勒索者傳播勒索病毒，最為熟悉的是僵尸網(wǎng)絡(luò)?！鞍稻W(wǎng)索病毒作者進(jìn)行收入分成。第三是傳播渠道商，幫助勒索者傳播勒索病毒，最為熟悉的是僵尸網(wǎng)絡(luò)。金以解密文件。勒索軟件網(wǎng)絡(luò)犯罪特點(diǎn)分析勒索軟件已成為當(dāng)前最主要的網(wǎng)絡(luò)犯罪形式之一，是全球網(wǎng)絡(luò)安全領(lǐng)域面臨的最大威脅之一。2021年1月2024年12月，億美元。LockBit億美元。LockBitBlackcat值超過113Chainalysis2024年至2024二是加密生態(tài)犯罪系統(tǒng)為勒索犯罪提供了非法洗錢服務(wù)，包括非法經(jīng)營(yíng)匯款業(yè)務(wù)及轉(zhuǎn)移和傳輸非法資金等服務(wù)。勒索軟件治理與合作的策略與建議勒索軟件成為全球性威脅，維護(hù)網(wǎng)絡(luò)安全已成為國(guó)際社會(huì)的共同責(zé)任。以下是勒索軟件治理與合作的策略與建議。勒索軟件治理與合作的策略與建議第一，全面贖金禁令需結(jié)合國(guó)情，審查禁令有效的激勵(lì)因素和障礙。于其勒索市場(chǎng)相對(duì)較小，即使犯罪分子放棄對(duì)澳大利亞的勒索攻擊，其網(wǎng)絡(luò)犯罪的目標(biāo)市場(chǎng)也不會(huì)顯著萎縮。相比之下，美國(guó)是受勒索軟件攻擊最嚴(yán)重的國(guó)家，占全球勒索攻擊的50%，勒索犯罪分子并不會(huì)因?yàn)橼H金禁令而放棄攻擊美國(guó)。如果我國(guó)希望將禁止支付贖金作為阻止資金流入犯罪分子的戰(zhàn)略的重要組成部分，那么一個(gè)必不可少的先決條件是國(guó)家在應(yīng)對(duì)攻擊時(shí)采取更有效的干預(yù)措施。勒索軟件現(xiàn)象的核心是經(jīng)濟(jì)和政策激勵(lì)機(jī)制的錯(cuò)位。雖然各國(guó)政府都在努力加強(qiáng)網(wǎng)絡(luò)安全立法和監(jiān)管，但勒索軟件的頻繁出現(xiàn)表明，現(xiàn)有的政策和激勵(lì)機(jī)制并未能有效阻止這一威脅的蔓延。資源分配不合理、政府與行業(yè)合作不足等問題，導(dǎo)致網(wǎng)絡(luò)安全防護(hù)措施不到位，從而為勒索軟件提供了可乘之機(jī)。當(dāng)前，政策激勵(lì)機(jī)制面臨的主要障礙包括：一是合法私人利益與公共利益的不一致，當(dāng)西方國(guó)家的私營(yíng)考慮支付贖金對(duì)公共利益的影響并非他們考慮的范疇。二是目前沒有激勵(lì)措施促使犯罪分子克制行動(dòng)，許多勒索犯罪分子并未受到懲罰。三是企業(yè)在軟件和硬件生產(chǎn)中缺乏商業(yè)激勵(lì)，無法在產(chǎn)品設(shè)計(jì)中充分考慮安全性，從而為勒索攻擊留下了隱患。如果不對(duì)激勵(lì)機(jī)制進(jìn)行更廣泛的改革，僅僅剝奪受害者的支付能力很難奏效，只會(huì)減少私營(yíng)部門向政府報(bào)告勒索事件的可能性。2024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判072024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判0708082024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判第二，加強(qiáng)對(duì)勒索軟件的執(zhí)法力度，打擊勒索軟件網(wǎng)絡(luò)犯罪。自2021年以來，以美國(guó)為首的西方國(guó)家持續(xù)加強(qiáng)勒索軟件的執(zhí)法力度，針對(duì)LockBit、Conti等多個(gè)大型勒索團(tuán)伙的打擊，減少了全球范圍內(nèi)產(chǎn)生巨大影響的勒索大事件。同時(shí)，加強(qiáng)對(duì)加密生態(tài)犯罪系統(tǒng)的執(zhí)法，歐美執(zhí)法機(jī)構(gòu)對(duì)Bitzlato、BTC-e等多個(gè)加密貨幣交易所采取執(zhí)法行動(dòng)，這些非法加密貨幣交易所是黑市買家和賣家的主要渠道，也是勒索軟件犯罪分子進(jìn)行非法交易的避風(fēng)港，對(duì)其瓦解和破壞無疑是對(duì)勒索軟件犯罪活動(dòng)的沉重打擊。此外，針對(duì)暗網(wǎng)網(wǎng)絡(luò)犯罪市場(chǎng)的執(zhí)法也不可忽視。BreachForums、HydraMarket等網(wǎng)絡(luò)犯罪市場(chǎng)因執(zhí)法機(jī)構(gòu)的打擊而紛紛崩潰，基礎(chǔ)設(shè)施被搗毀，涉案人員被抓獲，無疑是對(duì)勒索軟件犯罪活動(dòng)的一次次重?fù)?。第三，鼓?lì)多元治理，發(fā)揮各方防護(hù)合力。一是深化國(guó)際合作，共同應(yīng)對(duì)勒索軟件攻擊。自2021年起，以美國(guó)為首的西方國(guó)家一直致力于聯(lián)合全球合作伙伴共同應(yīng)對(duì)勒索軟件威脅，已連續(xù)三年舉行國(guó)際勒索軟件倡議（CRI）峰會(huì)，已有50多個(gè)國(guó)家和地區(qū)參與其中。我國(guó)也一直致力于加強(qiáng)雙邊、多邊以及聯(lián)合國(guó)框架下的國(guó)際對(duì)話與合作，推動(dòng)構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體。在關(guān)鍵基礎(chǔ)設(shè)施保護(hù)方面的國(guó)際合作至關(guān)重要，也是“一帶一路”倡議的重點(diǎn)之一。面對(duì)當(dāng)前勒索軟件攻擊態(tài)勢(shì)，建議進(jìn)一步深化在關(guān)鍵基礎(chǔ)設(shè)施保護(hù)方面的國(guó)際合作。二是增強(qiáng)公共部門和私營(yíng)部門的合作。當(dāng)前，中小企業(yè)和其他非政府組織往往缺乏獨(dú)立抵御勒索軟件攻擊的能力，合法私人利益與公共利益的不一致導(dǎo)致私營(yíng)部門未完全向有關(guān)部門報(bào)告勒索軟件攻擊事件。針對(duì)上述公私合作的問題，建議采取進(jìn)一步措施，加強(qiáng)公共部門與私營(yíng)部門的協(xié)同聯(lián)動(dòng)?？紤]組建促進(jìn)政企網(wǎng)絡(luò)安全合作的專門機(jī)構(gòu)，吸引重要網(wǎng)絡(luò)安全企業(yè)參與，并將信息共享升級(jí)為操作協(xié)同，通過進(jìn)一步為中小企業(yè)和非政府組織提供實(shí)質(zhì)性幫助，制定對(duì)受害者的相應(yīng)鼓勵(lì)和補(bǔ)償機(jī)制，以有效改善私營(yíng)部門報(bào)告勒索事件的情況，進(jìn)而緩解缺乏勒索系統(tǒng)數(shù)據(jù)的問題。同時(shí)，通過加強(qiáng)信息傳播、宣傳和教育，提高公眾對(duì)政府機(jī)構(gòu)提供的幫助的認(rèn)識(shí)，積極向公眾傳達(dá)各類幫助和服務(wù)。攻防場(chǎng)景發(fā)展攻防場(chǎng)景發(fā)展趨勢(shì)分析攻防場(chǎng)景下初始訪問階段技戰(zhàn)法分析攻防場(chǎng)景下初始訪問階段技戰(zhàn)法分析01012024年典型攻防場(chǎng)景中，在初始訪問階段社工釣魚占比最高，其特點(diǎn)是通過社工釣魚竊取憑證、釣魚渠道呈現(xiàn)多樣化。社工釣魚在當(dāng)前攻防場(chǎng)景中已經(jīng)成為了一種重要的外網(wǎng)攻擊手段，針對(duì)2024年外網(wǎng)突破的數(shù)百個(gè)攻擊技術(shù)分析，社工釣魚攻擊占比最高，占比超過25%。觀察到2024年攻防場(chǎng)景中社工釣魚呈現(xiàn)如下特點(diǎn)：一是通過社工釣魚竊取憑證，隨著現(xiàn)在零信任和單點(diǎn)登錄的逐漸普及，可通過郵件、短信、IM等多渠道發(fā)送惡意二維碼和鏈接的方式釣取重要人員憑證。獲取到憑證后可進(jìn)一步收集企業(yè)敏感信息或通過內(nèi)對(duì)內(nèi)釣魚方式獲取重要人員終端權(quán)限。二是釣魚渠道呈現(xiàn)多樣化，包括發(fā)送釣魚郵件、直接撥打電話、添加目標(biāo)人群微信發(fā)送釣魚文件、加入相關(guān)QQ群發(fā)送釣魚文件、偽裝招聘、應(yīng)聘或通用社交軟件聊天發(fā)送釣魚文件、在公眾號(hào)中發(fā)送釣魚文件、向人工在線客服發(fā)送釣魚文件、偽裝相關(guān)業(yè)務(wù)合作發(fā)送釣魚文件等。三是釣魚目標(biāo)更加精準(zhǔn)化，不再進(jìn)行大范圍釣魚，而是選擇特定目標(biāo)進(jìn)行精準(zhǔn)釣魚。例如關(guān)鍵設(shè)備的管理員、關(guān)鍵系統(tǒng)的運(yùn)維人員、目標(biāo)系統(tǒng)的負(fù)責(zé)人、相關(guān)產(chǎn)品的開發(fā)人員等。02022024年典型攻防場(chǎng)景中，0day漏洞利用是初始訪問階段最主要且最高效的打點(diǎn)方式之一，邏輯漏洞是實(shí)戰(zhàn)中漏洞挖掘的主要方向。0day漏洞利用是當(dāng)前攻防場(chǎng)景中最為高效的打點(diǎn)方式之一，普及程度持續(xù)擴(kuò)大。對(duì)2024年攻防場(chǎng)景中漏洞利用情況進(jìn)行統(tǒng)計(jì)分析，0day漏洞占比超過60%，對(duì)0day漏洞進(jìn)行分析，發(fā)現(xiàn)外網(wǎng)突破使用的通用組件主要為統(tǒng)一身份認(rèn)證組件和OA組件，由于這兩類組件在國(guó)內(nèi)使用量較大，攻擊者0day儲(chǔ)備較多。Nday漏洞占比近40%。這些歷史漏洞大部分都已經(jīng)公開了詳細(xì)信息，并且存在成熟的利用Nday0day但在攻堅(jiān)內(nèi)外網(wǎng)重要目標(biāo)系統(tǒng)時(shí)，會(huì)挖掘新漏洞?，F(xiàn)場(chǎng)進(jìn)行黑盒和白盒漏洞挖掘難度較大但效果很好，可在短時(shí)間內(nèi)快速挖掘出高可利用漏洞，從而能最直接獲取重要成果。邏輯漏洞是現(xiàn)場(chǎng)漏洞挖掘的主要方向，原因是邏輯漏洞流量特征弱，當(dāng)前安全設(shè)備無法很好地檢測(cè)，邏輯漏洞利用相對(duì)隱蔽，不易被發(fā)現(xiàn)，使攻擊更具隱蔽性。2024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判092024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判09102024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判102024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判03032024年典型攻防場(chǎng)景中，在初始訪問階段主要通過供應(yīng)商源代碼審計(jì)和打下供應(yīng)商獲取目標(biāo)憑證等成熟的供應(yīng)鏈攻擊手法進(jìn)行突破。目前對(duì)供應(yīng)鏈的攻擊手法已趨于成熟，其優(yōu)勢(shì)是很難監(jiān)控到供應(yīng)鏈側(cè)的惡意流量和攻擊行為，使攻擊更具隱蔽性，并且供應(yīng)鏈側(cè)內(nèi)部安全建設(shè)較差，更易突破。面對(duì)無法直接突破的目標(biāo)，或者希望擴(kuò)大攻擊面影響范圍時(shí)，供應(yīng)鏈攻擊是一個(gè)很好的選擇。在初始訪問階段通過供應(yīng)鏈攻擊進(jìn)行目標(biāo)突破主要使用以下攻擊手法：一是通過攻擊供應(yīng)商獲取重要系統(tǒng)源代碼并進(jìn)行代碼審計(jì)，這種方式十分隱蔽。并且通過定向?qū)徲?jì)邏輯漏洞進(jìn)行突破，邏輯漏洞特征很弱，當(dāng)前安全設(shè)備無法很好檢測(cè)，可通過漏洞直接拿下目標(biāo)。二是通過打下供應(yīng)商獲取目標(biāo)憑證，由于運(yùn)維及技術(shù)支持需要，供應(yīng)商內(nèi)部會(huì)存儲(chǔ)大量甲方的系統(tǒng)VPN攻防場(chǎng)景下橫向移動(dòng)階段技戰(zhàn)法分析攻防場(chǎng)景下橫向移動(dòng)階段技戰(zhàn)法分析2024年典型攻防場(chǎng)景中，身份攻擊是橫向移動(dòng)階段最主要的攻擊方式，主要針對(duì)常規(guī)集控、知識(shí)密集型應(yīng)用2024年典型攻防場(chǎng)景中，身份攻擊是橫向移動(dòng)階段最主要的攻擊方式，主要針對(duì)常規(guī)集控、知識(shí)密集型應(yīng)用和安全設(shè)備進(jìn)行身份攻擊。一是針對(duì)常規(guī)集控的身份攻擊，內(nèi)網(wǎng)最敏感且高價(jià)值的系統(tǒng)一般為：云管平臺(tái)、堡壘機(jī)、運(yùn)維跳板機(jī)、運(yùn)維機(jī)器、域控等常規(guī)集控。在成功獲取到此類系統(tǒng)權(quán)限后，可以在短時(shí)間內(nèi)接觸到重要目標(biāo)系統(tǒng)，被攻擊者往往沒有足夠時(shí)間來進(jìn)行防御，所以在內(nèi)網(wǎng)橫向中會(huì)優(yōu)先考慮攻擊此類系統(tǒng)。二是針對(duì)知識(shí)密集型應(yīng)用的身份攻擊，信息收集在內(nèi)網(wǎng)橫向階段也是最常見的攻擊手法之一，因此內(nèi)網(wǎng)中的知識(shí)密集型應(yīng)用十分重要，例如知識(shí)庫(kù)、wiki、網(wǎng)盤、OA、郵箱、IM等。通過信息收集憑證、關(guān)鍵人員信息后針對(duì)性打擊重要目標(biāo)系統(tǒng)，由于該攻擊手法與正常使用業(yè)務(wù)方式差異不大，隱蔽性極強(qiáng)，降低被發(fā)現(xiàn)概率。三是針對(duì)安全設(shè)備的身份攻擊，在內(nèi)網(wǎng)中企業(yè)為方便管理大量個(gè)人終端、服務(wù)器，通常會(huì)統(tǒng)一安裝終端集控agent，例如EDR、文檔防泄密等安全設(shè)備，是內(nèi)網(wǎng)中的高價(jià)值目標(biāo)。攻擊者一旦獲取這些系統(tǒng)的管理權(quán)限，會(huì)通過更新投毒直接控制大量的個(gè)人終端、服務(wù)器。此外，內(nèi)網(wǎng)中防火墻設(shè)備通常位于不同網(wǎng)段之間的關(guān)鍵位置，攻擊者在突破隔離時(shí)會(huì)直接攻擊防火墻，通過配置規(guī)則來實(shí)現(xiàn)攻擊目的。20242024憑證竊取等方式。麥肯錫《云端中國(guó)，展望2025》的調(diào)研數(shù)據(jù)顯示，到2025年，中國(guó)78%的IT工作負(fù)載將在云上部署，隨著微服務(wù)和云化的逐漸流行，針對(duì)微服務(wù)和云化的攻擊呈現(xiàn)增長(zhǎng)態(tài)勢(shì)。從去年開始攻防場(chǎng)景中針對(duì)微服務(wù)和云化的攻擊就已經(jīng)有了一定熱度，攻擊者主要通過漏洞、弱口令、存儲(chǔ)憑證竊取等方式，對(duì)各種類型的微服務(wù)和云設(shè)施進(jìn)行攻擊。2024年對(duì)Nacos的攻擊尤其明顯，Nacos是微服務(wù)和云設(shè)施的重要組件，Nacos中會(huì)保存大量憑證信息。分析2024年的典型攻防路徑，發(fā)現(xiàn)攻擊者在內(nèi)網(wǎng)滲透中通過內(nèi)網(wǎng)掃描獲取NacosNacosHarborHarbor是一個(gè)開源的企業(yè)級(jí)云原生鏡像倉(cāng)庫(kù)，廣泛用于存儲(chǔ)和分發(fā)Docker鏡像。分析2024年的典型攻防路徑，利用Harbor未授權(quán)訪問漏洞進(jìn)行突破，攻擊者訪問Harbor的Web界面，通過頁(yè)面搜索鏡像名稱，利用Harbor的配置缺陷，繞過登錄驗(yàn)證邏輯，直接查看未授權(quán)的私有鏡像倉(cāng)庫(kù)并獲取敏感信息。2024年典型攻防場(chǎng)景中，在橫向移動(dòng)階段通過高級(jí)逃逸技術(shù)和致盲終端安全軟件進(jìn)行免殺對(duì)抗。深信服千里2024年典型攻防場(chǎng)景中，在橫向移動(dòng)階段通過高級(jí)逃逸技術(shù)和致盲終端安全軟件進(jìn)行免殺對(duì)抗。深信服千里目安全技術(shù)中心針對(duì)近幾年的典型攻防場(chǎng)景進(jìn)行分析，發(fā)現(xiàn)攻擊者為保證后滲透階段各環(huán)節(jié)實(shí)施隱蔽和穩(wěn)定，在拿到初始權(quán)限后，通常會(huì)通過一些高級(jí)逃逸技術(shù)和致盲終端安全軟件的方式進(jìn)行免殺對(duì)抗。第一類方法是DLL第二類方法是通過致盲終端安全軟件進(jìn)行免殺對(duì)抗，利用有漏洞的簽名驅(qū)動(dòng)程序，關(guān)閉終端安全軟件進(jìn)程或者清除終端安全軟件監(jiān)控功能利用的內(nèi)核回調(diào)機(jī)制，或通過創(chuàng)建防火墻策略、WFP（WindowsFilterPlatform）過濾規(guī)則，來阻斷終端安全軟件進(jìn)程與服務(wù)端的通信。當(dāng)前攻擊者已經(jīng)儲(chǔ)備了成熟穩(wěn)定的逃逸和致盲終端安全軟件工具，可以對(duì)抗絕大部分常見國(guó)內(nèi)外安全終端軟件，可使終端安全軟件暫時(shí)或永久失效。這種攻擊方式會(huì)在未來的攻擊活動(dòng)中使用頻次將愈發(fā)增多。攻防場(chǎng)景下安全防御能力建設(shè)的策略與建議通信、隧道代理等流量等，從而能快速定位失陷設(shè)備。通信、隧道代理等流量等，從而能快速定位失陷設(shè)備。聯(lián)加密通信的檢測(cè)能力，尤其是加強(qiáng)檢測(cè)外聯(lián)通信流量偽裝成業(yè)務(wù)流量的能力。包括Webshell通信、C2合審批、審計(jì)等技術(shù)產(chǎn)品和管理措施或結(jié)合文件加解密、終端磁盤加解密方式進(jìn)行管控。四是加強(qiáng)對(duì)外泄露的檢測(cè)能力與數(shù)據(jù)防泄漏能力，通過實(shí)施文件傳輸通道管控技術(shù)來進(jìn)行數(shù)據(jù)防泄漏安全管控，并結(jié)征的檢測(cè)、基于靜態(tài)分析和動(dòng)態(tài)分析的混合方法，以及基于行為分析的檢測(cè)。三是需要加強(qiáng)對(duì)敏感信息測(cè)技術(shù)檢測(cè)邏輯漏洞能力，但需要結(jié)合多種方法和策略。包括基于訪問圖基線的檢測(cè)、基于API模式特盡可能在身份認(rèn)證階段就進(jìn)行阻斷，不同業(yè)務(wù)使用不同密碼以防御口令噴灑攻擊。二是構(gòu)建基于行為檢攻防場(chǎng)景的分析，從防御角度深信服千里目安全技術(shù)中心給出以下策略與建議：一是需加強(qiáng)對(duì)憑證攻擊從防御角度來看，應(yīng)加強(qiáng)對(duì)憑證攻擊、邏輯漏洞、敏感信息泄露等方面的檢測(cè)能力。通過對(duì)2024年典型2024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判112024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判11122024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判122024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判攻意志。攻意志。再自動(dòng)進(jìn)行隔離，不僅可以消耗攻擊者的精力和時(shí)間，也可以打斷攻擊者的進(jìn)攻節(jié)奏，消磨攻擊者的進(jìn)利用行為來綜合研判是否失陷。四是可增加蜜罐蜜網(wǎng)功能，如誘餌蜜罐，可誘導(dǎo)攻擊者進(jìn)入蜜網(wǎng)，然后包包含exe釣魚攻擊作重點(diǎn)監(jiān)測(cè)。三是針對(duì)Web類0day攻擊，可在終端側(cè)作防護(hù)，結(jié)合0day攻擊后載木馬等。對(duì)于常見及時(shí)通訊軟件釣魚如微信、QQ等文件路徑作重點(diǎn)監(jiān)測(cè)，對(duì)lnk鏈接釣魚、加密壓縮加對(duì)白利用手法的檢測(cè)，如利用腳本解釋器加載木馬、利用正規(guī)遠(yuǎn)控和終端管理軟件、利用系統(tǒng)程序加Docker和Linux系統(tǒng)內(nèi)核的漏洞，以防止容器逃逸和系統(tǒng)提權(quán)。二是重點(diǎn)關(guān)注社工釣魚攻擊技術(shù)，可增使用自動(dòng)化檢測(cè)工具如CDK和Check，可以提高檢測(cè)效率和準(zhǔn)確性。在云原生環(huán)境中，特別需要關(guān)注典型攻防場(chǎng)景的分析，從防御角度深信服千里目安全技術(shù)中心給出以下策略與建議：一是重點(diǎn)關(guān)注防御逃逸手法檢測(cè)，需要結(jié)合多種方法和工具，包括監(jiān)控網(wǎng)絡(luò)流量、識(shí)別異常行為、驗(yàn)證數(shù)字證書等。通過從防御角度來看，應(yīng)加強(qiáng)對(duì)防御逃逸手法、社工釣魚攻擊等重要技術(shù)的檢測(cè)和監(jiān)測(cè)能力。通過對(duì)2024年ITDRgitOAwiki略與建議：VPN2024從防御角度來看，應(yīng)加強(qiáng)對(duì)利用集權(quán)設(shè)備進(jìn)行惡意利用、利用知識(shí)密集型應(yīng)用進(jìn)行信息收集等惡意行為的人工智能賦能網(wǎng)絡(luò)安全人工智能賦能網(wǎng)絡(luò)安全應(yīng)用發(fā)展情況分析2024大會(huì)上全球130多家網(wǎng)絡(luò)安全廠商展示了其AI技術(shù)和網(wǎng)絡(luò)安全融合的技術(shù)創(chuàng)新成果和實(shí)踐。根據(jù)全球網(wǎng)絡(luò)安全行業(yè)的最佳實(shí)踐和深信服千里目安全技術(shù)中心洞察發(fā)現(xiàn)，生成式AI推動(dòng)著網(wǎng)絡(luò)安全向智能化、自動(dòng)化的模式轉(zhuǎn)變已見成效。網(wǎng)絡(luò)安全大模型基本概況網(wǎng)絡(luò)安全大模型基本概況生成式人工智能實(shí)現(xiàn)網(wǎng)絡(luò)安全技術(shù)躍遷，從被動(dòng)防御轉(zhuǎn)向主動(dòng)防護(hù)，未來結(jié)合自適應(yīng)優(yōu)化（Agent）和多模生成式人工智能實(shí)現(xiàn)網(wǎng)絡(luò)安全技術(shù)躍遷，從被動(dòng)防御轉(zhuǎn)向主動(dòng)防護(hù)，未來結(jié)合自適應(yīng)優(yōu)化（Agent）和多模態(tài)協(xié)作，實(shí)現(xiàn)高度自治和深度智能化。AI階段一，基于規(guī)則和統(tǒng)計(jì)算法的威脅檢測(cè)和日志分析，該階段中AI技術(shù)主要應(yīng)用于輔助網(wǎng)絡(luò)安全防御中的數(shù)據(jù)處理結(jié)合網(wǎng)絡(luò)安全領(lǐng)域的大規(guī)模數(shù)據(jù)集，模型實(shí)現(xiàn)了異常行為檢測(cè)和威脅預(yù)警，替代了傳統(tǒng)基于規(guī)則的方法。結(jié)合網(wǎng)絡(luò)安全領(lǐng)域的大規(guī)模數(shù)據(jù)集，模型實(shí)現(xiàn)了異常行為檢測(cè)和威脅預(yù)警，替代了傳統(tǒng)基于規(guī)則的方法。這使得模型能夠在檢測(cè)威脅后，不僅給出建議，還能執(zhí)行復(fù)雜的響應(yīng)操作，從而實(shí)現(xiàn)閉環(huán)管理。隨著AI算法的進(jìn)步，特別是深度學(xué)習(xí)技術(shù)的發(fā)展，大模型逐漸具備了對(duì)復(fù)雜模式進(jìn)行自動(dòng)化分析的能力。絡(luò)安全需要大量數(shù)據(jù)分析和報(bào)告生成，這些功能被率先應(yīng)用于網(wǎng)絡(luò)安全運(yùn)營(yíng)。二是自動(dòng)檢測(cè)與威脅預(yù)警，一是對(duì)話與輔助運(yùn)營(yíng)。在生成式AI技術(shù)初期，大模型的主要能力集中在自然語(yǔ)言處理和信息提取。由于網(wǎng)生成式AI在網(wǎng)絡(luò)安全大模型最佳實(shí)踐的應(yīng)用模式上，呈現(xiàn)出從輔助運(yùn)營(yíng)到自主檢測(cè)預(yù)警再到自主決策與智能運(yùn)營(yíng)的2024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判132024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判1314142024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判大模型應(yīng)用服務(wù)的成熟度評(píng)估，結(jié)合國(guó)內(nèi)外技術(shù)成熟度評(píng)估標(biāo)準(zhǔn)和行業(yè)技術(shù)實(shí)踐，將網(wǎng)絡(luò)安全的大模型應(yīng)用領(lǐng)域的成熟度等級(jí)分為1—5個(gè)級(jí)別。圖4-1人工智能大模型賦能網(wǎng)絡(luò)安全應(yīng)用的成熟度評(píng)估L1:初始階段，該項(xiàng)技術(shù)的使用僅限于概念驗(yàn)證和研究階段，尚未實(shí)現(xiàn)商業(yè)化應(yīng)用;圖4-1人工智能大模型賦能網(wǎng)絡(luò)安全應(yīng)用的成熟度評(píng)估L1:初始階段，該項(xiàng)技術(shù)的使用僅限于概念驗(yàn)證和研究階段，尚未實(shí)現(xiàn)商業(yè)化應(yīng)用;L2:可行階段，技術(shù)已具備基本功能，已開展可行的實(shí)踐案例，部分企業(yè)已在小范圍內(nèi)部署并獲得初步成效;L3:擴(kuò)展階段，可滿足進(jìn)一步的擴(kuò)展功能，技術(shù)能夠處理更復(fù)雜的場(chǎng)景和更大規(guī)模的數(shù)據(jù)，應(yīng)用范圍已擴(kuò)展到多個(gè)企業(yè)和行業(yè);L4:L5:多模態(tài)情報(bào)分析多源情報(bào)整合L2未知威脅分析L2威脅趨勢(shì)預(yù)測(cè)L1數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)多模態(tài)數(shù)據(jù)識(shí)別L3數(shù)據(jù)分級(jí)分類L2釣魚郵件檢測(cè)L4高對(duì)抗性攻擊檢測(cè)L3未知漏洞攻擊檢測(cè)L2告警降噪L4自動(dòng)化事件分析智能問答L4自動(dòng)化值守和處理L3威脅情報(bào)數(shù)據(jù)安全威脅檢測(cè)安全運(yùn)營(yíng)人工智能大模型賦能網(wǎng)絡(luò)安全應(yīng)用的成熟度評(píng)估人工智能大模型賦能的網(wǎng)絡(luò)安全場(chǎng)景隨著人工智能技術(shù)的飛速發(fā)展，大模型在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用日益廣泛，特別是在安全運(yùn)營(yíng)、威脅檢測(cè)、釣魚郵件檢測(cè)、數(shù)據(jù)分級(jí)分類以及威脅情報(bào)整合與分析等關(guān)鍵場(chǎng)景提供了強(qiáng)有力的賦能。例如，在安全運(yùn)營(yíng)中，微軟推出的SecurityCopilot基于和其專有安全模型，能夠快速解析海量日志數(shù)據(jù)并生成上下文相關(guān)的響應(yīng)建議，顯著提升了安全團(tuán)隊(duì)的運(yùn)營(yíng)效率。在威脅檢測(cè)領(lǐng)域，谷歌的BERT及其變體已被用于提升惡意代碼檢測(cè)的準(zhǔn)確性，而微軟則利用其全球威脅情報(bào)系統(tǒng)每天處理超過65萬億個(gè)威脅情報(bào)，結(jié)合的強(qiáng)大能力，顯著增強(qiáng)了實(shí)時(shí)威脅發(fā)現(xiàn)能力。針對(duì)釣魚郵件檢測(cè)，Proofpoint的大模型增強(qiáng)型釣魚郵件檢測(cè)，顯著提升了對(duì)高級(jí)威脅的識(shí)別能力CrowdStrike的釣魚郵件檢測(cè)平臺(tái)依托其云端威脅圖譜技術(shù)和大模型分析能力，實(shí)現(xiàn)了高效、精準(zhǔn)的威脅攔截。這些網(wǎng)絡(luò)安全大模型的應(yīng)用不僅推動(dòng)了網(wǎng)絡(luò)安全技術(shù)的革新，也為應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)攻擊提供了全新思路。深信服安全GPT魚檢測(cè)、智能值守等場(chǎng)景都實(shí)現(xiàn)了全面實(shí)戰(zhàn)落地。在IDC《中國(guó)安全大模型實(shí)測(cè)之安全運(yùn)營(yíng)，2024》報(bào)告中，深信服安全GPT安全運(yùn)營(yíng)AIAgent還原、分析解讀、威脅定性、響應(yīng)處置等威脅運(yùn)營(yíng)工作中重復(fù)、繁瑣的事務(wù)性工作，并逐步構(gòu)建安全運(yùn)營(yíng)自主閉環(huán)能力，實(shí)現(xiàn)智能化安全運(yùn)營(yíng)。SOC團(tuán)隊(duì)提供了高度智能化的威脅分析與響應(yīng)支持。全提供商均已將該能力融合進(jìn)自身產(chǎn)品中，如微軟SecurityCopilot利用生成式AI結(jié)合微軟的威脅情報(bào)網(wǎng)絡(luò)，為響應(yīng)時(shí)間（MTTRSOC團(tuán)隊(duì)提供了高度智能化的威脅分析與響應(yīng)支持。全提供商均已將該能力融合進(jìn)自身產(chǎn)品中，如微軟SecurityCopilot利用生成式AI結(jié)合微軟的威脅情報(bào)網(wǎng)絡(luò)，為響應(yīng)時(shí)間（MTTR90%L4研判，快速定位真實(shí)攻擊，極大地減少了分析研判消耗的精力，大幅度優(yōu)化平均威脅檢測(cè)時(shí)間（MTTD、平均威脅以上的時(shí)間消耗。安全運(yùn)營(yíng)工作中每天產(chǎn)生上萬級(jí)告警，利用生成式人工智能大模型技術(shù)自動(dòng)化、智能化的篩選和大模型賦能安全運(yùn)營(yíng)實(shí)現(xiàn)告警和安全事件自動(dòng)分析，極大地解決了在安全運(yùn)營(yíng)中的人力瓶頸，減少安全運(yùn)營(yíng)的90%師可以在5分鐘內(nèi)對(duì)單一高級(jí)威脅進(jìn)行閉環(huán)，并達(dá)到五年安全運(yùn)營(yíng)專家經(jīng)驗(yàn)水平。閉環(huán)運(yùn)營(yíng)工作。整體效果來看，該應(yīng)用能力成熟度可達(dá)到L4水平，是目前主流的應(yīng)用方式，可賦能初級(jí)安全工程嚴(yán)重程度等，并關(guān)聯(lián)到業(yè)務(wù)的責(zé)任人。在安全事件研判中，通過按鍵觸發(fā)安全輔助，實(shí)現(xiàn)人員安全能力賦能，快速化水平。例如在安全事件溯源上，安全技術(shù)人員可以通過對(duì)話模式，詢問大模型快速了解的漏洞數(shù)量、漏洞類型和的手動(dòng)運(yùn)營(yíng)工作，使安全團(tuán)隊(duì)能夠更專注于高價(jià)值的戰(zhàn)略任務(wù)，同時(shí)降低人為錯(cuò)誤風(fēng)險(xiǎn)，全面提升安全運(yùn)營(yíng)的智能自動(dòng)生成精準(zhǔn)的響應(yīng)建議，大幅提升安全運(yùn)營(yíng)效率。通過自動(dòng)化處理復(fù)雜的分析任務(wù)和決策流程，可減少高達(dá)92%實(shí)踐是構(gòu)建一個(gè)基于自然語(yǔ)言交互的智能安全運(yùn)營(yíng)專家，能夠從多個(gè)維度（如威脅分析、事件響應(yīng)、漏洞管理等）大模型通過對(duì)話式輔助運(yùn)營(yíng)模式，減少事件響應(yīng)難度，自動(dòng)生成精準(zhǔn)的響應(yīng)建議。大模型在安全運(yùn)營(yíng)中的最佳應(yīng)用逐步實(shí)現(xiàn)安全運(yùn)營(yíng)的全面自動(dòng)化，成為企業(yè)安全防御體系的核心支柱。AIAgent+，成為行業(yè)標(biāo)桿實(shí)踐。目前，自動(dòng)化值守在復(fù)雜場(chǎng)景適應(yīng)性、誤報(bào)漏報(bào)、初始部署成本和數(shù)據(jù)AltoNetworksCortexXSOARAIL3（部分事件產(chǎn)出分析報(bào)告。通過自動(dòng)化值守實(shí)現(xiàn)安全運(yùn)營(yíng)的“自動(dòng)駕駛，實(shí)現(xiàn)安全告警的自動(dòng)響應(yīng)閉環(huán)，顯著提升運(yùn)營(yíng)威脅情報(bào)分析和基礎(chǔ)信息分析等維度輸出研判處置思考過程，針對(duì)人工決策告警支持自動(dòng)給出具體處置建議，并對(duì)實(shí)現(xiàn)安全運(yùn)營(yíng)自動(dòng)化值守。24大模型通過思維鏈自主進(jìn)行資產(chǎn)梳理、加固預(yù)防、監(jiān)測(cè)研判、調(diào)查處置、聯(lián)動(dòng)處置、情報(bào)查詢及溯源總結(jié)等工作，2024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判152024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判15威脅檢測(cè)在威脅檢測(cè)方面，生成式大模型帶來了顛覆性的突破，在基礎(chǔ)安全能力上極大提升了檢測(cè)效率以外，最核心的是帶來了未知威脅的檢測(cè)能力，打破了以往在高級(jí)對(duì)抗性攻擊和未知威脅流量的檢測(cè)瓶頸。大模型賦能威脅檢測(cè)帶來了未知威脅檢測(cè)能力突破，特別是在0day漏洞檢測(cè)和高混淆攻擊檢測(cè)上表現(xiàn)出色。大模型賦能威脅檢測(cè)補(bǔ)齊了傳統(tǒng)檢測(cè)引擎的劣勢(shì)，在0day漏洞檢測(cè)、高混淆攻擊、未授權(quán)漏洞、APT攻擊等高級(jí)威脅檢測(cè)上帶來的全新的檢測(cè)方法，如在高混淆攻擊檢測(cè)上，能通過大模型對(duì)攻擊語(yǔ)言的理解實(shí)現(xiàn)不同語(yǔ)言、不同版本和復(fù)雜協(xié)議的混淆語(yǔ)法識(shí)別，提取出攻擊命令。在0day漏洞檢測(cè)方面，利用流量文本向量化技術(shù)，提取疑似0day漏洞攻擊向量，再使用向量相似度算法與歷史攻擊向量比對(duì)，篩除已知漏洞攻擊，實(shí)現(xiàn)自動(dòng)化0day獵捕。根據(jù)深信服千里目安全技術(shù)中心實(shí)踐已通過大模型挖掘累計(jì)發(fā)現(xiàn)0day漏洞400+。目前，在大模型賦能未知威脅檢測(cè)的應(yīng)用成熟度處于L2（可行階段）向L3（擴(kuò)展階段）發(fā)展。國(guó)際知名網(wǎng)絡(luò)安全公司CrowdStrike、Darktrace、AltoNetworks等已將大模型技術(shù)應(yīng)用于未知威脅檢測(cè)中，在識(shí)別異常行為模式、未知攻擊路徑及復(fù)雜威脅特征展現(xiàn)出優(yōu)勢(shì)，尤其是下0day漏洞和混淆攻擊上。但要實(shí)現(xiàn)全面可靠的未知威脅檢測(cè)，仍需在算法優(yōu)化、計(jì)算效率和實(shí)時(shí)適應(yīng)性上進(jìn)一步突破。在大模型賦能檢測(cè)精度提高方面已廣泛應(yīng)用，可達(dá)到L4成熟階段。從數(shù)據(jù)上來看，fortinetFortiSIEM30%～40%。經(jīng)深信服千里目安全技術(shù)中心實(shí)踐，尤其是在處理高度復(fù)雜或混淆類的攻擊時(shí)，檢出率可達(dá)95.7%，4.3%。162024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判大模型構(gòu)建基于AI的攻擊預(yù)判與主動(dòng)防御能力，通過Agent自適應(yīng)機(jī)制實(shí)時(shí)對(duì)抗復(fù)雜威脅，實(shí)現(xiàn)與防火墻、IDS等傳統(tǒng)安全工具的聯(lián)動(dòng)響應(yīng)。隨著AI技術(shù)在威脅檢測(cè)中的深度應(yīng)用，大模型能夠?qū)崟r(shí)分析網(wǎng)絡(luò)流量、用戶行為等多維數(shù)據(jù)，快速識(shí)別異常模式并動(dòng)態(tài)調(diào)整防御策略。結(jié)合上下文感知分析，模型可預(yù)測(cè)攻擊的潛在目標(biāo)與后續(xù)行為，如推斷橫向移動(dòng)或數(shù)據(jù)竊取意圖，并提前生成阻斷建議。例如，在檢測(cè)到異常流量時(shí)，系統(tǒng)不僅能判定當(dāng)前風(fēng)險(xiǎn)，還可IDS等傳統(tǒng)安全工具深度集成，實(shí)現(xiàn)實(shí)時(shí)聯(lián)動(dòng)響應(yīng)，如CrowdStrike的AI模型動(dòng)態(tài)優(yōu)化攻擊識(shí)別策略，MicrosoftDefenderforEndpoint實(shí)時(shí)攔截勒索病毒等，將威脅響應(yīng)時(shí)間壓縮至1該項(xiàng)能力目前正處于L3水平，部分技術(shù)領(lǐng)先廠商如CrowdStrike162024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判釣魚郵件檢測(cè)網(wǎng)絡(luò)釣魚攻擊在實(shí)戰(zhàn)攻防場(chǎng)景中的攻擊比例逐步升高，近年來網(wǎng)絡(luò)釣魚攻擊成為主流的攻擊手段，根據(jù)美國(guó)CISA對(duì)攻擊入口的統(tǒng)計(jì)顯示，網(wǎng)絡(luò)釣魚是最主要的攻擊入口，占比高達(dá)41.1網(wǎng)絡(luò)釣魚攻擊數(shù)量進(jìn)一步激增。此時(shí)，以“AI對(duì)抗AI”成為釣魚攻擊防御的必然趨勢(shì)。目前，釣魚郵件檢測(cè)方面的大模型應(yīng)（L4，已經(jīng)具備較高的穩(wěn)定性和可靠性，該項(xiàng)技術(shù)已廣泛被應(yīng)用于企業(yè)郵件網(wǎng)關(guān)等安全防護(hù)MicosoftDeenderorO?e365PoofpointCdtrieGPT使受害者防不勝防。例如通過制造恐懼和焦慮，使用“賬戶封禁”或“逾期失效”等急迫語(yǔ)氣驅(qū)使受害人快或者使用“您的同事分享了一份重要文件，請(qǐng)查看?！痹捫g(shù)，利用人類對(duì)未知事物的興趣，誘導(dǎo)其主動(dòng)探索使受害者防不勝防。例如通過制造恐懼和焦慮，使用“賬戶封禁”或“逾期失效”等急迫語(yǔ)氣驅(qū)使受害人快或者使用“您的同事分享了一份重要文件，請(qǐng)查看?！痹捫g(shù)，利用人類對(duì)未知事物的興趣，誘導(dǎo)其主動(dòng)探索并觸發(fā)攻擊；再就是偽裝成權(quán)威機(jī)構(gòu)或可信來源，通過偽造身份獲取受害者的信任。大模型能夠解析郵件內(nèi)容中的語(yǔ)義和情感傾向，提取郵件中的情緒特征，例如語(yǔ)氣、用詞風(fēng)格和情感強(qiáng)度，識(shí)別出潛在的情緒誘導(dǎo)模式，如一封郵件使用了大量負(fù)面情緒詞匯、是否偏離日常的行為基線。相比傳統(tǒng)方法，大模型不僅能夠檢測(cè)已知的攻擊模式，還能通過在線學(xué)習(xí)不斷適應(yīng)新型威脅。這種能力顯著提升了對(duì)復(fù)雜情緒誘導(dǎo)型釣魚攻擊的檢測(cè)水平，極大地減少了人為因素導(dǎo)致的安全事件。是針對(duì)受害者的社會(huì)工程，通過各種手段進(jìn)行情緒誘導(dǎo)，加上成熟的社會(huì)工程學(xué)手段，千變?nèi)f化的攻擊技巧大模型通過意圖推理和對(duì)自然語(yǔ)言的理解，具備識(shí)別情緒誘導(dǎo)的釣魚攻擊的能力。網(wǎng)絡(luò)郵件釣魚攻擊本身就對(duì)于加密附件嵌套，大模型能夠多模態(tài)密碼推理理解郵件正文、音頻及視頻內(nèi)容，提取出正確密碼。大模型通過分析壓縮包文件頭，識(shí)別嵌套結(jié)構(gòu)，預(yù)測(cè)風(fēng)險(xiǎn)路徑，并生成決策樹調(diào)用沙箱環(huán)境獲取解壓信息，檢測(cè)文件的異常行為；對(duì)于附件HTML走私，大模型通過多模態(tài)解析引擎深度解構(gòu)HTML文檔拓?fù)浣Y(jié)構(gòu)，結(jié)合沙盒環(huán)境下的動(dòng)態(tài)DOM渲染模擬及JavaScript執(zhí)行鏈追蹤技術(shù)，實(shí)現(xiàn)對(duì)HTML走私攻擊中多層嵌套編碼、跨資源隱寫注入以及鏈?zhǔn)綈阂廨d荷觸發(fā)的精準(zhǔn)檢測(cè)，突破傳統(tǒng)規(guī)則引擎在對(duì)抗AST混淆和上下文感知型逃逸攻擊時(shí)的技術(shù)瓶頸；對(duì)于二維碼切割，大模型通過圖像識(shí)別技術(shù)拼接碎片并解碼二維碼內(nèi)容，通過對(duì)抗樣本防御機(jī)制還原被切割、扭曲或噪聲污染的二維碼碎片，結(jié)合圖神經(jīng)網(wǎng)絡(luò)重建二維碼拓?fù)浣Y(jié)構(gòu)，同步執(zhí)行短（如零寬字符注入、Unicode同形異義字替換）的新型隱蔽攻擊。經(jīng)深信服千里目安全技術(shù)中心的3萬高對(duì)抗釣魚樣本檢測(cè)對(duì)比實(shí)踐，引入大模型后的釣魚郵件檢出率從傳統(tǒng)方法的15.7%提升到94.8%。HTML大模型通過多模態(tài)分析技術(shù)實(shí)現(xiàn)對(duì)各種高對(duì)抗性攻擊和繞過手段的檢測(cè)，特別是密碼混淆、附件嵌套、鏈接大模型通過業(yè)務(wù)環(huán)境深度學(xué)習(xí)達(dá)到智能誤報(bào)消減，實(shí)現(xiàn)高精度釣魚郵件檢測(cè)，準(zhǔn)確率達(dá)99%以上。傳統(tǒng)釣魚郵件檢測(cè)依賴規(guī)則引擎和白名單配置，因業(yè)務(wù)場(chǎng)景動(dòng)態(tài)變化，易因“加白過粗”導(dǎo)致漏報(bào)或“加白過細(xì)”（如內(nèi)部溝通模式、客戶交互習(xí)慣G（檢索增強(qiáng)生成）技術(shù)，動(dòng)（經(jīng)深信服千里目安全技術(shù)中心實(shí)踐表明，基于100萬封正常郵件的訓(xùn)練與推理優(yōu)化，模型誤報(bào)率從傳統(tǒng)方0.15%0.046%，在保障業(yè)務(wù)流暢性的同時(shí)，實(shí)現(xiàn)“精準(zhǔn)攔截、最小誤傷”的檢測(cè)目標(biāo)。2024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判2024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判1718182024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判數(shù)據(jù)分級(jí)分類大模型基于動(dòng)態(tài)上下文感知架構(gòu)與多模態(tài)在線學(xué)習(xí)系統(tǒng)，構(gòu)建自適應(yīng)分類體系，在動(dòng)態(tài)數(shù)據(jù)分級(jí)分類領(lǐng)域?qū)崿F(xiàn)技術(shù)突破。經(jīng)深信服千里目安全技術(shù)中心實(shí)踐表明，依托機(jī)器學(xué)習(xí)和深度學(xué)習(xí)，尤其是自然大模型基于動(dòng)態(tài)上下文感知架構(gòu)與多模態(tài)在線學(xué)習(xí)系統(tǒng)，構(gòu)建自適應(yīng)分類體系，在動(dòng)態(tài)數(shù)據(jù)分級(jí)分類領(lǐng)域?qū)崿F(xiàn)技術(shù)突破。經(jīng)深信服千里目安全技術(shù)中心實(shí)踐表明，依托機(jī)器學(xué)習(xí)和深度學(xué)習(xí)，尤其是自然語(yǔ)言處理（LP，大模型通過訓(xùn)練海量數(shù)據(jù)，學(xué)習(xí)復(fù)雜特征和模式，自動(dòng)識(shí)別并分類數(shù)據(jù)，效率提升了40倍，準(zhǔn)確率從60%提升到了90%。利用探針捕獲協(xié)議中的敏感字段，并結(jié)合上下文動(dòng)態(tài)分析，精準(zhǔn)識(shí)別數(shù)據(jù)模式與關(guān)聯(lián)。其次，大模型通過監(jiān)督學(xué)習(xí)使用大量標(biāo)注數(shù)據(jù)，掌握數(shù)據(jù)分類分級(jí)規(guī)則，同時(shí)借助無監(jiān)督學(xué)習(xí)發(fā)現(xiàn)新類別和隱藏模式，實(shí)現(xiàn)動(dòng)態(tài)分類分級(jí)。其遷移學(xué)習(xí)能力可將在一個(gè)領(lǐng)域的知識(shí)應(yīng)用于其他領(lǐng)域，靈活應(yīng)對(duì)數(shù)據(jù)類型和敏感性隨時(shí)間、環(huán)境的變化，確保分類結(jié)果的準(zhǔn)確性自動(dòng)生成符合行業(yè)屬性的分級(jí)清單，確保結(jié)果高效且合規(guī)，滿足行業(yè)需求。大模型通過自適應(yīng)技術(shù)持續(xù)學(xué)習(xí)業(yè)務(wù)環(huán)境特征，智能化調(diào)整數(shù)據(jù)分級(jí)分類策略，快速適配多業(yè)務(wù)場(chǎng)景。實(shí)現(xiàn)跨類型數(shù)據(jù)快速標(biāo)準(zhǔn)化分類。在實(shí)際業(yè)務(wù)環(huán)境中，數(shù)據(jù)不僅限于文本，還包括圖像、音頻、視頻等多模態(tài)數(shù)據(jù)。傳統(tǒng)方法通常需要針對(duì)不同模態(tài)的數(shù)據(jù)分別設(shè)計(jì)獨(dú)立的處理模塊，如使用OCR技術(shù)提取圖像中的文本后再進(jìn)行分類，或者對(duì)音頻數(shù)據(jù)進(jìn)行轉(zhuǎn)錄后分析。這種分模塊處理的方式不僅效率低下，還容易因標(biāo)準(zhǔn)割裂而導(dǎo)致信息丟失或分類不一致。相比之下，大模型依托多模態(tài)融合技術(shù)（如自然語(yǔ)言處理NLP與計(jì)算機(jī)視覺V的結(jié)合，能夠直接解析原始數(shù)據(jù)，無需復(fù)雜的預(yù)處理步驟。在多模態(tài)對(duì)齊層，大模型將文本、圖像、音頻、視頻等不同類型的數(shù)據(jù)映射到統(tǒng)一的語(yǔ)義空間中，從而實(shí)現(xiàn)跨模態(tài)的信息關(guān)聯(lián)與整合。例如，在處理一張包含敏感信息的圖片時(shí)，大模型不僅能識(shí)別圖片中的文字（如場(chǎng)景、對(duì)象和上下文關(guān)系，并通過聯(lián)合推理引內(nèi)容（通過OCR技術(shù)，還能理解圖片的整體語(yǔ)義擎同步解析其中的敏感信息。威脅情報(bào)整合與分析威脅情報(bào)作為安全事件告警分析和威脅檢測(cè)持續(xù)賦能的關(guān)鍵。2024年谷歌發(fā)布最新威脅情報(bào)平臺(tái)，其利用生成式大模型以多個(gè)維度在大規(guī)模范圍上進(jìn)行威脅情報(bào)的關(guān)聯(lián)分析。不僅對(duì)企業(yè)內(nèi)部開展情報(bào)分析，還能從全球威脅情報(bào)平臺(tái)、網(wǎng)絡(luò)流量監(jiān)控、社交媒體監(jiān)控、暗網(wǎng)情報(bào)源等多個(gè)渠道獲取數(shù)據(jù)。匯集多方情報(bào)源利用大模型進(jìn)行關(guān)聯(lián)分析，發(fā)現(xiàn)各個(gè)情報(bào)之間的潛在聯(lián)系，關(guān)聯(lián)潛在的威脅活動(dòng)。大模型多模態(tài)情報(bào)自動(dòng)化提取整合，實(shí)現(xiàn)數(shù)據(jù)協(xié)同與實(shí)時(shí)威脅感知。利用生成式大模型信息檢索和語(yǔ)義搜索等技術(shù)自動(dòng)檢索、提取和整合情報(bào)數(shù)據(jù)，包括全球威脅情報(bào)平臺(tái)、流量監(jiān)控、社交媒體監(jiān)控、暗網(wǎng)利用NLP解析多語(yǔ)言威脅報(bào)告、社交媒體文本；通過CV識(shí)別暗網(wǎng)截圖中的惡意IP、釣魚域名；結(jié)合知識(shí)圖譜關(guān)聯(lián)實(shí)體（攻擊組織、漏洞、TTs，構(gòu)建全域威脅畫像。大模型通過情報(bào)關(guān)聯(lián)分析，能夠發(fā)現(xiàn)傳統(tǒng)威脅情報(bào)平臺(tái)難以識(shí)別的未知威脅活動(dòng)，顯著提升威脅檢測(cè)的廣度和精度。使用生成式大模型通過多數(shù)據(jù)源的深度融合和關(guān)聯(lián)分析，識(shí)別出潛在的攻擊模式并生成更加精準(zhǔn)的威脅情報(bào)，并回溯歷史數(shù)據(jù)，發(fā)現(xiàn)長(zhǎng)期潛伏的攻擊活動(dòng)或已經(jīng)發(fā)生但未被發(fā)現(xiàn)的威脅活動(dòng)。具體技術(shù)實(shí)現(xiàn)上，RAG（檢索增強(qiáng)生成）10文進(jìn)行深度語(yǔ)義理解與關(guān)聯(lián)分析。這種技術(shù)不僅能夠整合結(jié)構(gòu)化數(shù)據(jù)（如日志、事件記錄）和非結(jié)構(gòu)化（在此基礎(chǔ)上，大模型通過對(duì)歷史數(shù)據(jù)的回溯分析，識(shí)別潛在的攻擊模式，推演出完整的攻擊鏈，并生成可操作的威脅摘要，例如受影響資產(chǎn)列表、攻擊路徑預(yù)測(cè)等。大模型通過時(shí)間序列預(yù)測(cè)模型和因果推理算法結(jié)合多源情報(bào)分析，構(gòu)建攻擊者行為模式圖譜，預(yù)測(cè)威脅 活動(dòng)趨勢(shì)。大模型基于全球威脅活動(dòng)的實(shí)時(shí)監(jiān)控和多數(shù)據(jù)源關(guān)聯(lián)分析，利用歷史攻擊數(shù)據(jù)預(yù)測(cè)新型攻擊及外部威脅活動(dòng)的發(fā)展趨勢(shì)?；跁r(shí)間序列預(yù)測(cè)模型和因果推理算法，構(gòu)建攻擊者行為模式圖譜，包括解析歷史攻擊數(shù)據(jù)中隱藏的TTPs（戰(zhàn)術(shù)、技術(shù)與程序）演化規(guī)律，量化評(píng)估漏洞利用周期、惡意軟件變種迭代速率等關(guān)鍵指標(biāo)，預(yù)測(cè)APT組織武器化漏洞的優(yōu)先方向等等，并結(jié)合跨源情報(bào)分析建立威脅活動(dòng)與經(jīng)濟(jì)、地緣政治事件的動(dòng)態(tài)關(guān)聯(lián)模型。谷歌2024的數(shù)據(jù)資源關(guān)聯(lián)分析，推動(dòng)著網(wǎng)絡(luò)安全防御向更主動(dòng)的方式發(fā)展。2024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判192024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判192025年重點(diǎn)2025年重點(diǎn)關(guān)注趨勢(shì)202024年網(wǎng)絡(luò)安全深度洞察及2025年趨勢(shì)研判2025年1深受境外競(jìng)爭(zhēng)對(duì)手攻擊嚴(yán)重。DeepSeek其開源多模態(tài)模型Janus-Pro、低成本訓(xùn)練方案和展現(xiàn)出來OpenAI（1月27-28DeepSeekiOSChatGPT1月24使用DeepSeek模型，暗示其技術(shù)可能被視為戰(zhàn)略威脅。DeepSeek在1月25日宣布與沙特達(dá)成AISSDP300%Mirai變種HailBot與RapperBotDDoS“搭車攻擊“地緣緊張→攻擊激增→黑產(chǎn)獲利”的惡性循環(huán)。DeepSeek崛起引發(fā)網(wǎng)絡(luò)攻擊的事件揭示了高科技企業(yè)在全球化競(jìng)爭(zhēng)中的安全困DDOS物聯(lián)網(wǎng)設(shè)備、個(gè)人移動(dòng)設(shè)備等硬件供應(yīng)鏈安全結(jié)合網(wǎng)絡(luò)通信安全的利用態(tài)勢(shì)不斷升級(jí)，組合利用制造物理殺傷工具用于地緣沖突活動(dòng)中，將對(duì)人身安全造成嚴(yán)重威脅。在硬件供應(yīng)鏈安全方面，物聯(lián)網(wǎng)設(shè)備、個(gè)人移動(dòng)設(shè)備等硬件供應(yīng)鏈安全結(jié)合網(wǎng)絡(luò)通信安全的利用態(tài)勢(shì)不斷升級(jí)，組合利用制造物理殺傷工具用于地緣沖突活動(dòng)中，將對(duì)人身安全造成嚴(yán)重威脅。在硬件供應(yīng)鏈安全方面，20249393000多人受傷。調(diào)查顯示，這些設(shè)備被以色列特工提前植入了微型炸藥和遠(yuǎn)程引爆程序，通過設(shè)定時(shí)間或觸發(fā)條件實(shí)現(xiàn)精準(zhǔn)殺傷。該事件暴露出供應(yīng)鏈安全漏洞和硬件設(shè)備被惡意操控的致命風(fēng)險(xiǎn)。攻擊者通過篡改物聯(lián)網(wǎng)設(shè)備（如無人機(jī)、智能傳感器）或個(gè)人移動(dòng)設(shè)備（手機(jī)、傳呼機(jī)）的（如電池、芯片應(yīng)鏈高度分散化，攻擊者可利用代工廠、物流環(huán)節(jié)或開源硬件設(shè)計(jì)植入惡意模塊，例如在通信芯片中集成隱蔽無線電接收器，用于遠(yuǎn)程激活破壞程序。在網(wǎng)絡(luò)通信安全方面，通過劫持物聯(lián)網(wǎng)設(shè)備的無線通信協(xié)議遠(yuǎn)控設(shè)備或篡改信號(hào)，或是利用高強(qiáng)度電磁脈沖干擾戰(zhàn)場(chǎng)物聯(lián)網(wǎng)設(shè)備的通信鏈路，或偽造GPS信號(hào)誤導(dǎo)設(shè)備定位，導(dǎo)致指揮系統(tǒng)癱瘓。在俄烏沖突中，雙方多次使用電子戰(zhàn)設(shè)備干擾敵方無人機(jī)群通信，迫使設(shè)備墜毀或返航。未來需重點(diǎn)關(guān)注物聯(lián)網(wǎng)設(shè)備硬件供應(yīng)鏈安全與抗干擾通信協(xié)議建設(shè)，強(qiáng)化主動(dòng)防御能力，避免技術(shù)漏洞轉(zhuǎn)化為物理殺傷威脅。微軟藍(lán)屏事件提醒我們應(yīng)重新審視軟件更新策略，未來對(duì)于市場(chǎng)占有率高的產(chǎn)品應(yīng)該防止其因供應(yīng)鏈攻擊導(dǎo)致的多米諾效應(yīng)事件。2024年7月，CrowdStrike發(fā)生了一起嚴(yán)重的系統(tǒng)故障，導(dǎo)致其安全產(chǎn)品在全球范圍內(nèi)出現(xiàn)大規(guī)模崩潰，此次事件影響了至少20多個(gè)國(guó)家和地區(qū)的組織機(jī)構(gòu)，其官方解釋是CrowdStrikeCrowdStrikeIT部門、CrowdStrike自身以及整個(gè)網(wǎng)絡(luò)安全行業(yè)都產(chǎn)生了顯著影響。它不僅暴露了安全軟件與操作系統(tǒng)兼容性的潛在風(fēng)險(xiǎn)，還凸顯了軟件更新流程