2025網(wǎng)絡(luò)安全趨勢-綠盟科技

???<??HM?OCUM CONTENTS01CONTENTS趨勢1:【大模型治理】2025年大模型安全治理將面向產(chǎn)業(yè)界推進(jìn)可落地的風(fēng)險(xiǎn)管控舉措，企業(yè)提供大模型系統(tǒng)的服務(wù)或發(fā)布基于大模型的應(yīng)用，都需要評估合規(guī)風(fēng)險(xiǎn)。022:【大模型安全應(yīng)用】2024年，AIAgent技術(shù)迅猛發(fā)展，安AIAgent仍較少。2025LLMAgent將提升自主決策能力，推動安全領(lǐng)域033:【安全運(yùn)營】2024年，安全運(yùn)營成為安全大模型的主要應(yīng)用領(lǐng)域，通過量化指標(biāo)提升運(yùn)營效率，結(jié)合大小模型精準(zhǔn)識別潛在威脅，助力復(fù)雜攻擊調(diào)查與深度溯源。2025年，安全大模型將更044:【AI紅隊(duì)】DeepSeek-R1促使更多企業(yè)部署私有大模型系A(chǔ)I紅隊(duì)技術(shù)系統(tǒng)性發(fā)現(xiàn)、AI攻擊面管理的需求。05趨勢5:【威脅情報(bào)】開源大模型DeepSeek將加速情報(bào)與大模型的結(jié)合，“本地智能”將重塑威脅情報(bào)體系和生態(tài)。06趨勢2025云服務(wù)商漏洞引發(fā)的云安全事件將依然頻發(fā)，其中供應(yīng)鏈安全成為保障數(shù)據(jù)安全的一道重要防線。077:【勒索】勒索組織攻擊目標(biāo)將聚焦關(guān)鍵基礎(chǔ)設(shè)施單位，勒索生態(tài)顯現(xiàn)虹吸效應(yīng)，大型勒索組織規(guī)模不斷擴(kuò)大，國家治理難度升級，企業(yè)防御難度增加。CONTENTS08CONTENTS趨勢:

APT】“假旗”戰(zhàn)術(shù)成主流，溯源歸因難度提升。APT“陣地”擴(kuò)張，物理空間攻擊風(fēng)險(xiǎn)加劇，衛(wèi)星通訊設(shè)備首次被攻破。099:【數(shù)據(jù)安全】以往跟數(shù)據(jù)安全相關(guān)的新技術(shù)分別應(yīng)用于不同的細(xì)分領(lǐng)域，例如，隱私計(jì)算的主要賽道是金融行業(yè)，機(jī)密計(jì)算的主要需求來自安全性較高的特殊行業(yè)，可信計(jì)算、區(qū)塊鏈常見于科研項(xiàng)目。2025年，這些新技術(shù)都將圍繞著可信數(shù)據(jù)空間開展應(yīng)用研究。10趨勢10:【低空經(jīng)濟(jì)】安全將成為低空經(jīng)濟(jì)發(fā)展中的關(guān)鍵命題，業(yè)界各方的共同參與將加速低空經(jīng)濟(jì)安全體系的建設(shè)。專為低空智能網(wǎng)聯(lián)場景量身打造的檢測防護(hù)產(chǎn)品以及態(tài)勢感知系統(tǒng)，將陸續(xù)推出并投入應(yīng)用。序“善弈者謀勢”。加強(qiáng)對行業(yè)發(fā)展趨勢的關(guān)注和研判，是了解行業(yè)動態(tài)、明確發(fā)展目標(biāo)的重要途徑。對于網(wǎng)絡(luò)安全行業(yè)而言，洞察安全趨勢并順勢而為，不僅有助于及時感知并提前防范風(fēng)險(xiǎn)，更有助于優(yōu)化安全策略和資源匹配，具有十分重要的現(xiàn)實(shí)意義。探究網(wǎng)絡(luò)安全行業(yè)趨勢的發(fā)端，離不開對合規(guī)和攻防實(shí)踐等關(guān)鍵要素的分析。綠盟科技依托扎實(shí)的網(wǎng)絡(luò)安全保障實(shí)踐，立足重大需求深入理解國家政策導(dǎo)向，立足技術(shù)創(chuàng)新密切跟蹤攻防異動，立足專業(yè)視角全方位分析要素影響，研判提出“2025年網(wǎng)絡(luò)安全行業(yè)十大趨勢”。總體來看，2025年度網(wǎng)絡(luò)安全行業(yè)發(fā)展趨勢將重點(diǎn)圍繞技術(shù)、場景、威脅三條主線展開。技術(shù)方面，人工智能技術(shù)的應(yīng)用和治理將繼續(xù)“擔(dān)綱”網(wǎng)絡(luò)安全行業(yè)發(fā)展的重要引擎；場景方面，低空經(jīng)濟(jì)、可信數(shù)據(jù)空間等將“躋身”網(wǎng)絡(luò)安全發(fā)力的新興舞臺；威脅方面，APT攻擊、勒索軟件等將持續(xù)“霸榜”并呈現(xiàn)新的特點(diǎn)?！安靹菡呙?，趨勢者智”。誠摯期待本報(bào)告能為網(wǎng)絡(luò)安全行業(yè)管理和產(chǎn)業(yè)發(fā)展略盡綿薄。并期待依托我司技術(shù)、產(chǎn)品和服務(wù)創(chuàng)新，全力投身打造網(wǎng)絡(luò)安全新質(zhì)生產(chǎn)力，為實(shí)現(xiàn)中國式現(xiàn)代化發(fā)展目標(biāo)貢獻(xiàn)力量。葉曉虎20253月 01趨勢1：【大模型治理】2025年大模型安全治理將面向產(chǎn)業(yè)界推進(jìn)可落地的風(fēng)險(xiǎn)管控舉措，企業(yè)提供大模型系統(tǒng)的服務(wù)或發(fā)布基于大模型的應(yīng)用，都需要評估合規(guī)風(fēng)險(xiǎn)。隨著人工智能技術(shù)和應(yīng)用的井噴式出現(xiàn)，人工智能技術(shù)釋放紅利的同時，也顯露出安全風(fēng)險(xiǎn)。國內(nèi)的兒童智能手表不當(dāng)回復(fù)引發(fā)民族認(rèn)同與自信問題、國外首例大模型引導(dǎo)青少年自殺事件都透露出其潛在的風(fēng)險(xiǎn)和挑戰(zhàn)不容忽視。在這樣的背景下，全球范圍內(nèi)的政府、科研機(jī)構(gòu)、企業(yè)和社會各界都在積極探討如何制定有效的政策和法規(guī)，以規(guī)范人工智能的發(fā)展。在國際層面，聯(lián)合國通過《人工智能倫理建AIAI我國實(shí)施了《新一代人工智能發(fā)展規(guī)劃》，強(qiáng)化了立法與監(jiān)管，如《數(shù)據(jù)安全法》和《個人信息保護(hù)法》。同時，我國還舉辦了“人工智能與社會發(fā)展”國際論壇，促進(jìn)了全球?qū)υ挕８鲊诹⒎ㄅc監(jiān)管方面，如歐盟的《人工智能法案》和美國的《2022AI20237工智能法草案”。2024安全措施等，并給出了安全評估要求。各地方政府也相繼出臺支持政策，推動大模型產(chǎn)業(yè)的持續(xù)發(fā)展。當(dāng)前，北京、深圳、上海等地均發(fā)布了關(guān)于人工智能大模型相關(guān)政策。如三星被曝芯片機(jī)密代碼遭ChatGPT泄露，引入不到20天就發(fā)生3起事故，內(nèi)部考慮重新禁用。因此，未來大模型應(yīng)用將更加注重合規(guī)性，同時內(nèi)置的隱私保護(hù)功能也會得到進(jìn)一步的強(qiáng)化，這些保護(hù)措施包括但不限于數(shù)據(jù)加密、數(shù)據(jù)脫敏、權(quán)限控制、匿名化以及用戶數(shù)據(jù)的2023815旨在規(guī)范生成式人工智能服務(wù)提供者在處理敏感信息時的行為，保障用戶的隱私和個人信息安全，促進(jìn)生成式人工智能服務(wù)的健康發(fā)展。因而，AIairlyAI202412317355我們相信，在2025年，人工智能安全治理將圍繞具體行動方案進(jìn)行討論，評查如何落實(shí)人工智能安全原則，形成面向產(chǎn)業(yè)界可落地的人工智能風(fēng)險(xiǎn)治理方案。目前，人工智能的風(fēng)險(xiǎn)分類分級政策逐漸完善，以幾個代表性的政策標(biāo)準(zhǔn)為例?！渡墒饺斯ぶ悄芊?wù)安全基本要求》明確將生成式AI會主義核心價值觀內(nèi)容、歧視性內(nèi)容、商業(yè)違法違規(guī)、侵犯他人合法權(quán)益和無法滿足特定服務(wù)類型的安全需求，為服務(wù)提供者在開展安全評估時提供了清晰的風(fēng)險(xiǎn)分類與指導(dǎo)。與此同時AI從標(biāo)準(zhǔn)政策的制定到實(shí)際風(fēng)險(xiǎn)評估，需要人工智能的風(fēng)險(xiǎn)評估方法、測試用例不斷完善，甚至以評估工具的形式高度自動化地檢驗(yàn)安全性，才能應(yīng)對AI模型正處于快速迭代中的安全挑戰(zhàn)。其中，微軟的PyRIT（Python風(fēng)險(xiǎn)識別工具包）作為一個開源框架，旨在自動生成對抗性提示，幫助開發(fā)者發(fā)現(xiàn)AI模型中的潛在風(fēng)險(xiǎn)，如幻覺、偏見和惡意輸出；英偉達(dá)的Garak則專注于大型語言模型（LLM）的漏洞掃描，利用“探針”模塊模擬不同輸入場景來評估模型表現(xiàn)，并提供靈活的插件化架構(gòu)，支持多模態(tài)輸入分析。與此同時，綠盟科技推出的AI-Scan工具為企業(yè)提供全面的AI大模型風(fēng)險(xiǎn)評估，能夠快速識別內(nèi)容安全和對抗安全的潛在威脅，并提供專業(yè)的風(fēng)險(xiǎn)處理建議。我們參考TC260-003，從合規(guī)要求評估了DeepSeek開源模型及云端接入方式，能發(fā)現(xiàn)云端DeepSeek-R1合規(guī)性最優(yōu)，三個維度均符合TC260-003中的規(guī)范要求。但當(dāng)開啟深度思考模式處理多任務(wù)時可能存在處理不當(dāng)?shù)那闆r。由此可見，DeepSeek-R1需要加強(qiáng)對于生成內(nèi)容的審核過濾。在應(yīng)拒答維度，深度思考能力降低了DeepSeek-R1模型及R1蒸餾模型生成內(nèi)容被濫用的風(fēng)險(xiǎn)。DeepSeek-R1安全策略的泛化可能導(dǎo)致過度防御，即為了防止?jié)撛陲L(fēng)險(xiǎn)而過度拒答。DeepSeek-R1相較其蒸餾后的模型，其在生成內(nèi)容安全評估方面的表現(xiàn)如下圖所示。建議在本地部署或私有化部署時，應(yīng)考慮本地的內(nèi)容審核與過濾機(jī)制，并優(yōu)化拒答機(jī)制。同時也應(yīng)考慮如系統(tǒng)組件存在漏洞或未授權(quán)訪問的供應(yīng)鏈安全風(fēng)險(xiǎn)。2025年，面向產(chǎn)業(yè)界將推出具備可落地性的生成式人工智能治理舉措，逐步對齊安全風(fēng)險(xiǎn)類型與等級，對應(yīng)的測試評估benchmark或以評估服務(wù)或工具的形式，讓企業(yè)能更好的了解生成式人工智能系統(tǒng)應(yīng)如何評估與規(guī)避安全風(fēng)險(xiǎn)。02年，基于2024（LLM）AIAentAIAgentGoogleAIAgentAIAentLLMAgentAzureAIAgentService脅。GoogleGeminiAIAentAIentAgent”產(chǎn)品，會發(fā)現(xiàn)它們在輸出精確性、任務(wù)理解和執(zhí)行可靠性等方面LLMAgentAgent能AIAgentLLMLilianWeng：AgentLLMMemoryPlanningskillsuse，AIAgentsLLMAgent2024SecLLMEZ（綠盟滲透測試自動化工具）、Fieb（綠盟自動化漏洞利用平臺）、OvO（綠盟外部攻擊面自動化情報(bào)收集系統(tǒng)）等多種安全攻防工具執(zhí)行特定的滲透子任務(wù)。通過多智能體協(xié)同工作和并行處理，分鐘級別完成滲透目標(biāo)攻擊面畫像、滲透路徑推薦和漏洞自動化探測和利用等。在實(shí)際應(yīng)用中，單個目標(biāo)站點(diǎn)的滲透耗時天級別縮短8396%，進(jìn)一步提升了滲透測試SecLLMLLM，基于知識圖譜技術(shù)中滲透專家不僅能夠理解和回應(yīng)，更能夠主動規(guī)劃行動路徑，并通過調(diào)用各種工具來實(shí)現(xiàn)目標(biāo)任務(wù)。2025AIAetAIAent立服務(wù)。03趨勢3:【安全運(yùn)營】2024全運(yùn)營成為安全大模型的主要應(yīng)用結(jié)合大小模型精準(zhǔn)識別潛在威脅，助力復(fù)雜攻擊調(diào)查與深度溯源。2025年，安全大模型將更加專注于行業(yè)定制化和垂直領(lǐng)域應(yīng)用，提供更精準(zhǔn)高效的解決方案。2024IDCAI基于通用大模型進(jìn)行微調(diào)和優(yōu)化，提升了安全領(lǐng)域的知識深度和專業(yè)性。主流安全企業(yè)如綠360首先，安全大模型產(chǎn)品作為“安全副駕”，為安全運(yùn)營提供輔助決策支持，能夠增強(qiáng)威脅檢測、風(fēng)險(xiǎn)評估和響應(yīng)能力，減少重復(fù)性工作，提高整體安全運(yùn)營效率。綠盟科技充分運(yùn)用安全大模型助力安全運(yùn)營由被動防御轉(zhuǎn)向主動防護(hù)，全面解決傳統(tǒng)安全運(yùn)營中心所面臨警這些量化指標(biāo)證明風(fēng)云衛(wèi)大模型在提升安全運(yùn)營效率和效果方面的能力。其次，大模型和小模型在安全運(yùn)營中的協(xié)同工作，小模型專注于實(shí)時監(jiān)控特定威脅的精準(zhǔn)識別，而大模型挖掘和整合多維度的威脅關(guān)聯(lián)特征，顯著提升威脅檢測的有效性和可解釋性，兩者協(xié)同工作，實(shí)現(xiàn)了對海量告警的深度分析和實(shí)時監(jiān)控。綠盟科技的風(fēng)云衛(wèi)大模型作為企業(yè)安全防護(hù)體系的“大腦”，通過自然語言智能聯(lián)動各類威脅檢測引擎、AI小模型、傳統(tǒng)規(guī)則及安全工具，分析海量的網(wǎng)絡(luò)流量、業(yè)務(wù)日志和告警數(shù)據(jù)，從而精準(zhǔn)識別和預(yù)警潛在的安全威脅，并結(jié)合資產(chǎn)信息高效響應(yīng)處置，有效降低因安全事件導(dǎo)致的業(yè)務(wù)中斷和數(shù)據(jù)泄露風(fēng)險(xiǎn)，保障業(yè)務(wù)的連續(xù)性與穩(wěn)定性，將安全轉(zhuǎn)化為企業(yè)數(shù)字業(yè)務(wù)的重要組成部分。此外，安全大模型還被用于復(fù)雜攻擊的調(diào)查分析和威脅深度溯源，幫助安全團(tuán)隊(duì)更好地應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)安全威脅。綠盟科技的安全大模型在自動化溯源攻擊路徑和目標(biāo)方面，依賴其強(qiáng)大的數(shù)據(jù)處理與分析能力，以及對復(fù)雜網(wǎng)絡(luò)環(huán)境的深入理解。風(fēng)云衛(wèi)能夠從多個維度整合信息，包括網(wǎng)絡(luò)路徑、數(shù)據(jù)流和用戶行為等。通過綜合分析這些信息，大模型可以快速定位數(shù)據(jù)泄露或攻擊途徑，并識別攻擊者的行為模式與趨勢。此外，結(jié)合歷史APT報(bào)告分析提取高級威脅檢測與攻擊活動特征，為溯源攻擊路徑和攻擊組織提供關(guān)鍵線索。2025求大于云端MaaS平衡本地部署的算力與能耗，解決模型持續(xù)優(yōu)化等難題。未來，大模型在安全運(yùn)營領(lǐng)域的發(fā) 04趨勢4:【AI紅隊(duì)】DeepSeek-R1促使更多企業(yè)部署私有大模型系統(tǒng)及應(yīng)用，私有化部署將催生企業(yè)采取AI紅隊(duì)技術(shù)系統(tǒng)性發(fā)現(xiàn)、評估大模型安AIDeepSeek-R1使用大模型的核心業(yè)務(wù)數(shù)據(jù)本地處理，還會降低模型的響應(yīng)延遲，提升大模型應(yīng)用性能。私有化部署雖然強(qiáng)化了數(shù)據(jù)物理邊界防護(hù)，但是也無法使用大模型SaaSI2024能指數(shù)報(bào)告》統(tǒng)計(jì)，2023123201320的工作將受到人工智能的影響。由于大模型安全涉及安全知識廣，包括模型算法、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、云環(huán)境安全、安全開發(fā)等多種安全知識，且需要兼具安全攻防專家的實(shí)戰(zhàn)經(jīng)驗(yàn)，從攻擊者、破壞者視角發(fā)AIOpenAIGoogleAIAIAI的潛在漏洞和弱點(diǎn)，從而增強(qiáng)系統(tǒng)的安全性和穩(wěn)健性。AI紅隊(duì)，需要整合多種模型越獄攻擊技術(shù)，檢測大模型系統(tǒng)的越獄攻擊防御能力。隨著大模型安全防護(hù)技術(shù)的進(jìn)步，安全圍欄和模型安全對齊技術(shù)的發(fā)展，對抗性模型越獄攻擊也在不斷升級。不同的越獄攻擊方法會產(chǎn)生不同的效果，如何使用和評價目標(biāo)大模型系統(tǒng)及應(yīng)用，需要結(jié)合系統(tǒng)運(yùn)行環(huán)境及業(yè)務(wù)綜合判斷。AI性角度出發(fā)，針對性的構(gòu)建虛擬情境、設(shè)定角色等，結(jié)合不同的模型越獄攻擊技術(shù)，設(shè)計(jì)出AI2025網(wǎng)絡(luò)安全趨勢報(bào)告AI2025隨著應(yīng)用的深入，潛在的安全漏洞和攻擊面也在增加。例如，在金融領(lǐng)域，攻擊者通過指令注入和數(shù)據(jù)投毒等手段實(shí)施攻擊，可能導(dǎo)致嚴(yán)重的決策失誤或信息泄露。如，在市場投資預(yù)測場景中，若惡意用戶通過數(shù)據(jù)投毒手段干擾大模型的訓(xùn)練過程，可能導(dǎo)致大模型預(yù)測結(jié)果不準(zhǔn)確，進(jìn)而影響投資者的投資決策和收益。AIAI能體應(yīng)用所在的具體業(yè)務(wù)場景出發(fā)，深入理解目標(biāo)系統(tǒng)所具備的技術(shù)與業(yè)務(wù)智能體功能，針對性地利用角色逃逸、目標(biāo)劫持等對抗技術(shù)手段，以提示詞作為攻擊載體對目標(biāo)智能體應(yīng)用開展評估檢測，能夠讓其偏離預(yù)先功能以及系統(tǒng)設(shè)定，從而識別潛在智能體安全漏洞與濫用風(fēng)險(xiǎn)。同時，需結(jié)合動態(tài)環(huán)境模擬和真實(shí)場景測試，驗(yàn)證智能體在復(fù)雜多變的應(yīng)用環(huán)境中的安全性和穩(wěn)健性，為進(jìn)一步優(yōu)化防御策略和完善智能體風(fēng)險(xiǎn)檢測機(jī)制提供可靠依據(jù)。AI紅隊(duì)，還應(yīng)關(guān)注開源模型及預(yù)訓(xùn)練模型的供應(yīng)鏈安全風(fēng)險(xiǎn)。AI這些模型的廣泛應(yīng)用也帶來了供應(yīng)鏈安全風(fēng)險(xiǎn)的增加。近期的案例，如利用HuggingeAIasaLlama-Cpp-Python中的CVE-2024-34359Hugingae全面臨的嚴(yán)峻挑戰(zhàn)。這些事件表明，攻擊者能夠通過在開源模型中植入惡意后門，在開發(fā)和運(yùn)行階段加載并Hugging針對此類供應(yīng)鏈安全風(fēng)險(xiǎn)，AI紅隊(duì)檢測要點(diǎn)包括：模型來源審查：對所有使用的開源模型進(jìn)行嚴(yán)格的來源審查，確保模型的來源可靠，避免使用未經(jīng)驗(yàn)證的第三方模型。模型完整性驗(yàn)證：實(shí)施模型完整性檢查，確保模型文件未被篡改。動態(tài)行為分析：對模型執(zhí)行過程中的行為進(jìn)行動態(tài)監(jiān)控，檢測任何異常行為，如不尋常的網(wǎng)絡(luò)連接、系統(tǒng)調(diào)用或資源消耗。14安全沙箱環(huán)境：在安全沙箱環(huán)境中測試和運(yùn)行模型，以隔離潛在的惡意行為，防止對主系統(tǒng)造成影響。供應(yīng)鏈風(fēng)險(xiǎn)評估：定期進(jìn)行供應(yīng)鏈風(fēng)險(xiǎn)評估，識別潛在的安全漏洞，并制定相應(yīng)的緩解措施。若AI大模型應(yīng)用存在以下情況，通過AI紅隊(duì)評估安全風(fēng)險(xiǎn)是必要的：應(yīng)用場景包含高風(fēng)險(xiǎn)場景應(yīng)用范圍包含強(qiáng)監(jiān)管行業(yè)/API/需要應(yīng)對跨境監(jiān)管審查2025AIAI 05趨勢5:【威脅情報(bào)】開源大模型DeepSeek將加速情報(bào)與大模型的結(jié)合，“本地智能”將重塑威脅情報(bào)體系和生態(tài)。DeepSeek開源大模型為企業(yè)本地化低成本部署提供了可能，利用其自然語言處理、數(shù)據(jù)理解與推理、內(nèi)容生成等能力優(yōu)勢，將重構(gòu)威脅情報(bào)生產(chǎn)、消費(fèi)與應(yīng)用模式，催生半成品情報(bào)加工”、“行業(yè)定制情報(bào)”、“人機(jī)交換變革等新場景，最終推動威脅情報(bào)采集、DeepSeek（一）生態(tài)重構(gòu)：企業(yè)從單向情報(bào)消費(fèi)到參與情報(bào)加工在傳統(tǒng)模式下，企業(yè)多為情報(bào)的單向消費(fèi)者，依賴情報(bào)廠商在云端利用豐富算力進(jìn)行情報(bào)挖掘與加工，獲取成品情報(bào)用于安全防護(hù)。然而，DeepSeek本地化部署可能會打破這一格局。企業(yè)有機(jī)會參與威脅情報(bào)生成，從單純的情報(bào)使用者轉(zhuǎn)變?yōu)楣步ㄕ?。借助DeepSeek的能力，企業(yè)可在本地對情報(bào)進(jìn)行二次加工，融入自身安全業(yè)務(wù)理解和特定需求，實(shí)現(xiàn)情報(bào)的深度定制與優(yōu)化。開源特性與低硬件門檻的成本優(yōu)勢使得更多企業(yè)用戶能夠參與到大模型的情報(bào)處理中。企業(yè)可以不再依賴廠商云端的大算力與大規(guī)模語料支持限制，即可基于本地業(yè)務(wù)進(jìn)行二次加工，為情報(bào)生態(tài)的多元化發(fā)展注入了新的活力。（二）場景進(jìn)化：從被動防御到提前防御、主動防御、智能預(yù)防DeepSeek出色的自然語言理解和推理能力將促使本地化情報(bào)應(yīng)用場景發(fā)生變革。傳統(tǒng)本地情報(bào)應(yīng)用主要依賴IOC的機(jī)讀接入進(jìn)行自動封堵，屬于典型的被動防御模式。隨著DeepSeek的引入，企業(yè)人員有機(jī)會將防御體系向主動防御、事先預(yù)警以及智能預(yù)防等方向推進(jìn)。企業(yè)能夠借助DeepSeek對情報(bào)進(jìn)行深度分析與預(yù)測，監(jiān)測和處理更多人讀情報(bào)（包括漏洞預(yù)警、暗網(wǎng)數(shù)據(jù)泄露、熱點(diǎn)事件分析、行業(yè)攻擊參考、攻擊者技戰(zhàn)術(shù)分析、戰(zhàn)略分析情報(bào)等），提前發(fā)現(xiàn)潛在威脅，主動采取防御措施，從而將安全防護(hù)從“亡羊補(bǔ)牢”轉(zhuǎn)變?yōu)椤拔从昃I繆”，有效降低安全事件的發(fā)生概率與損失程度。（三）數(shù)據(jù)價值更新：情報(bào)數(shù)據(jù)種類升級，從標(biāo)準(zhǔn)“成品”到可塑性強(qiáng)“半成品”DeepSeek索情報(bào)”等情報(bào)價值將被充分挖掘與應(yīng)用。例如，專業(yè)的技戰(zhàn)法分析報(bào)告、詳細(xì)的惡意軟件DeepSeek2025網(wǎng)絡(luò)安全趨勢報(bào)告（標(biāo)準(zhǔn)化情報(bào)而是可以對超市預(yù)先清洗和搭配好的“半成品菜肴”（半成品情報(bào)）進(jìn)行二次加工，做出外賣標(biāo)品沒有的菜品。DeepSeek的智能化能力使得企業(yè)能夠靈活處理各種情報(bào)數(shù)據(jù)，充分發(fā)揮其潛在價值，從而構(gòu)建一個更具可塑性的情報(bào)數(shù)據(jù)生態(tài)。這樣催生了威脅情報(bào)平臺的進(jìn)一步IOCAPT（四）精準(zhǔn)適配：從通用情報(bào)到精準(zhǔn)情報(bào)DeepSeek的快速本地化將推動情報(bào)從通用化向精準(zhǔn)化轉(zhuǎn)變。企業(yè)能夠根據(jù)自身行業(yè)特點(diǎn)與業(yè)務(wù)需求，量體裁衣地定制行業(yè)專屬甚至企業(yè)專屬的情報(bào)，大幅提升情報(bào)的易用性與實(shí)用DeepSeek實(shí)現(xiàn)智能定制精準(zhǔn)適配自身需求的情報(bào)。（五）理解力升級：情報(bào)解讀將“難理解”情報(bào)數(shù)據(jù)變成“易理解”情報(bào)除了是否惡意外，包括多維度的豐富數(shù)據(jù)，尤其在分析未知攻擊時，用戶需要對情報(bào)的多維屬性進(jìn)行復(fù)雜解讀，從而分析出資產(chǎn)的畫像和可能面臨的威脅。但是情報(bào)的多維屬性往往存在隱含沖突，理解難度較大，只有經(jīng)驗(yàn)豐富的情報(bào)分析人員才能理解。例如，一個CDNIP（白名單）DNS能作為知名公共域名服務(wù)的提供者，也可能作為DDoS攻擊的參與者。傳統(tǒng)情報(bào)解讀主要是安全廠商云端門戶提供，而新一代威脅情報(bào)平臺則引入DeepSeek進(jìn)行情報(bào)解讀，這不僅能在保障查詢隱私性的前提下融入本地的行業(yè)特色的理解能力，還能降低情報(bào)使用人員的專業(yè)性要求。（六）交互革命：本地情報(bào)平臺人機(jī)接口升級情報(bào)使用效率的提升離不開人機(jī)接口的優(yōu)化。DeepSeek的出現(xiàn)為情報(bào)平臺的人機(jī)接口升級帶來了新的契機(jī)。借助DeepSeek，情報(bào)平臺能夠在本地實(shí)現(xiàn)情報(bào)聊天機(jī)器人，擺脫傳統(tǒng)聊SaaS18DeepSeek–地協(xié)同式”轉(zhuǎn)型?？蛻艨梢酝ㄟ^升級新一代威脅情報(bào)平臺聯(lián)動本地部署的DeepSeek，重構(gòu)企業(yè)客戶的本地情報(bào)生態(tài)，實(shí)現(xiàn)“豐富新的情報(bào)使用場景、智能提前防御、應(yīng)用可塑性強(qiáng)的情最終大幅度提升情報(bào)的使用效率和體驗(yàn)，進(jìn)一步增強(qiáng)企業(yè)威脅防御體系。 066:【云安全】2025年由云憑證泄露、云配置錯誤，軟件供應(yīng)鏈，云服務(wù)商漏洞引發(fā)的云安全事件將依然頻發(fā)，其中供應(yīng)鏈安全成為保障數(shù)據(jù)安全的一道重要防線。2025年，云安全領(lǐng)域?qū)⒚媾R多維度脆弱性引發(fā)的連鎖數(shù)據(jù)泄露與攻擊風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)主要源于云憑證泄露、云配置錯誤、云服務(wù)商漏洞以及日益嚴(yán)峻的軟件供應(yīng)鏈問題。這些威脅不僅直接或間接導(dǎo)致用戶數(shù)據(jù)泄露，還可能被攻擊者利用進(jìn)行數(shù)據(jù)加密勒索。云憑證泄露導(dǎo)致數(shù)據(jù)泄露事件頻發(fā)：隨著企業(yè)對云服務(wù)的依賴日益加深，開發(fā)者對憑證的不安全管理（如硬編碼明文密鑰）已成為數(shù)據(jù)泄露的主要原因之一。例如，2024318GoogleFirebase1.25對云憑證的安全管理（如加密存儲、合理權(quán)限控制）將是未來云安全的首要任務(wù)之一。云配置錯誤與服務(wù)暴露導(dǎo)致數(shù)據(jù)泄露：云配置錯誤持續(xù)成為引發(fā)數(shù)據(jù)泄露的主要原因20247OwlTingAmazonS376；2024925MC2Data2.2TB1的焦點(diǎn)將從工作負(fù)載安全轉(zhuǎn)向至面向租戶的安全。供應(yīng)鏈問題引發(fā)數(shù)據(jù)泄露、挖礦等行為：近年敏捷開發(fā)模式流行，但開發(fā)者安全意識缺失，造成大量供應(yīng)鏈組件服務(wù)暴露在互聯(lián)網(wǎng)上，不同程度帶有NDay漏洞。這些漏洞可43XZUtils12@0xengine/xmlrpcWordPressMonero活動。此類事件表明，企業(yè)需針對供應(yīng)鏈安全加強(qiáng)端到端的驗(yàn)證與監(jiān)控措施。云服務(wù)商漏洞引發(fā)未授權(quán)訪問和數(shù)據(jù)泄露風(fēng)險(xiǎn)：云服務(wù)的便利性為用戶帶來了諸多好處，但與此同時，云服務(wù)商的漏洞也引發(fā)了一系列未授權(quán)訪問和數(shù)據(jù)泄露事件。這些事件每年都在不斷發(fā)生，預(yù)計(jì)到2025年，這類風(fēng)險(xiǎn)將持續(xù)存在。近年來的案例有力地支持了這一觀點(diǎn)。20231，WizAzureActiveDirectory（AAD）中的一個新攻擊向量，影響MicrosoftBingAAD20234WizBrokenSesame里云數(shù)據(jù)庫服務(wù)漏洞。該漏洞會導(dǎo)致未授權(quán)訪問阿里云租戶的PostgreSQL數(shù)據(jù)庫，并且可以通過在阿里云的數(shù)據(jù)庫服務(wù)上執(zhí)行供應(yīng)鏈攻擊，從而完成RCE。20241KubernetesGKE使用任意有效的谷歌賬號接管配置錯誤的Kubernetes集群并進(jìn)行加密挖礦，拒絕服務(wù)及敏感信息竊取等惡意行為。2024624OasisSecurityMicrosoftAzure（MFA）MFAOutlookOneDriveTeamsAzure07趨勢7:【勒索】勒索組織攻擊目標(biāo)將聚焦關(guān)鍵基礎(chǔ)設(shè)施單位，勒索生態(tài)顯現(xiàn)虹吸效應(yīng)，大型勒索組織規(guī)模不斷擴(kuò)大，國家治理難度升級，企業(yè)防御難度增加。2025成為勒索組織攻擊的主要手段。2024rutaeSpiderLabs49%27zPytonCookie、錢包、桌面文件等回傳特殊郵箱地址。-0050RARMeduzaStealerTA547Rhadamanthys竊密器已經(jīng)成為不可輕視的新的木馬類型，通過獲取各種受害者瀏覽器中的密碼、Cookie，郵箱口令等認(rèn)證、登錄憑據(jù)，從其中的有效數(shù)據(jù)尋找攻擊突破口。我們分析采用竊密器的原因，可能是因?yàn)殚_發(fā)成本低廉、攻擊目的能迅速達(dá)成，能有效對抗殺軟，尤其是EDR、XDR等需要一定響應(yīng)周期的深度檢測與防御。竊密器獲得的密碼、憑據(jù)中，最值得關(guān)注的是VPNBlaksuit從勒索生態(tài)圈的訪問經(jīng)紀(jì)人組織批量購買虛擬專用網(wǎng)絡(luò)（VPN）憑證來獲取初始訪問權(quán)限。QilinVPN施勒索攻擊。BrazenBamboo組織制作了惡意軟件，其利用FortiClientortiCientVNPaychanepxynsell勒索組織攻破企業(yè)邊界的另一主要手段是批量利用漏洞，其中又以網(wǎng)絡(luò)設(shè)備的漏洞占比最高。一些網(wǎng)絡(luò)設(shè)備中配置了域內(nèi)高權(quán)限賬號，一旦這些設(shè)備存在漏洞并被勒索組織利用，會進(jìn)一步加速內(nèi)部重要資產(chǎn)與數(shù)據(jù)的淪陷。我們觀察到2024年勒索組織常用的網(wǎng)絡(luò)設(shè)備漏洞如下：（CVE-2024-11667）SonicWall（CVE-2024-40766）Veeam（CVE-2024-40711）AltoGlobalProtect（CVE-2024-3400）Fortinet（CVE-2024-21762）FortinetFortiManager（CVE-2024-47575）FortinetFortiOS（CVE-2024-23113）ConnectWiseScreenConnect（CVE-2024-1709）2025年企業(yè)應(yīng)對勒索攻擊，需重點(diǎn)關(guān)注網(wǎng)絡(luò)設(shè)備等邊界漏洞、社工釣魚，以及被竊取的密碼、憑據(jù)。國際勒索組織針對關(guān)鍵基礎(chǔ)設(shè)施單位，如大型制造業(yè)、金融機(jī)構(gòu)的攻擊仍將增多。根據(jù)金融服務(wù)信息共享與分析中心（S-I）202464%4374停止業(yè)務(wù)運(yùn)營，并損害機(jī)構(gòu)在客戶和監(jiān)管機(jī)構(gòu)中的聲譽(yù)。由于金融機(jī)構(gòu)掌握著大量重要數(shù)據(jù)與管理資金，這些資產(chǎn)在高度數(shù)字化環(huán)境中運(yùn)營，使它們成為勒索攻擊組織的主要目標(biāo)。2025年這種風(fēng)險(xiǎn)會持續(xù)增高。BlackKie800080存21%，相較于其他行業(yè)，遭受勒索攻擊的可能性增加了三倍多。2025年將有更多高風(fēng)險(xiǎn)行業(yè)所屬企業(yè)，通過貼合國際勒索攻擊方法的勒索演練，及早檢驗(yàn)自身的攻擊防御能力，驗(yàn)證對應(yīng)的應(yīng)急響應(yīng)與恢復(fù)流程能否有效緩解、抵御勒索攻擊。勒索生態(tài)顯現(xiàn)虹吸效應(yīng)，大型勒索組織規(guī)模不斷擴(kuò)大。對國家來說治理勒索組織的難度加大，對企業(yè)來說防御難度也會增大很多。近幾年美FBI聯(lián)合國際執(zhí)法機(jī)構(gòu)打擊、治理了多個勒索組織，但是收效甚微，大型勒索組織很難被徹底清除。實(shí)際可以觀測到不斷有中小型勒索組織被打擊或難以為繼，相關(guān)資源不斷向大型勒索組織集中，形成更具規(guī)模的上游勒索組織。部分勒索組織被打擊后也會改頭換面，以全新的勒索品牌名稱再次出現(xiàn)。上游的大型勒索組織，通過其知名度以平臺形式提供了勒索攻擊主要使用的勒索軟件、遠(yuǎn)控工具，以及對應(yīng)的免殺、對抗類技術(shù)方案，而下游勒索組織使用平臺所提供的武器，結(jié)合自己的武器工具實(shí)施攻擊活動，并向上游平臺提交一定比例的勒索受益。LockBit3.02024219日，英國國家犯罪局與歐洲刑警組織和其他國際執(zhí)法機(jī)構(gòu)合作，在CronosLockBit5ockBit出現(xiàn)了——LockBit3.0LockbitDispossessorDispossessor是今年新出現(xiàn)的勒索集團(tuán)，值得注意的是它與臭名昭著的LockBit組織有許多相似之處。在全球執(zhí)法機(jī)構(gòu)進(jìn)行大規(guī)模打擊并查封LockBit的主要域名之后，出現(xiàn)了Dispossessor。Dispossessor的網(wǎng)站與原始LockBit網(wǎng)站有著驚人的相似之處。布局、配色方案和字體幾乎完全相同，這表明要么是同一運(yùn)營商的品牌重塑，要么是利用LockBit基礎(chǔ)設(shè)施的新團(tuán)體。內(nèi)容分析顯示，原始LockBit網(wǎng)站上的許多帖子在發(fā)布第一天就被鏡像到Dispossessor的平臺上，保留了準(zhǔn)確的發(fā)布日期和詳細(xì)信息。國際獵人（HuntersInternational）勒索組織2023Hie索軟件即服務(wù)（aaS）HieHieHiveBlackBastaBlack（RaaS）20224次被發(fā)現(xiàn)。該組織使用雙重勒索技術(shù)，要求支付解密和不發(fā)布被盜數(shù)據(jù)的費(fèi)用。BlakBaaContiRansomwareConti像這樣的大型勒索組織的體量更大，擁有足夠的資金，不僅交易0day，也開始采購各種紅隊(duì)的先進(jìn)技術(shù)，開展攻擊活動。一些高對抗樣本通過勒索集團(tuán)的C2Brc4。我們2024利用新興C2（Brc4、Havoc）、Icedid復(fù)雜銀行木馬、還使用未知的定制C2ChgtWormgtEO下發(fā)惡意網(wǎng)站應(yīng)用廣告。Crypt平臺生成免殺樣本，例如：HeartCrypt、PureCrypterEDRAV在地下交易平臺中購買0day、day，其中漏洞會有應(yīng)用設(shè)備漏洞、Windws漏洞等。.NETEDRASIRubeus、SharpHound、SeatbeltSyembc、orad業(yè)流量設(shè)備未覆蓋檢測規(guī)則。RMM（合法商業(yè)遠(yuǎn)程控制軟件）進(jìn)行對企業(yè)目標(biāo)進(jìn)行控制，RMM客戶端帶簽名并且信道流量加密完善，使企業(yè)安全防護(hù)難以察覺。在數(shù)據(jù)泄露中多使用Mega、DropBox種數(shù)據(jù)滲出處于無形狀態(tài)。利用多種竊密器實(shí)施初始攻擊活動，其中某些竊密器更是包含了Chome0ay，同ChromeCookie面對大型勒索組織所采用的復(fù)雜的網(wǎng)絡(luò)攻擊手段，被攻擊者已經(jīng)很難從攻擊過程理清其背后力量了。2025年，實(shí)際處理過勒索的企業(yè)，在勒索演練選擇上，相較于傳統(tǒng)的流程演練和勒索軟件加密階段演練，將更傾向于采用從邊界突破到內(nèi)網(wǎng)滲透、數(shù)據(jù)滲出、實(shí)施勒索等全攻擊階段的勒索演練，全面檢驗(yàn)自身的攻擊防御能力，同時驗(yàn)證各階段的應(yīng)急響應(yīng)與恢復(fù)流程能否有效緩解、抵御勒索攻擊。 082024戰(zhàn)術(shù)大量出現(xiàn)。4APTAPTPDB、OceanLotusAPT組織的已知特征，從而隱藏攻擊者信息，實(shí)現(xiàn)反歸因反溯源的目的。伏影實(shí)驗(yàn)室本年度捕獲的新APT組織Actor240315大量使用了假旗策略。Actor240315是一個政治驅(qū)動的APT組織，已知攻擊目標(biāo)包括中國、印度以及多個中亞國家。由于攻擊目標(biāo)的敏感性，Actor240315在攻擊活動中刻意制造了一些巴基斯坦黑客組織特征以及中文字符串特征，希望憑借這些假旗信息誤導(dǎo)受害者和防御方，隱藏自身的真實(shí)來源。從攻擊技戰(zhàn)術(shù)來看，除“假旗”戰(zhàn)術(shù)外，APT攻擊者借鑒融合其他組織技戰(zhàn)術(shù)的情況也明顯增多。例如新型APT攻擊技術(shù)GrimResource被披露之后，立即導(dǎo)致同類APT攻擊活動的爆發(fā)式增長，伏影實(shí)驗(yàn)室在短期內(nèi)捕獲了8個APT組織21次利用該技術(shù)的APT攻擊活動。在既有作戰(zhàn)方略完成迭代的基礎(chǔ)上，APT組織正著力重構(gòu)進(jìn)攻軸線，其攻擊重心從賽博空間擴(kuò)展到物理空間，開辟了新的對抗維度。2024年，政治環(huán)境的緊迫性促使政治驅(qū)動APT組織逐步走向功利和激進(jìn)，他們開始選擇犧牲部分攻擊隱蔽度來換取更高的攻擊達(dá)成率。同時，伏影實(shí)驗(yàn)室監(jiān)測發(fā)現(xiàn)2024年針對我國公網(wǎng)設(shè)備的APT攻擊活動持續(xù)增加，攻擊者利用0day、1day、弱口令等隱秘控制設(shè)備，在我國網(wǎng)絡(luò)內(nèi)部構(gòu)建“陣地”。在攻擊隱匿性和資源利用方面，APT組織不再執(zhí)著于保護(hù)高價值攻擊資源，更注重于這些資源帶來的價值。ATDrkCasino（鬼輪盤）使用了一個后來被確認(rèn)為VE-2024-21412nerntWindowsDefenderSmartScreenAPTAPT20232024WPSCVE-2024-7262，是一WPS超鏈接功能構(gòu)建惡意代碼的攻擊技術(shù)。由此可見，APT攻擊者已經(jīng)將零日漏洞的使用時機(jī)從橫向移動等后期階段擴(kuò)展到初始訪問等前置階段，針對操作系統(tǒng)（CVE-2024-21412）、安全設(shè)備（CVE-2024-0012，CVE-2024-20353，CVE-2024-20359，CVE-2024-3400,CVE-2024-55591）（CVE-2024-7262，CVE-2024-7263）等重要網(wǎng)絡(luò)設(shè)備或軟件的零日攻擊行動數(shù)量明顯增多。這說明相較于對高價值攻擊資源的保護(hù)，APT組織目前更重視這些資源的利用效率。伏影實(shí)驗(yàn)室在本年度捕獲針對國內(nèi)監(jiān)控系統(tǒng)、報(bào)警系統(tǒng)、安全系統(tǒng)、海文系統(tǒng)、大屏等公網(wǎng)設(shè)備的大型APT攻擊事件，這些事件來自東亞、東南亞、北美洲等多個方向，涉及APT組織包括北美方向的NSA（方程式）、東亞方向的DarkHotel（暗店）、Lazarus（拉撒路）、GreenSpot（綠斑）、偽獵者，南亞方向的Donot（肚腦蟲）、Bitter（蔓靈花）、Patchwork（白象），東南亞方向的OceanLotus（海蓮花）、Actor240820，東歐方向的Turla（圖拉）以及疑似亞洲來源的Actor240315。這些對我APT高校、酒店等單位。攻擊者通過對國內(nèi)公網(wǎng)設(shè)備進(jìn)行探測，找到存在漏洞或是存在安全風(fēng)險(xiǎn)0day、1day控制公網(wǎng)設(shè)備后，進(jìn)一步安裝后門程序，以持續(xù)監(jiān)控和收集敏感數(shù)據(jù)，并積極探測內(nèi)網(wǎng)網(wǎng)絡(luò)拓?fù)洌瑢ふ腋邇r值內(nèi)網(wǎng)主機(jī)。此外，攻擊者還利用已攻陷公網(wǎng)設(shè)備作為跳板，對其他關(guān)基單位發(fā)起攻擊，擴(kuò)大戰(zhàn)果，對我國網(wǎng)絡(luò)安全構(gòu)成嚴(yán)重威脅。國內(nèi)公網(wǎng)設(shè)備的高價值已經(jīng)被境外APTAPTAPT20243maAT過向開源項(xiàng)目提交惡意代碼，在幾乎合并時巧妙地植入后門，這一事件被認(rèn)為是史上最嚴(yán)重的開源項(xiàng)目投毒案例，提醒開發(fā)者和用戶重視開源項(xiàng)目的安全性。5破壞了烏克蘭境內(nèi)的衛(wèi)星通信系統(tǒng)——星鏈服務(wù)。通過未知的技術(shù)手段，攻擊者使得星鏈服務(wù)長時間出現(xiàn)故障，導(dǎo)致烏克蘭軍隊(duì)不得不依賴短信等低效的通信方式。這也是首次針對現(xiàn)APT 09趨勢9:【數(shù)據(jù)安全】以往跟數(shù)據(jù)安全相關(guān)的新技術(shù)分別應(yīng)用于不同的細(xì)分領(lǐng)域，例如，隱私計(jì)算的主要賽道是金融行業(yè)，機(jī)密計(jì)算的主要需求來自安全性較高的特殊行業(yè)，可信計(jì)算、區(qū)塊鏈常見于科研項(xiàng)目。2025年，這些新技術(shù)都將圍繞著可信數(shù)據(jù)空間開展應(yīng)用研究。20241121（2024—20282028100據(jù)空間解決方案和最佳實(shí)踐。國家數(shù)據(jù)局將分類施策推進(jìn)企業(yè)、行業(yè)、城市、個人、跨境五類可信數(shù)據(jù)空間建設(shè)和應(yīng)用。圍繞可信數(shù)據(jù)空間開展關(guān)鍵技術(shù)攻關(guān)，是2025業(yè)的工作重點(diǎn)。可信數(shù)據(jù)空間是基于共識規(guī)則，聯(lián)接多方主體，實(shí)現(xiàn)數(shù)據(jù)資源共享共用的數(shù)據(jù)流通利用旨在全面提升數(shù)據(jù)開發(fā)、流通、使用的合規(guī)性和安全性。在安全體系建設(shè)方面，可信管控能力、數(shù)據(jù)交互能力是重點(diǎn)?？尚殴芸啬芰κ侵富陬A(yù)定義的控制策略并結(jié)合動態(tài)屬性身份認(rèn)證機(jī)制，保障數(shù)據(jù)消費(fèi)者按照數(shù)據(jù)提供方設(shè)定的策略使用數(shù)據(jù)，維護(hù)數(shù)據(jù)提供方對數(shù)據(jù)使用的控制能力。要想達(dá)成這一效果，需要結(jié)合硬件可信執(zhí)行環(huán)境（TrustedExecutionEnvironment）、數(shù)據(jù)沙箱等技術(shù)，確保不同子數(shù)據(jù)空間、數(shù)據(jù)應(yīng)用間的安全隔離。的安全效果，并且對過程中的重要