本文来自微信公众号“GoUpSec”。
虽然AI应用热潮产生了大量新的攻击媒介和数据安全威胁,但AI并未颠覆网络安全威胁格局,2025年的现实威胁仍以传统TTPs为主。
据网络安全公司Picus Labs发布的《2025年红队报告》(Red Report 2025)显示,尽管人工智能(AI)在网络安全领域备受热炒,但截至目前,AI并未显著改变网络威胁格局,现实世界中的网络攻击仍主要依赖一组已知的战术、技术和程序(TTPs)。这一发现与媒体对AI作为“网络犯罪终极武器”的过度宣传形成鲜明对比,提醒企业将注意力集中于实际存在的、实实在在的网络安全挑战上。
AI热潮的现实落差
近年来,AI被视为网络犯罪的“秘密武器”,媒体报道频频提及其在网络攻击中的潜力。然而,Picus Labs分析了超过100万份恶意软件样本后发现,2024年并未出现AI驱动攻击的显著激增。尽管攻击者开始利用AI提升效率——例如生成更具欺骗性的钓鱼邮件或调试恶意代码——但总体而言,AI尚未在大多数攻击中发挥颠覆性作用。《红队报告》指出,当前大多数攻击仍可通过关注传统且经过验证的TTPs来有效防御。报告建议:“安全团队应优先识别并解决防御中的关键漏洞,而不是过于关注AI的潜在影响。”
凭证盗窃激增三倍
报告中一个引人注目的趋势是凭证盗窃的激增,从2024年的8%跃升至25%。攻击者越来越多地针对密码存储、浏览器凭证和缓存登录,利用窃取的密钥提升权限并在网络内扩散。这一三倍增长凸显了加强凭证管理和主动威胁检测的迫切需要。现代信息窃取恶意软件通过结合隐秘性、自动化和持久性,执行多阶段“数字抢劫”。合法进程掩盖恶意操作,日常网络流量隐藏恶意数据上传,攻击者无需“好莱坞式”的高调抢劫,只需悄无声息地潜伏,等待目标的疏忽。
93%的恶意软件使用MITRE ATT&CK前10技术
尽管MITRE ATT&CK框架包含数百种技术,但大多数攻击者仍依赖一组核心TTPs。《红队报告》列出的前10大ATT&CK技术中,以下三种窃取和隐匿技术最为常见:
- T1055(进程注入):攻击者将恶意代码注入可信系统进程,增加检测难度。
- T1059(命令和脚本解释器):攻击者利用目标机上的合法解释器运行有害命令或脚本。
- T1071(应用层协议):攻击者利用常见协议(如HTTPS或DNS-over-HTTPS)创建隐秘通道,用于命令控制和数据窃取。
这些技术的结合使合法进程使用合法工具通过常用网络渠道收集和传输数据,单一基于签名的检测方法难以识别。但通过行为分析——尤其是在监控和关联多个技术数据时——可以更轻松发现异常。安全团队需专注于识别看似正常网络流量中的恶意活动。
回归基本防御策略
当前威胁往往通过多阶段攻击渗透、持久和窃取数据,单一步骤被发现时,攻击者可能已推进到下一阶段。尽管威胁格局日益复杂,《红队报告2025》带来的好消息是:大多数恶意活动仍围绕一小套攻击技术展开。通过加强现代网络安全基础——如严格的凭证保护、先进威胁检测和持续安全验证——企业可以暂时忽略AI的热炒,专注于应对当前的实际威胁。
地缘政治与社交媒体的背景
许多网络安全专家认为,AI在网络安全攻防技术领域的潜力虽不容忽视,但当前威胁仍以传统TTPs为主,企业和政府应优先更新防御策略。地缘政治动态(如俄乌冲突、美国对俄罗斯网络公司的限制)也提醒企业警惕国家支持的网络威胁,但Picus Labs的数据表明,AI驱动攻击尚未成为主流。
总之,AI并未颠覆网络安全攻防技术,2025年的现实威胁仍以传统TTPs为主。企业应回归基本防御,强化凭证管理与行为分析,以应对真实的网络安全挑战。
参考链接:
https://www.picussecurity.com/red-report
