2024年网络安全深度洞察及2025年趋势研判

深信服千里sangforDeepINsight深信服智安全SANG深信服千里sangforDeepINsight深信服智安全2024年网络安全深度洞察及2025年趋势研判DEEPINSIGHTINTOCYBERSECURITYIN2024ANDTRENDANALYSISIN2025千里目安全技术中心全球Windows系统崩溃，再到黎巴嫩突发寻本报告旨在深入分析当前网络安全领域的关键趋势，探讨最新的攻击手段和防御技术，并提供实用的策略和建议，帮助企业和组织更好地应对网络安全挑战。本报告根据国内外开源软件漏洞发展现状，分析当前开源软件漏洞威胁态势和治理成效；深入研究国内外勒索软件攻击发展趋势与犯罪特点，给出勒索软件治理的建议与策略；从实际攻防场景出发，深入剖业代表性数据，且均明确注明来源，其余数据来源于报告编写团队，目的仅为帮助读者及时了解中国或其他地区网络安全本报告中所含内容乃一般性信息，不应被视为任何意义上的决策意见或依据，任何编制单位的关联机构、附属机构并不因此构成提供任何专业建议或服务。在作出任何可能影响您的财务或业务的决策或采取任何相关行动前，或您对本报告内容2024年，人工智能大模型深度赋能网络安全技术革新，在安全运营、威据分级分类场景的大模型正逐步应用，全网//o2024年典型攻防场景中，在横向移动阶段身份攻击和免杀对抗是最主要的攻// 录开源软件漏洞态势分析01开源软件漏洞威胁态势分析01开源软件漏洞影响分析03.开源软件漏洞治理与防御的策略与建议04勒索软件攻击发展趋势分析05勒索软件攻击发展趋势分析05勒索软件网络犯罪特点分析06勒索软件治理与合作的策略与建议07攻防场景发展趋势分析09攻防场景下初始访问阶段技战法分析09攻防场景下横向移动阶段技战法分析10攻防场景下安全防御能力建设的策略与建议11人工智能赋能网络安全应用发展情况分析13网络安全大模型基本概况13人工智能大模型赋能的网络安全场景14安全运营15威胁检测16钓鱼邮件检测17数据分级分类18威胁情报整合与分析192025年重点关注趋势20参考链接22近年来，开源软件漏洞数量整体呈增长趋势，2024年统计供应链的重要组成部分，一旦爆发严重漏洞将对整个软件供应链带来极大安全风险。开源漏洞数据库（OpenSource年高危及以上漏洞占比均超40%。漏洞数量逐年增长和高危以上漏洞占比居高，与近年来开源项目的增多和全球开源软00101洞攻击者可以获取任意代码执行权限，该类型的漏洞在浏览器和Office软件中比较常见。已知被0uu0202 主要受以下因素影响：开源软件通常依赖于社区的支持来发现和修复漏洞，社区的规模和活跃程度会影响漏洞修复0303●二是维护软件物料清单（SBOM）和开源组件清单。使用自动化工具分析软件物料清软件组件、相关漏洞及其对软件架构的影响。跟踪项目中使用的所有开源组件对于有效管理和更新漏洞补丁至关三是持续地对项目进行监控并进行全面的安全评估和审查。使用安全工具持续监控生产中的应用程序，自动防止漏洞被利用。对开源工具进行全面的安全评估，确保所有组件定期更新和打补丁。实施严格的代码审查，并使用0404 个重要原因，RaaS的兴起极大地降低了勒索攻击成本，而因勒索攻击导致的停0505数据泄露，乃至诈骗等核心元素展开的勒索软件攻击黑色产业索在网络犯罪中占有极大的比重。对美国司法部发布的勒索相关网络犯罪信息进行分析后发现，勒索软件网络犯罪主要涉二是加密生态犯罪系统为勒索犯罪提供了非法洗钱服务，包括非法经营汇款业务及转移和传输非法资金等服务。0606不同国家的全面赎金禁令效果各异。比如，澳大利亚最有可能通过全国禁令获得成功，与美国相比，由于其勒索市场相对较小，即使犯罪分子放弃对澳大利亚的勒索攻击，其网络犯罪的目标市场也不会显著萎缩。相比之下，美国是受勒索软件攻击最严重的国家，占全球勒索攻击的50%，勒索犯罪分子并不会因为赎金禁令而放弃攻击美国。如果我国希望将禁止支付赎金作为阻止资金流入犯罪分子的战略的重要组成部分，那么一个必不可少的先决条件是国家在应对攻击时采取更有效的干预措施。勒索软件现象的核心是经济和政策激励机制的错位。虽然各国政府都在努力加强网络安全立法和监管，但勒索软件的频繁出现表明，现有的政策和激励机制并未能有效阻止这一威胁的蔓延。资源分配不合理、政府与行业合当前，政策激励机制面临的主要障碍包括：一是合法私人利益与公共利益的不一致，当西方国家的私营考虑支付赎金对公共利益的影响并非他们考虑的范畴。二是目前没有激励措施促使犯罪分子克制行动，许多勒索犯罪分子并未受到惩罚。三是企业在软件和硬件生产中缺乏商业激励，无法在产品设计中充分考虑安全性，从而为勒索攻击留下了隐患。如果不对激励机制进行更广泛的改革，仅仅剥夺受害者的支0707型勒索团伙的打击，减少了全球范围内产生巨大影响的勒索大事件。同时，加强对加密生态犯罪系统的是黑市买家和卖家的主要渠道，也是勒索软件犯罪分子进行非法交易的避风港，对其瓦解和破坏无疑是对勒索软件犯罪活动的沉重打击。此外，针对暗网网络犯罪市场的执法也不可忽视。BreachForums、合作伙伴共同应对勒索软件威胁，已连续三年举行国际勒索软件倡议（CRI）峰会，已有50多个国家和地区参与其中。我国也一直致力于加强双边、多边以及联合国框架下的国际对话与合作，推动构建网络空间命运共同体。在关键基础设施保护方面的国际合作至关重要，也是“一带一路”倡议的重点之一。面对当前勒索软件攻击态势，建议进一步深化在关键基础设施保护方面的国际合作。二是增强公共部门和私营部门的合作。当前，中小企业和其他非政府组织往往缺乏独立抵御勒索软件攻击的能力，合法私人利益与公共利益的不一致导致私营部门未完全向有关部门报告勒索软件攻击事件。针对上述公私合作的问题，建议采取进一步措施，加强公共部门与私营部门的协同联动。考虑组建促进政企网络安全合作的专门机构，吸引重要网络安全企业参与，并将信息共享升级为操作协同，通过进一步为中小企业和非政府组织提供实质性帮助，制定对受害者的相应鼓励和补偿机制，以有效改善私营部门报告勒索事件的情况，进而缓解缺乏勒索系统数据的问题。同时，通过加强信息传播、宣传和教育，提高公众对政府机0808一是通过社工钓鱼窃取凭证，随着现在零信任和单点登录的逐渐普及，可通恶意二维码和链接的方式钓取重要人员凭证。获取到凭证后可进一步收集企业敏感信息或通过内对内钓鱼方式获取重要人员终端权限。二是钓鱼渠道呈现多样化，包括发送钓鱼邮件、直接拨打电话、添加目标人群微信发送钓鱼文件、加入相关QQ群发送钓鱼文件、伪装招聘、应聘或通用社交软件聊天发送钓鱼文件、在公众号中发送钓鱼文件、向人工在线客服发送钓鱼文件、伪装相关业务合作发送钓鱼文件等。三是钓鱼目标更加精准化，不再进行大范围钓鱼，而是选择特定目标进行精准钓鱼。例如关键设备的管理员、关键系统的运中漏洞挖掘的主要方向。0day漏洞利用网突破使用的通用组件主要为统一身份认证组件和OA组件，由于这两类组件在国内使用量较大，攻击者但在攻坚内外网重要目标系统时，会挖掘新漏洞。现场进行黑盒和白盒漏洞挖掘难度较大但效果很好，可在短时间内快速挖掘出高可利用漏洞，从而能最直接获取重要成果。逻辑漏洞是现场漏洞挖掘的主要方向，原因是逻辑漏洞流量特征弱，当前安全设备无法很好地检测，逻辑漏洞利用相对隐蔽，不易被发现，使攻击更0909应链攻击手法进行突破。目前对供应链的攻击手法已趋于成熟，其优势是很难监控到供应链侧的恶意流量和攻击行为，使攻击更具隐蔽性，并且供应链侧内部安全建设较差，更易突破。面对无法直接突破的目标，或者希望扩大攻击面影响范围时，供应链攻击是一个很好的选择。在初始访问阶段通过供应链攻击进行目标突破主要使用以下攻击手法：一是通过攻击供应商获取重要系统源代码并进行代码审计，这种方式十分隐蔽。并且通过定向审计逻辑漏洞进行突破，逻辑漏洞特征很弱，当前安全设备无法很好检测，可通过漏洞直接拿下目标。二是通过打下供应商获取目标凭证，由于运维及技术支持需要，供应商内部会存储大量甲方的系统和安全设备进行身份攻击。一是针对常规集控的身份攻击，内网最敏感且高价值的系统一般为：云管平台、堡垒机、运维跳板机、运维机器、域控等常规集控。在成功获取到此类系统权限后，可以在短时间内接触到重要目标系统，被攻击者往往没有足够时间来进行防御，所以在内网横向中会优先考虑攻击此类系统。二是针对知识密集型应用的身份攻击，信息收集在内网横向阶段也是最常见的攻击手法之一，因此内网中的知识对性打击重要目标系统，由于该攻击手法与正常使用业务方式差异不大，隐蔽性极强，降低被发现概率。三是针对安全设备的身份攻击，在内网中企业为方便管理大量个人终端、服务器，通常会统一安装终端集控会通过更新投毒直接控制大量的个人终端、服务器。此外，内网中防火墙设备通常位于不同网段之间的关键将在云上部署，随着微服务和云化的逐渐流行，针对微服务和云化的攻击呈现增长态势。从去年开始攻防场景中针对微服务和云化的攻击就已经有了一定热度，攻击者主要通过漏洞、弱口令、存储凭证窃取等方式，1010目安全技术中心针对近几年的典型攻防场景进行分析，发现攻击者为保证后渗透阶段各环节实施隐蔽和稳定，在拿到初始权限后，通常会通过一些高级逃逸技术和致盲终端安全软件的方式进行免杀对抗。第一类方法是第二类方法是通过致盲终端安全软件进行免杀对抗，利用有漏洞的签名驱动程序，关闭终端安全软件进程或者清除终端安全软件监控功能利用的内核回调机制，或通过创建防火墙策略、WFP（WindowsFilterPlatform）过滤规则，来阻断终端安全软件进程与服务端的通信。当前攻击者已经储备了成熟稳定的逃逸和致盲终端安全软件工具，可以对抗绝大部分常见国内外安全终端软件，可使终端安全软件暂时或永久失效。 攻防场景的分析，从防御角度深信服千里目安全技术中心给出以下策略与建议：一是需加强对凭证攻击尽可能在身份认证阶段就进行阻断，不同业务使用不同密码以防御口令喷洒攻击。二是构建基于行为检测技术检测逻辑漏洞能力，但需要结合多种方法和策略。包括基于访问图基线的检测、基于API模式特征的检测、基于静态分析和动态分析的混合方法，以及基于行为分析的检测。三是需要加强对敏感信息泄露的检测能力与数据防泄漏能力，通过实施文件传输通道管控技术来进行数据防泄漏安全管控，并结合审批、审计等技术产品和管理措施或结合文件加解密、终端磁盘加解密方式进行管控。四是加强对外1111典型攻防场景的分析，从防御角度深信服千里目安全技术中心给出以下策略与建议：一是重点关注防御逃逸手法检测，需要结合多种方法和工具，包括监控网络流量、识别异常行为、验证数字证书等。通过使用自动化检测工具如CDK和Check，可以提高检测效率和准确性。在云原生环境中，特别需要关注加对白利用手法的检测，如利用脚本解释器加载木马、利用正规远控和终端管理软件、利用系统程序加利用行为来综合研判是否失陷。四是可增加蜜罐蜜网功能，如诱饵蜜罐，可诱导攻击者进入蜜网，然后再自动进行隔离，不仅可以消耗攻击者的精力和时间，也可以打断攻击者的进攻节奏，消磨攻击者的进从防御角度来看，应加强对利用集权设备进行恶意利用、利用知识密集型应用进行信息收12122024年，生成式人工智能技术赋能网络安全防御的应基于规则和统计算法的威胁检测和日志分析，该阶段中生成式人工智能实现网络安全技术跃迁，从被动防御转向主动防护，未来结合自适应优化（Agent在网络安全大模型最佳实践的应用模式上，呈现出从辅助运营到自主检测预警再到自主决策与智能运营的在网络安全大模型最佳实践的应用模式上，呈现出从辅助运营到自主检测预警再到自主决策与智能运营的一是对话与辅助运营。在生成式AI技术初期，大模络安全需要大量数据分析和报告生成，这些功能被率先应用于网络安全运营。二是自动检测与威胁预警，随着AI算法的进步，特别是深度学习技术的发展，结合网络安全领域的大规模数据集，模型实现了异常行为检测和威胁预警，替代了传统基于规则的方法。1313大模型应用服务的成熟度评估，结合国内外技术成熟度评估标准和行业技术实践，将网络安全的大模型应用领域的成熟度L1:初始阶段，该项技术的使用仅限于概念验证和L2:可行阶段，技术已具备基本功能，已开展可行的实践案例，部分企业已L3:扩展阶段，可满足进一步的扩展功能，技术能够处理更复杂的场景和更大规模的数据，应随着人工智能技术的飞速发展，大模型在网络安全领域的应用日益广泛，特别是在安全运营、威胁检测、钓鱼邮件检测、数据分级分类以及威胁情报整合与分析等关键场景提供了强有力的赋能。例如，在安全运营中，微软推出的Security的运营效率。在威胁检测领域，谷歌的BERT及其变体已被用于提升恶意代Proofpoint的大模型增强型钓鱼邮件检测，显著提升了对高级威胁的识别能力CrowdStrike的钓鱼邮件检测平台依托其云端威胁图谱技术和大模型分析能力，实现了高效、精准的威胁拦截。这些网络安全大模型的应用不仅推动了网络安全技1414还原、分析解读、威胁定性、响应处置等威胁运营工作中重复、繁琐的事务性工作，并逐步构建安全运营自主闭环能力，大模型赋能安全运营实现告警和安全事件自动分析，极大地解决了在安全运营中的人以上的时间消耗。安全运营工作中每天产生上万级告警，利用生成式人工智能大模型技术自动化、智能化的筛选和大模型通过对话式辅助运营模式，减少事件响应难度，自动生成精准的响应建议。大模型在安全运营中的最佳应用实践是构建一个基于自然语言交互的智能安全运营专家，能够从多个维度（如威胁分析、事件响应、漏洞管理等）自动生成精准的响应建议，大幅提升安全运营效率。通过自动化处理复的手动运营工作，使安全团队能够更专注于高价值的战略任务，同时降低人为错误风险，全面提升安全运营的智能化水平。例如在安全事件溯源上，安全技术人员可以通过对话模式，询问大模型快速了解的漏洞数量、漏洞类型和严重程度等，并关联到业务的责任人。在安全事件研判中，通过按键触发安全辅助，实现人员安全能力赋能，快速闭环运营工作。整体效果来看，该应用能力成熟度可达到L4水平，是目前主流的应用方式，可赋能初级安全工程大模型通过思维链自主进行资产梳理、加固预防、监测研判、调查处置、联动处置、情报查询及溯源总结等工作，威胁情报分析和基础信息分析等维度输出研判处置思考过程，针对人工决策告警支持自动给出具体处置建议，并对事件产出分析报告。通过自动化值守实现安全运营的“自动驾驶”，实现安全告警的自动响应闭环，显著提升运营自动化+人工监督成为行业标杆实践。目前，自1515在威胁检测方面，生成式大模型带来了颠覆性的突破，在基础安全能力上极大提升了检测效率以外，最核心的是带来了未知威胁的检测能力，打破了以往在高级对抗大模型赋能威胁检测带来了未知威胁检测能力突破，特别是在0day漏洞检测和高混淆攻击检测上表现出色。大模型赋能威胁检测补齐了传统检测引擎的劣势，在0day漏洞检测、高混淆攻击、未授权漏洞、APT攻击等高级威胁检测上带来的全新的检测方法，如在高混淆攻击检测上，能通过大模型对攻击语言的理解实现不同语言、不同版本和复杂协议的混淆语法识别，提取出攻击命令。在0day漏洞检测方面，利用流量文本向量化技术，提取疑似0day漏洞攻击向量，再使用向量相似度算法与历史攻击向量比对，筛除术中心实践已通过大模型挖掘累计发现0day漏洞400+。目前，在大模型赋能未知威胁检测的应用成熟度处于L2（可行阶段）向胁检测中，在识别异常行为模式、未知攻击路径及复杂威胁特征展的未知威胁检测，仍需在算法优化、计算效率和实时适应性上进一步突破。在大模型赋能检测精度提高方面已广泛应用，可达到L4中心实践，尤其是在处理高度复杂或混淆类的攻击时，检出率可达联动响应。随着AI技术在威胁检测中的深度应用，大模型能够实时分析网络流量、用户行为等多维数据，快速识别异常模式并动态调整防御策略。结合上下文感知分析，模型可预测攻击的潜在目标与后续行为，如推断横向移动或数据窃取意图，并提前生成阻断建议。例如，在检测到异常流量时，系统不仅能判定当前风险，还可自主决策目前还存在较多阻碍，例如跨平台联动、多源数据融合以1616网络钓鱼攻击在实战攻防场景中的攻击比例逐步升高，近年来网络钓鱼攻击成为主流的攻击入口的统计显示，网络钓鱼是最主要的攻击入口，占比高达41.1%。随着生成式大模型的应用，降低钓鱼邮件制作成本，应用已经处于较为成熟的阶段（L4已经具备较高的稳定性和可靠性，该项技术已广泛被应用于企业邮件网关等安全防大模型通过意图推理和对自然语言的理解，具备识别情绪诱导的钓鱼攻击的能力。大模型通过意图推理和对自然语言的理解，具备识别情绪诱导的钓鱼攻击的能力。网络邮是针对受害者的社会工程，通过各种手段进行情绪诱导，加上成熟的社会工程学手段，千变万化使受害者防不胜防。例如通过制造恐惧和焦虑，使用“账户封禁”或“逾期失效”等急迫语气驱或者使用“您的同事分享了一份重要文件，请查看。”话术，利用人类对未知事物的兴趣，并触发攻击；再就是伪装成权威机构或可信来源，通过伪造身份获取受害者的信任。大模型能够容中的语义和情感倾向，提取邮件中的情绪特征，例如语气、用词风格和情感强度，识别出潜在模式，如一封邮件使用了大量负面情绪词汇、是否偏离日常的行为基线。相比传统方法，大模型测已知的攻击模式，还能通过在线学习不断适应新型威胁。这种能力显著提升了对复杂情绪诱导大模型通过多模态分析技术实现对各种高对抗性攻击和绕过手段的检测，特别是密码混淆大模型通过多模态分析技术实现对各种高对抗性攻击和绕过手段的检测，特别是密码混淆对于加密附件嵌套，大模型能够多模态密码推理理解邮件正文、音频及视频内容，提取出正通过分析压缩包文件头，识别嵌套结构，预测风险路径，并生成决策树调用沙箱环境获取解跨资源隐写注入以及链式恶意载荷触发的精准检测，突破传统规则引擎在对抗AST混淆和上下文感知型逃逸攻击时的技术瓶颈；对于二维码切割，大模型通过图像识别技术拼接碎片并解码二维码内本防御机制还原被切割、扭曲或噪声污染的二维码碎片，结合图神经网络重建二维码拓扑结鱼邮件检测依赖规则引擎和白名单配置，因业务场景动态变化，易因“加白过粗”导致漏报或“加白过细”经深信服千里目安全技术中心实践表明，基于100万封正常邮件的训练与推理优化，模型误报率从传统方1717生成式大模型在语言能力上展现出的能力优势将极大赋能数据安全分级分类工作，精确识别和分类不同类型的数据。对大实现跨类型数据快速标准化分类。在实际业务环境中，数据不仅限于文本，还包括图像、音频、视频等多模态数据。传统方法通常需要针对不同模态的提取图像中的文本后再进行分类，或者对音频数据进行转录后分析。这种分模块处理的方式不仅效率低下，还容易因标准割裂而导致信息丢失或分类不相比之下，大模型依托多模态融合技术（如自然语解析原始数据，无需复杂的预处理步骤。在多模态对齐层，大模型将文本、图像、音频、视频等不同类型的数据映射到统一的语义空间中，从而实现跨模态的信息关联与整合。例如，在处理一张包含敏感信息的图片时，大模型不仅能识别图片中的文字擎同步解析其中的敏感信息。大模型基于动态上下文感知架构与多模态在线学习系统，构建自适应分类体系，在动态数据分级分类领域实现技术突破。经深信服千里目安全技术中心实践表明，依托机器学习和深度学习，尤其是自然语言处理（NLP大模型通过训练海量数据，学习复杂特征和模式，自动识别并分类数据，效探针捕获协议中的敏感字段，并结合上下文动态分析，精准识别数据模式与关联。其次，大模型通过监督学习使用大量标注数据，掌握数据分类分级规则，同时借助无监督学习发现新类别和隐藏模式，实现动态分类分级。其迁移学习能力可将在一个领域的知识应用于其他领域，灵活应对数据类型和敏感性随时间、环境的变化，确保分类结果的准确性自动生成符合行业属性的分级清单，确保结果高效且合规，满足行业需求。大模型通过自适应技术持续学习业务环境特征，智能化调整数据分级分类策1818威胁情报作为安全事件告警分析和威胁检测持续赋能的关键。2024年谷歌发布最新威胁情报平台，其利用生成式大模型以多个维度在大规模范围上进行威胁情报的关联分析。不仅对企业内部开展情报分析，还能从全球威胁情报平台、网络流量监控、社交媒体监控、暗网情报源等多个渠道获取数据。汇集多方情报源利用大模型进行关联分析，发现各个情报之间大模型多模态情报自动化提取整合，实现数据协同与实时威胁感知。利用生成式大模型信息检索和语义搜索等技术自动检索、提取和整合情报数据，包括全球威胁情报平台、流量监控、社交媒体监控、暗网▲大模型通过情报关联分析，能够发现传统威胁情报平台难以识别的未知威胁活动，显著提升威胁检测的使用生成式大模型通过多数据源的深度融合和关联分析，识别出潜在的攻击模式并生成更加精准的威胁情报，并回溯历史数据，发现长期潜伏的攻击活动或已经发生但未被发现的威胁活动。具体技术实现上，文进行深度语义理解与关联分析。这种技术不仅能够整合结构化数据（如日志、事件记录）和非结构化在此基础上，大模型通过对历史数据的回溯分析，识别潜在的攻击模式，推演出完整的攻击链，并生成▲大模型通过时间序列预测模型和因果推理算法结合多源情报分析，构建攻击者行为模式图谱，预测威胁活动趋势。大模型基于全球威胁活动的实时监控和多数据源关联分析，利用历史攻击数据预测新型攻击及外部威胁活动的发展趋势。基于时间序列预测模型和因果推理算法，构建攻击者行为模式图谱，包括解析历史攻击数据中隐藏的TTPs（战术、技术与程序）演化规律，量化评估漏洞利用周期、恶意软件变种迭代速率等关键指标，预测APT组织武器化漏洞的优与经济、地缘政治事件的动态关联模型。谷歌2024年推出191920