據(jù)網(wǎng)絡(luò)安全公司Picus Labs發(fā)布的《2025年紅隊(duì)報(bào)告》（Red Report 2025）顯示，盡管人工智能（AI）在網(wǎng)絡(luò)安全領(lǐng)域備受熱炒，但截至目前，AI并未顯著改變網(wǎng)絡(luò)威脅格局，現(xiàn)實(shí)世界中的網(wǎng)絡(luò)攻擊仍主要依賴一組已知的戰(zhàn)術(shù)、技術(shù)和程序（TTPs）。這一發(fā)現(xiàn)與媒體對AI作為“網(wǎng)絡(luò)犯罪終極武器”的過度宣傳形成鮮明對比，提醒企業(yè)將注意力集中于實(shí)際存在的、實(shí)實(shí)在在的網(wǎng)絡(luò)安全挑戰(zhàn)上。

AI熱潮的現(xiàn)實(shí)落差

近年來，AI被視為網(wǎng)絡(luò)犯罪的“秘密武器”，媒體報(bào)道頻頻提及其在網(wǎng)絡(luò)攻擊中的潛力。然而，Picus Labs分析了超過100萬份惡意軟件樣本后發(fā)現(xiàn)，2024年并未出現(xiàn)AI驅(qū)動(dòng)攻擊的顯著激增。盡管攻擊者開始利用AI提升效率——例如生成更具欺騙性的釣魚郵件或調(diào)試惡意代碼——但總體而言，AI尚未在大多數(shù)攻擊中發(fā)揮顛覆性作用?！都t隊(duì)報(bào)告》指出，當(dāng)前大多數(shù)攻擊仍可通過關(guān)注傳統(tǒng)且經(jīng)過驗(yàn)證的TTPs來有效防御。報(bào)告建議：“安全團(tuán)隊(duì)?wèi)?yīng)優(yōu)先識(shí)別并解決防御中的關(guān)鍵漏洞，而不是過于關(guān)注AI的潛在影響。”

憑證盜竊激增三倍

報(bào)告中一個(gè)引人注目的趨勢是憑證盜竊的激增，從2024年的8%躍升至25%。攻擊者越來越多地針對密碼存儲(chǔ)、瀏覽器憑證和緩存登錄，利用竊取的密鑰提升權(quán)限并在網(wǎng)絡(luò)內(nèi)擴(kuò)散。這一三倍增長凸顯了加強(qiáng)憑證管理和主動(dòng)威脅檢測的迫切需要?，F(xiàn)代信息竊取惡意軟件通過結(jié)合隱秘性、自動(dòng)化和持久性，執(zhí)行多階段“數(shù)字搶劫”。合法進(jìn)程掩蓋惡意操作，日常網(wǎng)絡(luò)流量隱藏惡意數(shù)據(jù)上傳，攻擊者無需“好萊塢式”的高調(diào)搶劫，只需悄無聲息地潛伏，等待目標(biāo)的疏忽。

93%的惡意軟件使用MITRE ATT&CK前10技術(shù)

盡管MITRE ATT&CK框架包含數(shù)百種技術(shù)，但大多數(shù)攻擊者仍依賴一組核心TTPs?！都t隊(duì)報(bào)告》列出的前10大ATT&CK技術(shù)中，以下三種竊取和隱匿技術(shù)最為常見：

• T1055（進(jìn)程注入）：攻擊者將惡意代碼注入可信系統(tǒng)進(jìn)程，增加檢測難度。
• T1059（命令和腳本解釋器）：攻擊者利用目標(biāo)機(jī)上的合法解釋器運(yùn)行有害命令或腳本。
• T1071（應(yīng)用層協(xié)議）：攻擊者利用常見協(xié)議（如HTTPS或DNS-over-HTTPS）創(chuàng)建隱秘通道，用于命令控制和數(shù)據(jù)竊取。

這些技術(shù)的結(jié)合使合法進(jìn)程使用合法工具通過常用網(wǎng)絡(luò)渠道收集和傳輸數(shù)據(jù)，單一基于簽名的檢測方法難以識(shí)別。但通過行為分析——尤其是在監(jiān)控和關(guān)聯(lián)多個(gè)技術(shù)數(shù)據(jù)時(shí)——可以更輕松發(fā)現(xiàn)異常。安全團(tuán)隊(duì)需專注于識(shí)別看似正常網(wǎng)絡(luò)流量中的惡意活動(dòng)。

回歸基本防御策略

當(dāng)前威脅往往通過多階段攻擊滲透、持久和竊取數(shù)據(jù)，單一步驟被發(fā)現(xiàn)時(shí)，攻擊者可能已推進(jìn)到下一階段。盡管威脅格局日益復(fù)雜，《紅隊(duì)報(bào)告2025》帶來的好消息是：大多數(shù)惡意活動(dòng)仍圍繞一小套攻擊技術(shù)展開。通過加強(qiáng)現(xiàn)代網(wǎng)絡(luò)安全基礎(chǔ)——如嚴(yán)格的憑證保護(hù)、先進(jìn)威脅檢測和持續(xù)安全驗(yàn)證——企業(yè)可以暫時(shí)忽略AI的熱炒，專注于應(yīng)對當(dāng)前的實(shí)際威脅。

地緣政治與社交媒體的背景

許多網(wǎng)絡(luò)安全專家認(rèn)為，AI在網(wǎng)絡(luò)安全攻防技術(shù)領(lǐng)域的潛力雖不容忽視，但當(dāng)前威脅仍以傳統(tǒng)TTPs為主，企業(yè)和政府應(yīng)優(yōu)先更新防御策略。地緣政治動(dòng)態(tài)（如俄烏沖突、美國對俄羅斯網(wǎng)絡(luò)公司的限制）也提醒企業(yè)警惕國家支持的網(wǎng)絡(luò)威脅，但Picus Labs的數(shù)據(jù)表明，AI驅(qū)動(dòng)攻擊尚未成為主流。

總之，AI并未顛覆網(wǎng)絡(luò)安全攻防技術(shù)，2025年的現(xiàn)實(shí)威脅仍以傳統(tǒng)TTPs為主。企業(yè)應(yīng)回歸基本防御，強(qiáng)化憑證管理與行為分析，以應(yīng)對真實(shí)的網(wǎng)絡(luò)安全挑戰(zhàn)。