quange
人工智能是否真的在重塑网络威胁格局,还是持续的炒作声浪淹没了实际的、更具体的现实世界危险?根据 Picus Labs 的 2025 年红皮书报告,该报告分析了超过一百万个恶意软件样本,迄今为止,AI 驱动的攻击并未出现显著增长。是的,敌对者无疑在继续创新,而尽管 AI 肯定会开始扮演越来越重要的角色,但最新的数据表明,一套众所周知的战术、技术和程序(TTPs)仍在主导该领域。
关于人工智能的炒作无疑一直在主导媒体头条;然而,现实世界的数据描绘了一幅更为细致的图景,展示了哪些恶意软件威胁正在蓬勃发展,以及原因何在。以下是关于今年部署最多的敌对行动的最关键发现和趋势的简要概览,以及网络安全团队需要采取哪些步骤来应对这些威胁。
为什么 AI 的炒作目前还未达到预期……
虽然头条新闻大肆宣扬 AI 是网络犯罪分子的万能新秘密武器,但统计数据——至少到目前为止——却讲述了一个截然不同的故事。事实上,经过对数据的仔细研究,Picus Labs 发现 2024 年基于 AI 的策略并没有显著增加。是的,攻击者已经开始为了提高效率而使用 AI,比如制作更可信的钓鱼邮件或创建/调试恶意代码,但到目前为止,他们还没有在绝大多数攻击中利用 AI 的变革力量。事实上,Red Report 2025 的数据显示,通过专注于久经考验的 TTPs,你仍然可以阻止大多数攻击。
“安全团队应优先识别和解决其防御中的关键漏洞,而不是专注于人工智能的潜在影响。” — Picus Red Report 2025
凭证盗窃激增超过 3 倍(8% → 25%)#
攻击者越来越多地针对密码存储、浏览器存储的凭证和缓存的登录信息,利用窃取的密钥来提升权限并在网络内传播。这种三倍的增长凸显了持续且强有力的凭证管理与主动威胁检测的迫切需要。
现代信息窃取恶意软件编排多阶段风格的抢劫,结合隐秘性、自动化和持久性。通过合法的进程掩盖恶意操作,以及日常网络流量隐藏恶意数据上传,坏演员可以在你的安全团队的眼皮底下窃取数据,不需要好莱坞式的“砸抢”行动。可以将其视为数字版的完美编排的盗窃。只是罪犯们不会开着逃跑车疾驰而去;他们会静静地潜伏,等待你的下一个失误或机会。
93% 的恶意软件使用了至少一种前十名的 MITRE ATT&CK 技术 #
尽管 MITRE ATT&CK®框架非常广泛,大多数对手仍坚持使用一组核心 TTP。在 Red Report 中提供的前 10 个 ATT&CK 技术中,以下渗透和隐匿技术仍然是最常用的:
- T1055(进程注入)允许攻击者将恶意代码注入到受信任的系统进程中,使得检测更加困难。
- T1059(命令和脚本解释器)允许攻击者在目标机器上的合法解释器中运行有害的命令或脚本。
- T1071(应用层协议)为攻击者提供了“隐秘通道”,用于命令与控制以及数据渗出,隐藏在常见的协议中,如 HTTPS 或 DNS-over-HTTPS。
综合效果?看似合法的流程使用合法的工具通过广泛使用的网络通道收集和传输数据。毫不奇怪,这些技术仅通过基于签名的方法难以检测。然而,使用行为分析,特别是当使用多种技术来监控和关联数据时,可以更容易地发现异常。安全团队需要专注于寻找看起来与正常网络流量几乎无法区分的恶意活动。
回归基础以获得更好的防御 #
今天的威胁通常会将多个攻击阶段串联起来,以渗透、持续存在和窃取数据。当一个步骤被识别时,攻击者可能已经转移到下一步。因此,尽管威胁环境无疑是复杂的,但《红皮书 2025》揭示的亮点却相当简单:当前的大多数恶意活动实际上围绕着一小组攻击技术展开。通过加强现代网络安全基础,如严格的凭证保护、高级威胁检测和持续的安全验证,组织可以自信地暂时忽略 AI 炒作的浪潮,转而专注于应对当前实际针对他们的威胁。
准备好突破 AI 炒作并加强您的防御了吗? #
虽然头条新闻专注于人工智能,但自 2013 年以来一直是入侵和攻击模拟(BAS)先驱的 Picus Security,却专注于攻击者实际使用的技术和方法:久经考验的 TTPs。Picus Security 验证平台持续评估并加强组织的防御,重点强调基础要素,如凭证保护和快速威胁检测。
准备好亲自见证差异了吗?下载 Picus Red Report 2025 或访问 picussecurity.com,了解如何忽略炒作并抵御真正的威胁。
注意:本文由 Picus Security 的联合创始人兼 Picus Labs 副总裁 Suleyman Ozarslan 博士撰写,我们每天都在模拟网络威胁并加强组织的防御。
您觉得这篇文章有趣吗?本文是由我们的一位重要合作伙伴贡献的。关注我们在 Twitter 和 LinkedIn 上的账号,阅读我们发布的更多独家内容。
