據(jù)網(wǎng)絡安全公司Picus Labs發(fā)布的《2025年紅隊報告》（Red Report 2025）顯示，盡管人工智能（AI）在網(wǎng)絡安全領域備受熱炒，但截至目前，AI并未顯著改變網(wǎng)絡威脅格局，現(xiàn)實世界中的網(wǎng)絡攻擊仍主要依賴一組已知的戰(zhàn)術(shù)、技術(shù)和程序（TTPs）。這一發(fā)現(xiàn)與媒體對AI作為“網(wǎng)絡犯罪終極武器”的過度宣傳形成鮮明對比，提醒企業(yè)將注意力集中于實際存在的、實實在在的網(wǎng)絡安全挑戰(zhàn)上。

AI熱潮的現(xiàn)實落差

近年來，AI被視為網(wǎng)絡犯罪的“秘密武器”，媒體報道頻頻提及其在網(wǎng)絡攻擊中的潛力。然而，Picus Labs分析了超過100萬份惡意軟件樣本后發(fā)現(xiàn)，2024年并未出現(xiàn)AI驅(qū)動攻擊的顯著激增。盡管攻擊者開始利用AI提升效率——例如生成更具欺騙性的釣魚郵件或調(diào)試惡意代碼——但總體而言，AI尚未在大多數(shù)攻擊中發(fā)揮顛覆性作用?！都t隊報告》指出，當前大多數(shù)攻擊仍可通過關注傳統(tǒng)且經(jīng)過驗證的TTPs來有效防御。報告建議：“安全團隊應優(yōu)先識別并解決防御中的關鍵漏洞，而不是過于關注AI的潛在影響?！?/p>

憑證盜竊激增三倍

報告中一個引人注目的趨勢是憑證盜竊的激增，從2024年的8%躍升至25%。攻擊者越來越多地針對密碼存儲、瀏覽器憑證和緩存登錄，利用竊取的密鑰提升權(quán)限并在網(wǎng)絡內(nèi)擴散。這一三倍增長凸顯了加強憑證管理和主動威脅檢測的迫切需要?，F(xiàn)代信息竊取惡意軟件通過結(jié)合隱秘性、自動化和持久性，執(zhí)行多階段“數(shù)字搶劫”。合法進程掩蓋惡意操作，日常網(wǎng)絡流量隱藏惡意數(shù)據(jù)上傳，攻擊者無需“好萊塢式”的高調(diào)搶劫，只需悄無聲息地潛伏，等待目標的疏忽。

93%的惡意軟件使用MITRE ATT&CK前10技術(shù)

盡管MITRE ATT&CK框架包含數(shù)百種技術(shù)，但大多數(shù)攻擊者仍依賴一組核心TTPs。《紅隊報告》列出的前10大ATT&CK技術(shù)中，以下三種竊取和隱匿技術(shù)最為常見：

• T1055（進程注入）：攻擊者將惡意代碼注入可信系統(tǒng)進程，增加檢測難度。
• T1059（命令和腳本解釋器）：攻擊者利用目標機上的合法解釋器運行有害命令或腳本。
• T1071（應用層協(xié)議）：攻擊者利用常見協(xié)議（如HTTPS或DNS-over-HTTPS）創(chuàng)建隱秘通道，用于命令控制和數(shù)據(jù)竊取。

這些技術(shù)的結(jié)合使合法進程使用合法工具通過常用網(wǎng)絡渠道收集和傳輸數(shù)據(jù)，單一基于簽名的檢測方法難以識別。但通過行為分析——尤其是在監(jiān)控和關聯(lián)多個技術(shù)數(shù)據(jù)時——可以更輕松發(fā)現(xiàn)異常。安全團隊需專注于識別看似正常網(wǎng)絡流量中的惡意活動。

回歸基本防御策略

當前威脅往往通過多階段攻擊滲透、持久和竊取數(shù)據(jù)，單一步驟被發(fā)現(xiàn)時，攻擊者可能已推進到下一階段。盡管威脅格局日益復雜，《紅隊報告2025》帶來的好消息是：大多數(shù)惡意活動仍圍繞一小套攻擊技術(shù)展開。通過加強現(xiàn)代網(wǎng)絡安全基礎——如嚴格的憑證保護、先進威脅檢測和持續(xù)安全驗證——企業(yè)可以暫時忽略AI的熱炒，專注于應對當前的實際威脅。

地緣政治與社交媒體的背景

許多網(wǎng)絡安全專家認為，AI在網(wǎng)絡安全攻防技術(shù)領域的潛力雖不容忽視，但當前威脅仍以傳統(tǒng)TTPs為主，企業(yè)和政府應優(yōu)先更新防御策略。地緣政治動態(tài)（如俄烏沖突、美國對俄羅斯網(wǎng)絡公司的限制）也提醒企業(yè)警惕國家支持的網(wǎng)絡威脅，但Picus Labs的數(shù)據(jù)表明，AI驅(qū)動攻擊尚未成為主流。

總之，AI并未顛覆網(wǎng)絡安全攻防技術(shù)，2025年的現(xiàn)實威脅仍以傳統(tǒng)TTPs為主。企業(yè)應回歸基本防御，強化憑證管理與行為分析，以應對真實的網(wǎng)絡安全挑戰(zhàn)。