AI是否真的正在重塑網(wǎng)絡(luò)威脅格局？還是說，無休止的炒作掩蓋了現(xiàn)實中更實際的威脅？根據(jù)Picus Labs發(fā)布的《2025年紅色報告》對超過100萬份惡意軟件樣本的分析，迄今為止，AI驅(qū)動的攻擊并未出現(xiàn)顯著增長。盡管攻擊者確實在不斷創(chuàng)新，AI的角色也會日益重要，但最新數(shù)據(jù)顯示，一系列已知的策略、技術(shù)和程序（TTPs）仍然是網(wǎng)絡(luò)攻擊的主導(dǎo)力量。

雖然媒體頭條充斥著對人工智能的炒作，但現(xiàn)實數(shù)據(jù)卻描繪了一幅更為復(fù)雜的圖景，揭示了哪些惡意軟件威脅最為活躍及其背后的原因。以下是一些關(guān)于今年最常見攻擊活動的關(guān)鍵發(fā)現(xiàn)和趨勢，以及網(wǎng)絡(luò)安全團隊需要采取的措施。

AI炒作為何落空？至少目前如此

盡管媒體將AI宣揚為網(wǎng)絡(luò)犯罪的全能新武器，但統(tǒng)計數(shù)據(jù)卻講述了一個截然不同的故事。Picus Labs在仔細分析數(shù)據(jù)后發(fā)現(xiàn)，2024年基于AI的攻擊策略并未出現(xiàn)顯著增長。攻擊者確實開始利用AI提升效率，例如制作更具欺騙性的釣魚郵件或編寫/調(diào)試惡意代碼，但在絕大多數(shù)攻擊中，他們尚未充分發(fā)揮AI的變革性潛力。實際上，《2025年紅色報告》的數(shù)據(jù)表明，通過專注于經(jīng)過驗證的TTPs，仍然可以抵御大部分攻擊。

安全團隊應(yīng)優(yōu)先識別并彌補防御中的關(guān)鍵漏洞，而非過分關(guān)注AI的潛在影響。——《2025年紅色報告》

憑證竊取激增三倍（8% → 25%）

攻擊者越來越多地瞄準密碼存儲、瀏覽器保存的憑證和緩存的登錄信息，利用竊取的密鑰提升權(quán)限并在網(wǎng)絡(luò)中橫向移動。這一三倍的增長凸顯了加強憑證管理和主動威脅檢測的緊迫性。

現(xiàn)代信息竊取惡意軟件通過結(jié)合隱蔽性、自動化和持久性實現(xiàn)多階段攻擊。憑借合法進程掩蓋惡意操作，以及日常網(wǎng)絡(luò)流量隱藏非法數(shù)據(jù)上傳，攻擊者能夠在安全團隊的眼皮底下悄無聲息地竊取數(shù)據(jù)，而無需進行好萊塢式的“砸搶”攻擊。這就像一場精心編排的入室盜竊，只不過犯罪分子并非開車逃逸，而是靜待你的下一個失誤或漏洞。

93%的惡意軟件使用至少一種MITRE ATT&CK十大技術(shù)

盡管MITRE ATT&CK?框架廣泛詳實，但大多數(shù)攻擊者仍依賴一套核心TTPs。在《紅色報告》列出的十大ATT&CK技術(shù)中，以下外泄和隱蔽技術(shù)最為常用：

• T1055（進程注入）：允許攻擊者將惡意代碼注入受信任的系統(tǒng)進程，增加檢測難度。
• T1059（命令和腳本解釋器）：使攻擊者能夠在目標機器上運行惡意命令或腳本。
• T1071（應(yīng)用層協(xié)議）：為攻擊者提供通過常見協(xié)議（如HTTPS或DNS-over-HTTPS）進行命令控制和數(shù)據(jù)外泄的隱蔽通道。

這些技術(shù)的結(jié)合使得看似合法的進程通過合法工具收集數(shù)據(jù)并在廣泛使用的網(wǎng)絡(luò)通道中傳輸。僅依靠基于簽名的檢測方法難以發(fā)現(xiàn)此類攻擊，但通過行為分析，特別是在監(jiān)測和關(guān)聯(lián)多種技術(shù)時，可以更容易發(fā)現(xiàn)異常。安全團隊需要重點關(guān)注那些與正常網(wǎng)絡(luò)流量幾乎無異的惡意活動。

回歸基礎(chǔ)，強化防御

當今的威脅通常將多個攻擊階段串聯(lián)起來，以實現(xiàn)滲透、持久化和數(shù)據(jù)外泄。當一個步驟被發(fā)現(xiàn)時，攻擊者可能已經(jīng)進入下一階段。盡管威脅環(huán)境無疑復(fù)雜多變，但《2025年紅色報告》揭示的一線希望卻相當簡單：當前大多數(shù)惡意活動實際上圍繞一小部分攻擊技術(shù)展開。通過加強現(xiàn)代網(wǎng)絡(luò)安全基礎(chǔ)，如嚴格的憑證保護、先進的威脅檢測和持續(xù)的安全驗證，企業(yè)可以暫時忽略AI炒作的浪潮，集中精力應(yīng)對當前實際面對的威脅。