全球網(wǎng)絡(luò)攻擊持續(xù)攀升，生成式AI助長威脅

8月9日消息，當(dāng)前，生成式AI加速賦能，數(shù)字化浪潮加速而來，在此背景下，通用安全漏洞數(shù)量再創(chuàng)新高，各類攻擊趨勢有增無減，網(wǎng)絡(luò)安全風(fēng)險越來越高。

為幫助企業(yè)洞察最新的Web安全威脅和辦公安全威脅態(tài)勢，并提供防護(hù)思路，近日，網(wǎng)宿科技旗下網(wǎng)宿安全正式發(fā)布《2023互聯(lián)網(wǎng)安全報告：“體系化主動安全”建設(shè)指南》（以下簡稱《報告》）。

網(wǎng)宿安全高級總監(jiān)胡鋼偉解讀《報告》

Web安全多維度威脅持續(xù)升高

《報告》顯示，2023年，網(wǎng)宿安全平臺監(jiān)測到的全球Web應(yīng)用程序攻擊數(shù)量達(dá)到7309億次，同比增長30%。其中，2023年應(yīng)用層DDoS攻擊次數(shù)達(dá)4500億次，同比增長26%，針對境外目標(biāo)的DDoS攻擊同比增長了近220%，或與企業(yè)出海趨勢相關(guān)；同時，Web應(yīng)用漏洞利用攻擊為416億次，同比增長8%。此外，電商、文旅行業(yè)所遭受到的惡意Bot攻擊達(dá)到了462次，占全平臺Bot請求數(shù)比例為22%，相比2022年的170億、10%分別增長了172%、120%。

在攻擊體量持續(xù)高漲的同時，新型攻擊威脅也層出不窮，2023年，網(wǎng)宿安全發(fā)現(xiàn)了一個基于HTTP/2 Continuation Flood 的新型威脅攻擊，其攻擊峰值rps相比傳統(tǒng)HTTP Flood可實(shí)現(xiàn)一個數(shù)量級突破，從千萬級到億級。

從攻擊手法來看，據(jù)網(wǎng)宿安全平臺數(shù)據(jù)，2023年針對API的攻擊占比上升到了63%，《報告》推測該增長源于生成式AI在網(wǎng)絡(luò)安全以及入侵攻擊方面的應(yīng)用得到了普及。
生成式AI正在助長威脅態(tài)勢。胡鋼偉在會上指出，生成式AI在提升效率的同時，也會成為攻擊者武器庫的一部分，讓現(xiàn)有攻擊更隱蔽、逃避檢測，同時還能生成攻擊代碼，讓自動化的攻擊以及漏洞利用的效率變得更高。

行業(yè)亟需轉(zhuǎn)向新一代的一體化安全防御架構(gòu)

《報告》指出，傳統(tǒng)安全建設(shè)思路已經(jīng)難以應(yīng)對不斷變化升級的網(wǎng)絡(luò)威脅，行業(yè)亟需向新一代的一體化安全防御架構(gòu)——WAAP和SASE轉(zhuǎn)型。

WAAP通過集成Web應(yīng)用防火墻、DDoS防護(hù)、Bot管理、API安全、威脅情報和自動化響應(yīng)等安全功能，可以為企業(yè)Web安全提供全面的威脅檢測和防御體系。此次《報告》，網(wǎng)宿安全結(jié)合自身在WAAP方面的實(shí)踐經(jīng)驗(yàn)，從頂層設(shè)計、全業(yè)務(wù)渠道接入、統(tǒng)一管理平臺和API、數(shù)據(jù)驅(qū)動和AI應(yīng)用、核心防護(hù)能力等幾方面提出了具體的建設(shè)落地方式建議。

在企業(yè)安全方面，SASE架構(gòu)則成為企業(yè)新一代的辦公網(wǎng)絡(luò)安全防護(hù)體系的理想方案。SASE架構(gòu)可以降低企業(yè)和組織的網(wǎng)絡(luò)安全風(fēng)險，提高企業(yè)和組織的網(wǎng)絡(luò)效率和業(yè)務(wù)靈活性、降低企業(yè)和組織的IT成本，符合企業(yè)辦公安全需求。此次《報告》中，網(wǎng)宿安全建議企業(yè)根據(jù)自己當(dāng)前所處的階段以及自己安全建設(shè)的目標(biāo)，分階段落地SASE架構(gòu)。

值得注意的是，基于對網(wǎng)絡(luò)安全攻防態(tài)勢的分析，以及結(jié)合當(dāng)前的降本增效背景，《報告》也對企業(yè)體系化主動安全能力建設(shè)進(jìn)行了詳細(xì)探討。

2023年，盡管企業(yè)安全建設(shè)依然以合規(guī)為導(dǎo)向，但也呈現(xiàn)出諸多變化。一方面，隨著企業(yè)對安全的接受程度逐漸增加，企業(yè)對安全的認(rèn)知逐漸從“絕對安全”轉(zhuǎn)變?yōu)椤跋鄬Π踩薄Ｍ瑫r，隨著企業(yè)出海以及一帶一路的政策發(fā)展，跨境數(shù)據(jù)流動，給企業(yè)帶來了巨大挑戰(zhàn)。此外，生成式AI與大模型的落地，也給整個網(wǎng)絡(luò)安全行業(yè)注入變量。

胡鋼偉指出，在這些變革之下，企業(yè)在安全建設(shè)過程當(dāng)中，僅以合規(guī)為驅(qū)動，會存在一些局限性，包括成本浪費(fèi)、重復(fù)投入、實(shí)戰(zhàn)能力跟不上等，難以匹配企業(yè)當(dāng)前的安全現(xiàn)狀。

對此，網(wǎng)宿安全建議企業(yè)在安全建設(shè)時首先應(yīng)轉(zhuǎn)變理念，從被動合規(guī)向主動建設(shè)體系化安全轉(zhuǎn)變，同時企業(yè)應(yīng)積極擁抱云安全技術(shù)，借助云安全服務(wù)的成本效益、可擴(kuò)展性、安全能力高度整合、專業(yè)服務(wù)支持等優(yōu)勢，通過基于“網(wǎng)絡(luò)安全能力成熟度”的方法論，構(gòu)建云端+本地協(xié)同的安全防御和安全運(yùn)營雙體系，實(shí)現(xiàn)真正可用于實(shí)戰(zhàn)的主動安全防御體系。

胡鋼偉表示，通過體系化主動安全的核心理念分享，網(wǎng)宿安全希望能夠全面賦能企業(yè)的安全架構(gòu)升級，幫助精進(jìn)技術(shù)運(yùn)營效率，共筑數(shù)字未來的安全。

生成式AI的防范建議

此次圓桌環(huán)節(jié)，北京網(wǎng)絡(luò)行業(yè)協(xié)會副秘書長羅藝從行業(yè)角度，談到了如何維護(hù)和保證互聯(lián)網(wǎng)環(huán)境的健康有序。羅藝指出，網(wǎng)絡(luò)安全、數(shù)據(jù)安全管理是一個體系化、全方位的工作，離不開政府監(jiān)管、行業(yè)自律和網(wǎng)絡(luò)監(jiān)督。在行業(yè)自律方面，企業(yè)要依法依規(guī)地經(jīng)營發(fā)展，同時要在網(wǎng)絡(luò)安全、數(shù)據(jù)安全方向建立有效的管理制度。

對于企業(yè)出海對國內(nèi)網(wǎng)絡(luò)安全行業(yè)的影響，安全牛分析師王劍橋與網(wǎng)宿安全高級總監(jiān)胡鋼偉均認(rèn)為，企業(yè)出海將帶動安全剛需，為國內(nèi)安全廠商提供發(fā)展新動力，但與此同時也將對國內(nèi)網(wǎng)安廠商的技術(shù)能力提出更高要求，“打鐵還需自身硬”將愈發(fā)關(guān)鍵。羅藝則表示，這或?qū)Ⅱ?qū)動國內(nèi)安全企業(yè)創(chuàng)新發(fā)展，破除同質(zhì)化內(nèi)卷，推動國內(nèi)網(wǎng)安行業(yè)壯大。

此外，圍繞熱議的生成式AI威脅話題，王劍橋與胡鋼偉也在會上分享了防范建議。

王劍橋表示，生成式AI的攻擊鏈條核心還是按照“網(wǎng)絡(luò)殺傷鏈”模型的六個步驟來進(jìn)行，包括偵察跟蹤、工具構(gòu)建、載荷投遞、漏洞利用、安裝植入、命令與控制等，生成式AI更多的是提高效率和提高效果。作為防守方，要做到以不變應(yīng)萬變，防護(hù)好風(fēng)險點(diǎn)，一是主動做好安全意識培訓(xùn)，提升內(nèi)部員工的防范意識，二是及時查漏補(bǔ)缺，減少風(fēng)險暴露點(diǎn)，三是變單點(diǎn)防護(hù)為全面防護(hù)，聯(lián)動更多安全組件，全面識別風(fēng)險。

胡鋼偉認(rèn)為，防范生成式AI帶來的威脅應(yīng)回歸安全的本質(zhì)，單點(diǎn)防護(hù)已經(jīng)失靈，企業(yè)應(yīng)該構(gòu)建體系化主動安全。體系化主動安全包含幾個核心，首先風(fēng)險管理是基礎(chǔ)，要收斂暴露面、管理漏洞，以及加強(qiáng)人員意識管理等，其次企業(yè)要完善自身體系化安全的建設(shè)，最后所謂的用魔法打敗魔法，企業(yè)可以將AI賦能到防守以及安全運(yùn)營方面，提升防護(hù)效率。

據(jù)悉，網(wǎng)宿安全已經(jīng)將AI能力賦能到整體防護(hù)能力上，其中較為典型的應(yīng)用場景是Bot智能識別，基于AI的智能識別已經(jīng)貢獻(xiàn)了超40%的Bot識別率，而且這一比例還在上升。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。