全球網絡攻擊持續(xù)攀升，生成式AI助長威脅

8月9日消息，當前，生成式AI加速賦能，數字化浪潮加速而來，在此背景下，通用安全漏洞數量再創(chuàng)新高，各類攻擊趨勢有增無減，網絡安全風險越來越高。

為幫助企業(yè)洞察最新的Web安全威脅和辦公安全威脅態(tài)勢，并提供防護思路，近日，網宿科技旗下網宿安全正式發(fā)布《2023互聯網安全報告：“體系化主動安全”建設指南》（以下簡稱《報告》）。

網宿安全高級總監(jiān)胡鋼偉解讀《報告》

Web安全多維度威脅持續(xù)升高

《報告》顯示，2023年，網宿安全平臺監(jiān)測到的全球Web應用程序攻擊數量達到7309億次，同比增長30%。其中，2023年應用層DDoS攻擊次數達4500億次，同比增長26%，針對境外目標的DDoS攻擊同比增長了近220%，或與企業(yè)出海趨勢相關；同時，Web應用漏洞利用攻擊為416億次，同比增長8%。此外，電商、文旅行業(yè)所遭受到的惡意Bot攻擊達到了462次，占全平臺Bot請求數比例為22%，相比2022年的170億、10%分別增長了172%、120%。

在攻擊體量持續(xù)高漲的同時，新型攻擊威脅也層出不窮，2023年，網宿安全發(fā)現了一個基于HTTP/2 Continuation Flood 的新型威脅攻擊，其攻擊峰值rps相比傳統HTTP Flood可實現一個數量級突破，從千萬級到億級。

從攻擊手法來看，據網宿安全平臺數據，2023年針對API的攻擊占比上升到了63%，《報告》推測該增長源于生成式AI在網絡安全以及入侵攻擊方面的應用得到了普及。
生成式AI正在助長威脅態(tài)勢。胡鋼偉在會上指出，生成式AI在提升效率的同時，也會成為攻擊者武器庫的一部分，讓現有攻擊更隱蔽、逃避檢測，同時還能生成攻擊代碼，讓自動化的攻擊以及漏洞利用的效率變得更高。

行業(yè)亟需轉向新一代的一體化安全防御架構

《報告》指出，傳統安全建設思路已經難以應對不斷變化升級的網絡威脅，行業(yè)亟需向新一代的一體化安全防御架構——WAAP和SASE轉型。

WAAP通過集成Web應用防火墻、DDoS防護、Bot管理、API安全、威脅情報和自動化響應等安全功能，可以為企業(yè)Web安全提供全面的威脅檢測和防御體系。此次《報告》，網宿安全結合自身在WAAP方面的實踐經驗，從頂層設計、全業(yè)務渠道接入、統一管理平臺和API、數據驅動和AI應用、核心防護能力等幾方面提出了具體的建設落地方式建議。

在企業(yè)安全方面，SASE架構則成為企業(yè)新一代的辦公網絡安全防護體系的理想方案。SASE架構可以降低企業(yè)和組織的網絡安全風險，提高企業(yè)和組織的網絡效率和業(yè)務靈活性、降低企業(yè)和組織的IT成本，符合企業(yè)辦公安全需求。此次《報告》中，網宿安全建議企業(yè)根據自己當前所處的階段以及自己安全建設的目標，分階段落地SASE架構。

值得注意的是，基于對網絡安全攻防態(tài)勢的分析，以及結合當前的降本增效背景，《報告》也對企業(yè)體系化主動安全能力建設進行了詳細探討。

2023年，盡管企業(yè)安全建設依然以合規(guī)為導向，但也呈現出諸多變化。一方面，隨著企業(yè)對安全的接受程度逐漸增加，企業(yè)對安全的認知逐漸從“絕對安全”轉變?yōu)椤跋鄬Π踩?。同時，隨著企業(yè)出海以及一帶一路的政策發(fā)展，跨境數據流動，給企業(yè)帶來了巨大挑戰(zhàn)。此外，生成式AI與大模型的落地，也給整個網絡安全行業(yè)注入變量。

胡鋼偉指出，在這些變革之下，企業(yè)在安全建設過程當中，僅以合規(guī)為驅動，會存在一些局限性，包括成本浪費、重復投入、實戰(zhàn)能力跟不上等，難以匹配企業(yè)當前的安全現狀。

對此，網宿安全建議企業(yè)在安全建設時首先應轉變理念，從被動合規(guī)向主動建設體系化安全轉變，同時企業(yè)應積極擁抱云安全技術，借助云安全服務的成本效益、可擴展性、安全能力高度整合、專業(yè)服務支持等優(yōu)勢，通過基于“網絡安全能力成熟度”的方法論，構建云端+本地協同的安全防御和安全運營雙體系，實現真正可用于實戰(zhàn)的主動安全防御體系。

胡鋼偉表示，通過體系化主動安全的核心理念分享，網宿安全希望能夠全面賦能企業(yè)的安全架構升級，幫助精進技術運營效率，共筑數字未來的安全。

生成式AI的防范建議

此次圓桌環(huán)節(jié)，北京網絡行業(yè)協會副秘書長羅藝從行業(yè)角度，談到了如何維護和保證互聯網環(huán)境的健康有序。羅藝指出，網絡安全、數據安全管理是一個體系化、全方位的工作，離不開政府監(jiān)管、行業(yè)自律和網絡監(jiān)督。在行業(yè)自律方面，企業(yè)要依法依規(guī)地經營發(fā)展，同時要在網絡安全、數據安全方向建立有效的管理制度。

對于企業(yè)出海對國內網絡安全行業(yè)的影響，安全牛分析師王劍橋與網宿安全高級總監(jiān)胡鋼偉均認為，企業(yè)出海將帶動安全剛需，為國內安全廠商提供發(fā)展新動力，但與此同時也將對國內網安廠商的技術能力提出更高要求，“打鐵還需自身硬”將愈發(fā)關鍵。羅藝則表示，這或將驅動國內安全企業(yè)創(chuàng)新發(fā)展，破除同質化內卷，推動國內網安行業(yè)壯大。

此外，圍繞熱議的生成式AI威脅話題，王劍橋與胡鋼偉也在會上分享了防范建議。

王劍橋表示，生成式AI的攻擊鏈條核心還是按照“網絡殺傷鏈”模型的六個步驟來進行，包括偵察跟蹤、工具構建、載荷投遞、漏洞利用、安裝植入、命令與控制等，生成式AI更多的是提高效率和提高效果。作為防守方，要做到以不變應萬變，防護好風險點，一是主動做好安全意識培訓，提升內部員工的防范意識，二是及時查漏補缺，減少風險暴露點，三是變單點防護為全面防護，聯動更多安全組件，全面識別風險。

胡鋼偉認為，防范生成式AI帶來的威脅應回歸安全的本質，單點防護已經失靈，企業(yè)應該構建體系化主動安全。體系化主動安全包含幾個核心，首先風險管理是基礎，要收斂暴露面、管理漏洞，以及加強人員意識管理等，其次企業(yè)要完善自身體系化安全的建設，最后所謂的用魔法打敗魔法，企業(yè)可以將AI賦能到防守以及安全運營方面，提升防護效率。

據悉，網宿安全已經將AI能力賦能到整體防護能力上，其中較為典型的應用場景是Bot智能識別，基于AI的智能識別已經貢獻了超40%的Bot識別率，而且這一比例還在上升。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。