???<??HM?OCUM CONTENTS01CONTENTS趨勢1:【大模型治理】2025年大模型安全治理將面向產業界推進可落地的風險管控舉措，企業提供大模型系統的服務或發布基于大模型的應用，都需要評估合規風險。022:【大模型安全應用】2024年，AIAgent技術迅猛發展，安AIAgent仍較少。2025LLMAgent將提升自主決策能力，推動安全領域033:【安全運營】2024年，安全運營成為安全大模型的主要應用領域，通過量化指標提升運營效率，結合大小模型精準識別潛在威脅，助力復雜攻擊調查與深度溯源。2025年，安全大模型將更044:【AI紅隊】DeepSeek-R1促使更多企業部署私有大模型系AI紅隊技術系統性發現、AI攻擊面管理的需求。05趨勢5:【威脅情報】開源大模型DeepSeek將加速情報與大模型的結合，“本地智能”將重塑威脅情報體系和生態。06趨勢2025云服務商漏洞引發的云安全事件將依然頻發，其中供應鏈安全成為保障數據安全的一道重要防線。077:【勒索】勒索組織攻擊目標將聚焦關鍵基礎設施單位，勒索生態顯現虹吸效應，大型勒索組織規模不斷擴大，國家治理難度升級，企業防御難度增加。CONTENTS08CONTENTS趨勢:

APT】“假旗”戰術成主流，溯源歸因難度提升。APT“陣地”擴張，物理空間攻擊風險加劇，衛星通訊設備首次被攻破。099:【數據安全】以往跟數據安全相關的新技術分別應用于不同的細分領域，例如，隱私計算的主要賽道是金融行業，機密計算的主要需求來自安全性較高的特殊行業，可信計算、區塊鏈常見于科研項目。2025年，這些新技術都將圍繞著可信數據空間開展應用研究。10趨勢10:【低空經濟】安全將成為低空經濟發展中的關鍵命題，業界各方的共同參與將加速低空經濟安全體系的建設。專為低空智能網聯場景量身打造的檢測防護產品以及態勢感知系統，將陸續推出并投入應用。序“善弈者謀勢”。加強對行業發展趨勢的關注和研判，是了解行業動態、明確發展目標的重要途徑。對于網絡安全行業而言，洞察安全趨勢并順勢而為，不僅有助于及時感知并提前防范風險，更有助于優化安全策略和資源匹配，具有十分重要的現實意義。探究網絡安全行業趨勢的發端，離不開對合規和攻防實踐等關鍵要素的分析。綠盟科技依托扎實的網絡安全保障實踐，立足重大需求深入理解國家政策導向，立足技術創新密切跟蹤攻防異動，立足專業視角全方位分析要素影響，研判提出“2025年網絡安全行業十大趨勢”?？傮w來看，2025年度網絡安全行業發展趨勢將重點圍繞技術、場景、威脅三條主線展開。技術方面，人工智能技術的應用和治理將繼續“擔綱”網絡安全行業發展的重要引擎；場景方面，低空經濟、可信數據空間等將“躋身”網絡安全發力的新興舞臺；威脅方面，APT攻擊、勒索軟件等將持續“霸榜”并呈現新的特點?！安靹菡呙?，趨勢者智”。誠摯期待本報告能為網絡安全行業管理和產業發展略盡綿薄。并期待依托我司技術、產品和服務創新，全力投身打造網絡安全新質生產力，為實現中國式現代化發展目標貢獻力量。葉曉虎20253月 01趨勢1：【大模型治理】2025年大模型安全治理將面向產業界推進可落地的風險管控舉措，企業提供大模型系統的服務或發布基于大模型的應用，都需要評估合規風險。隨著人工智能技術和應用的井噴式出現，人工智能技術釋放紅利的同時，也顯露出安全風險。國內的兒童智能手表不當回復引發民族認同與自信問題、國外首例大模型引導青少年自殺事件都透露出其潛在的風險和挑戰不容忽視。在這樣的背景下，全球范圍內的政府、科研機構、企業和社會各界都在積極探討如何制定有效的政策和法規，以規范人工智能的發展。在國際層面，聯合國通過《人工智能倫理建AIAI我國實施了《新一代人工智能發展規劃》，強化了立法與監管，如《數據安全法》和《個人信息保護法》。同時，我國還舉辦了“人工智能與社會發展”國際論壇，促進了全球對話。各國政府在立法與監管方面，如歐盟的《人工智能法案》和美國的《2022AI20237工智能法草案”。2024安全措施等，并給出了安全評估要求。各地方政府也相繼出臺支持政策，推動大模型產業的持續發展。當前，北京、深圳、上海等地均發布了關于人工智能大模型相關政策。如三星被曝芯片機密代碼遭ChatGPT泄露，引入不到20天就發生3起事故，內部考慮重新禁用。因此，未來大模型應用將更加注重合規性，同時內置的隱私保護功能也會得到進一步的強化，這些保護措施包括但不限于數據加密、數據脫敏、權限控制、匿名化以及用戶數據的2023815旨在規范生成式人工智能服務提供者在處理敏感信息時的行為，保障用戶的隱私和個人信息安全，促進生成式人工智能服務的健康發展。因而，AIairlyAI202412317355我們相信，在2025年，人工智能安全治理將圍繞具體行動方案進行討論，評查如何落實人工智能安全原則，形成面向產業界可落地的人工智能風險治理方案。目前，人工智能的風險分類分級政策逐漸完善，以幾個代表性的政策標準為例?！渡墒饺斯ぶ悄芊瞻踩疽蟆访鞔_將生成式AI會主義核心價值觀內容、歧視性內容、商業違法違規、侵犯他人合法權益和無法滿足特定服務類型的安全需求，為服務提供者在開展安全評估時提供了清晰的風險分類與指導。與此同時AI從標準政策的制定到實際風險評估，需要人工智能的風險評估方法、測試用例不斷完善，甚至以評估工具的形式高度自動化地檢驗安全性，才能應對AI模型正處于快速迭代中的安全挑戰。其中，微軟的PyRIT（Python風險識別工具包）作為一個開源框架，旨在自動生成對抗性提示，幫助開發者發現AI模型中的潛在風險，如幻覺、偏見和惡意輸出；英偉達的Garak則專注于大型語言模型（LLM）的漏洞掃描，利用“探針”模塊模擬不同輸入場景來評估模型表現，并提供靈活的插件化架構，支持多模態輸入分析。與此同時，綠盟科技推出的AI-Scan工具為企業提供全面的AI大模型風險評估，能夠快速識別內容安全和對抗安全的潛在威脅，并提供專業的風險處理建議。我們參考TC260-003，從合規要求評估了DeepSeek開源模型及云端接入方式，能發現云端DeepSeek-R1合規性最優，三個維度均符合TC260-003中的規范要求。但當開啟深度思考模式處理多任務時可能存在處理不當的情況。由此可見，DeepSeek-R1需要加強對于生成內容的審核過濾。在應拒答維度，深度思考能力降低了DeepSeek-R1模型及R1蒸餾模型生成內容被濫用的風險。DeepSeek-R1安全策略的泛化可能導致過度防御，即為了防止潛在風險而過度拒答。DeepSeek-R1相較其蒸餾后的模型，其在生成內容安全評估方面的表現如下圖所示。建議在本地部署或私有化部署時，應考慮本地的內容審核與過濾機制，并優化拒答機制。同時也應考慮如系統組件存在漏洞或未授權訪問的供應鏈安全風險。2025年，面向產業界將推出具備可落地性的生成式人工智能治理舉措，逐步對齊安全風險類型與等級，對應的測試評估benchmark或以評估服務或工具的形式，讓企業能更好的了解生成式人工智能系統應如何評估與規避安全風險。02年，基于2024（LLM）AIAentAIAgentGoogleAIAgentAIAentLLMAgentAzureAIAgentService脅。GoogleGeminiAIAentAIentAgent”產品，會發現它們在輸出精確性、任務理解和執行可靠性等方面LLMAgentAgent能AIAgentLLMLilianWeng：AgentLLMMemoryPlanningskillsuse，AIAgentsLLMAgent2024SecLLMEZ（綠盟滲透測試自動化工具）、Fieb（綠盟自動化漏洞利用平臺）、OvO（綠盟外部攻擊面自動化情報收集系統）等多種安全攻防工具執行特定的滲透子任務。通過多智能體協同工作和并行處理，分鐘級別完成滲透目標攻擊面畫像、滲透路徑推薦和漏洞自動化探測和利用等。在實際應用中，單個目標站點的滲透耗時天級別縮短8396%，進一步提升了滲透測試SecLLMLLM，基于知識圖譜技術中滲透專家不僅能夠理解和回應，更能夠主動規劃行動路徑，并通過調用各種工具來實現目標任務。2025AIAetAIAent立服務。03趨勢3:【安全運營】2024全運營成為安全大模型的主要應用結合大小模型精準識別潛在威脅，助力復雜攻擊調查與深度溯源。2025年，安全大模型將更加專注于行業定制化和垂直領域應用，提供更精準高效的解決方案。2024IDCAI基于通用大模型進行微調和優化，提升了安全領域的知識深度和專業性。主流安全企業如綠360首先，安全大模型產品作為“安全副駕”，為安全運營提供輔助決策支持，能夠增強威脅檢測、風險評估和響應能力，減少重復性工作，提高整體安全運營效率。綠盟科技充分運用安全大模型助力安全運營由被動防御轉向主動防護，全面解決傳統安全運營中心所面臨警這些量化指標證明風云衛大模型在提升安全運營效率和效果方面的能力。其次，大模型和小模型在安全運營中的協同工作，小模型專注于實時監控特定威脅的精準識別，而大模型挖掘和整合多維度的威脅關聯特征，顯著提升威脅檢測的有效性和可解釋性，兩者協同工作，實現了對海量告警的深度分析和實時監控。綠盟科技的風云衛大模型作為企業安全防護體系的“大腦”，通過自然語言智能聯動各類威脅檢測引擎、AI小模型、傳統規則及安全工具，分析海量的網絡流量、業務日志和告警數據，從而精準識別和預警潛在的安全威脅，并結合資產信息高效響應處置，有效降低因安全事件導致的業務中斷和數據泄露風險，保障業務的連續性與穩定性，將安全轉化為企業數字業務的重要組成部分。此外，安全大模型還被用于復雜攻擊的調查分析和威脅深度溯源，幫助安全團隊更好地應對日益復雜的網絡安全威脅。綠盟科技的安全大模型在自動化溯源攻擊路徑和目標方面，依賴其強大的數據處理與分析能力，以及對復雜網絡環境的深入理解。風云衛能夠從多個維度整合信息，包括網絡路徑、數據流和用戶行為等。通過綜合分析這些信息，大模型可以快速定位數據泄露或攻擊途徑，并識別攻擊者的行為模式與趨勢。此外，結合歷史APT報告分析提取高級威脅檢測與攻擊活動特征，為溯源攻擊路徑和攻擊組織提供關鍵線索。2025求大于云端MaaS平衡本地部署的算力與能耗，解決模型持續優化等難題。未來，大模型在安全運營領域的發 04趨勢4:【AI紅隊】DeepSeek-R1促使更多企業部署私有大模型系統及應用，私有化部署將催生企業采取AI紅隊技術系統性發現、評估大模型安AIDeepSeek-R1使用大模型的核心業務數據本地處理，還會降低模型的響應延遲，提升大模型應用性能。私有化部署雖然強化了數據物理邊界防護，但是也無法使用大模型SaaSI2024能指數報告》統計，2023123201320的工作將受到人工智能的影響。由于大模型安全涉及安全知識廣，包括模型算法、網絡安全、數據安全、云環境安全、安全開發等多種安全知識，且需要兼具安全攻防專家的實戰經驗，從攻擊者、破壞者視角發AIOpenAIGoogleAIAIAI的潛在漏洞和弱點，從而增強系統的安全性和穩健性。AI紅隊，需要整合多種模型越獄攻擊技術，檢測大模型系統的越獄攻擊防御能力。隨著大模型安全防護技術的進步，安全圍欄和模型安全對齊技術的發展，對抗性模型越獄攻擊也在不斷升級。不同的越獄攻擊方法會產生不同的效果，如何使用和評價目標大模型系統及應用，需要結合系統運行環境及業務綜合判斷。AI性角度出發，針對性的構建虛擬情境、設定角色等，結合不同的模型越獄攻擊技術，設計出AI2025網絡安全趨勢報告AI2025隨著應用的深入，潛在的安全漏洞和攻擊面也在增加。例如，在金融領域，攻擊者通過指令注入和數據投毒等手段實施攻擊，可能導致嚴重的決策失誤或信息泄露。如，在市場投資預測場景中，若惡意用戶通過數據投毒手段干擾大模型的訓練過程，可能導致大模型預測結果不準確，進而影響投資者的投資決策和收益。AIAI能體應用所在的具體業務場景出發，深入理解目標系統所具備的技術與業務智能體功能，針對性地利用角色逃逸、目標劫持等對抗技術手段，以提示詞作為攻擊載體對目標智能體應用開展評估檢測，能夠讓其偏離預先功能以及系統設定，從而識別潛在智能體安全漏洞與濫用風險。同時，需結合動態環境模擬和真實場景測試，驗證智能體在復雜多變的應用環境中的安全性和穩健性，為進一步優化防御策略和完善智能體風險檢測機制提供可靠依據。AI紅隊，還應關注開源模型及預訓練模型的供應鏈安全風險。AI這些模型的廣泛應用也帶來了供應鏈安全風險的增加。近期的案例，如利用HuggingeAIasaLlama-Cpp-Python中的CVE-2024-34359Hugingae全面臨的嚴峻挑戰。這些事件表明，攻擊者能夠通過在開源模型中植入惡意后門，在開發和運行階段加載并Hugging針對此類供應鏈安全風險，AI紅隊檢測要點包括：模型來源審查：對所有使用的開源模型進行嚴格的來源審查，確保模型的來源可靠，避免使用未經驗證的第三方模型。模型完整性驗證：實施模型完整性檢查，確保模型文件未被篡改。動態行為分析：對模型執行過程中的行為進行動態監控，檢測任何異常行為，如不尋常的網絡連接、系統調用或資源消耗。14安全沙箱環境：在安全沙箱環境中測試和運行模型，以隔離潛在的惡意行為，防止對主系統造成影響。供應鏈風險評估：定期進行供應鏈風險評估，識別潛在的安全漏洞，并制定相應的緩解措施。若AI大模型應用存在以下情況，通過AI紅隊評估安全風險是必要的：應用場景包含高風險場景應用范圍包含強監管行業/API/需要應對跨境監管審查2025AIAI 05趨勢5:【威脅情報】開源大模型DeepSeek將加速情報與大模型的結合，“本地智能”將重塑威脅情報體系和生態。DeepSeek開源大模型為企業本地化低成本部署提供了可能，利用其自然語言處理、數據理解與推理、內容生成等能力優勢，將重構威脅情報生產、消費與應用模式，催生半成品情報加工”、“行業定制情報”、“人機交換變革等新場景，最終推動威脅情報采集、DeepSeek（一）生態重構：企業從單向情報消費到參與情報加工在傳統模式下，企業多為情報的單向消費者，依賴情報廠商在云端利用豐富算力進行情報挖掘與加工，獲取成品情報用于安全防護。然而，DeepSeek本地化部署可能會打破這一格局。企業有機會參與威脅情報生成，從單純的情報使用者轉變為共建者。借助DeepSeek的能力，企業可在本地對情報進行二次加工，融入自身安全業務理解和特定需求，實現情報的深度定制與優化。開源特性與低硬件門檻的成本優勢使得更多企業用戶能夠參與到大模型的情報處理中。企業可以不再依賴廠商云端的大算力與大規模語料支持限制，即可基于本地業務進行二次加工，為情報生態的多元化發展注入了新的活力。（二）場景進化：從被動防御到提前防御、主動防御、智能預防DeepSeek出色的自然語言理解和推理能力將促使本地化情報應用場景發生變革。傳統本地情報應用主要依賴IOC的機讀接入進行自動封堵，屬于典型的被動防御模式。隨著DeepSeek的引入，企業人員有機會將防御體系向主動防御、事先預警以及智能預防等方向推進。企業能夠借助DeepSeek對情報進行深度分析與預測，監測和處理更多人讀情報（包括漏洞預警、暗網數據泄露、熱點事件分析、行業攻擊參考、攻擊者技戰術分析、戰略分析情報等），提前發現潛在威脅，主動采取防御措施，從而將安全防護從“亡羊補牢”轉變為“未雨綢繆”，有效降低安全事件的發生概率與損失程度。（三）數據價值更新：情報數據種類升級，從標準“成品”到可塑性強“半成品”DeepSeek索情報”等情報價值將被充分挖掘與應用。例如，專業的技戰法分析報告、詳細的惡意軟件DeepSeek2025網絡安全趨勢報告（標準化情報而是可以對超市預先清洗和搭配好的“半成品菜肴”（半成品情報）進行二次加工，做出外賣標品沒有的菜品。DeepSeek的智能化能力使得企業能夠靈活處理各種情報數據，充分發揮其潛在價值，從而構建一個更具可塑性的情報數據生態。這樣催生了威脅情報平臺的進一步IOCAPT（四）精準適配：從通用情報到精準情報DeepSeek的快速本地化將推動情報從通用化向精準化轉變。企業能夠根據自身行業特點與業務需求，量體裁衣地定制行業專屬甚至企業專屬的情報，大幅提升情報的易用性與實用DeepSeek實現智能定制精準適配自身需求的情報。（五）理解力升級：情報解讀將“難理解”情報數據變成“易理解”情報除了是否惡意外，包括多維度的豐富數據，尤其在分析未知攻擊時，用戶需要對情報的多維屬性進行復雜解讀，從而分析出資產的畫像和可能面臨的威脅。但是情報的多維屬性往往存在隱含沖突，理解難度較大，只有經驗豐富的情報分析人員才能理解。例如，一個CDNIP（白名單）DNS能作為知名公共域名服務的提供者，也可能作為DDoS攻擊的參與者。傳統情報解讀主要是安全廠商云端門戶提供，而新一代威脅情報平臺則引入DeepSeek進行情報解讀，這不僅能在保障查詢隱私性的前提下融入本地的行業特色的理解能力，還能降低情報使用人員的專業性要求。（六）交互革命：本地情報平臺人機接口升級情報使用效率的提升離不開人機接口的優化。DeepSeek的出現為情報平臺的人機接口升級帶來了新的契機。借助DeepSeek，情報平臺能夠在本地實現情報聊天機器人，擺脫傳統聊SaaS18DeepSeek–地協同式”轉型?？蛻艨梢酝ㄟ^升級新一代威脅情報平臺聯動本地部署的DeepSeek，重構企業客戶的本地情報生態，實現“豐富新的情報使用場景、智能提前防御、應用可塑性強的情最終大幅度提升情報的使用效率和體驗，進一步增強企業威脅防御體系。 066:【云安全】2025年由云憑證泄露、云配置錯誤，軟件供應鏈，云服務商漏洞引發的云安全事件將依然頻發，其中供應鏈安全成為保障數據安全的一道重要防線。2025年，云安全領域將面臨多維度脆弱性引發的連鎖數據泄露與攻擊風險。這些風險主要源于云憑證泄露、云配置錯誤、云服務商漏洞以及日益嚴峻的軟件供應鏈問題。這些威脅不僅直接或間接導致用戶數據泄露，還可能被攻擊者利用進行數據加密勒索。云憑證泄露導致數據泄露事件頻發：隨著企業對云服務的依賴日益加深，開發者對憑證的不安全管理（如硬編碼明文密鑰）已成為數據泄露的主要原因之一。例如，2024318GoogleFirebase1.25對云憑證的安全管理（如加密存儲、合理權限控制）將是未來云安全的首要任務之一。云配置錯誤與服務暴露導致數據泄露：云配置錯誤持續成為引發數據泄露的主要原因20247OwlTingAmazonS376；2024925MC2Data2.2TB1的焦點將從工作負載安全轉向至面向租戶的安全。供應鏈問題引發數據泄露、挖礦等行為：近年敏捷開發模式流行，但開發者安全意識缺失，造成大量供應鏈組件服務暴露在互聯網上，不同程度帶有NDay漏洞。這些漏洞可43XZUtils12@0xengine/xmlrpcWordPressMonero活動。此類事件表明，企業需針對供應鏈安全加強端到端的驗證與監控措施。云服務商漏洞引發未授權訪問和數據泄露風險：云服務的便利性為用戶帶來了諸多好處，但與此同時，云服務商的漏洞也引發了一系列未授權訪問和數據泄露事件。這些事件每年都在不斷發生，預計到2025年，這類風險將持續存在。近年來的案例有力地支持了這一觀點。20231，WizAzureActiveDirectory（AAD）中的一個新攻擊向量，影響MicrosoftBingAAD20234WizBrokenSesame里云數據庫服務漏洞。該漏洞會導致未授權訪問阿里云租戶的PostgreSQL數據庫，并且可以通過在阿里云的數據庫服務上執行供應鏈攻擊，從而完成RCE。20241KubernetesGKE使用任意有效的谷歌賬號接管配置錯誤的Kubernetes集群并進行加密挖礦，拒絕服務及敏感信息竊取等惡意行為。2024624OasisSecurityMicrosoftAzure（MFA）MFAOutlookOneDriveTeamsAzure07趨勢7:【勒索】勒索組織攻擊目標將聚焦關鍵基礎設施單位，勒索生態顯現虹吸效應，大型勒索組織規模不斷擴大，國家治理難度升級，企業防御難度增加。2025成為勒索組織攻擊的主要手段。2024rutaeSpiderLabs49%27zPytonCookie、錢包、桌面文件等回傳特殊郵箱地址。-0050RARMeduzaStealerTA547Rhadamanthys竊密器已經成為不可輕視的新的木馬類型，通過獲取各種受害者瀏覽器中的密碼、Cookie，郵箱口令等認證、登錄憑據，從其中的有效數據尋找攻擊突破口。我們分析采用竊密器的原因，可能是因為開發成本低廉、攻擊目的能迅速達成，能有效對抗殺軟，尤其是EDR、XDR等需要一定響應周期的深度檢測與防御。竊密器獲得的密碼、憑據中，最值得關注的是VPNBlaksuit從勒索生態圈的訪問經紀人組織批量購買虛擬專用網絡（VPN）憑證來獲取初始訪問權限。QilinVPN施勒索攻擊。BrazenBamboo組織制作了惡意軟件，其利用FortiClientortiCientVNPaychanepxynsell勒索組織攻破企業邊界的另一主要手段是批量利用漏洞，其中又以網絡設備的漏洞占比最高。一些網絡設備中配置了域內高權限賬號，一旦這些設備存在漏洞并被勒索組織利用，會進一步加速內部重要資產與數據的淪陷。我們觀察到2024年勒索組織常用的網絡設備漏洞如下：（CVE-2024-11667）SonicWall（CVE-2024-40766）Veeam（CVE-2024-40711）AltoGlobalProtect（CVE-2024-3400）Fortinet（CVE-2024-21762）FortinetFortiManager（CVE-2024-47575）FortinetFortiOS（CVE-2024-23113）ConnectWiseScreenConnect（CVE-2024-1709）2025年企業應對勒索攻擊，需重點關注網絡設備等邊界漏洞、社工釣魚，以及被竊取的密碼、憑據。國際勒索組織針對關鍵基礎設施單位，如大型制造業、金融機構的攻擊仍將增多。根據金融服務信息共享與分析中心（S-I）202464%4374停止業務運營，并損害機構在客戶和監管機構中的聲譽。由于金融機構掌握著大量重要數據與管理資金，這些資產在高度數字化環境中運營，使它們成為勒索攻擊組織的主要目標。2025年這種風險會持續增高。BlackKie800080存21%，相較于其他行業，遭受勒索攻擊的可能性增加了三倍多。2025年將有更多高風險行業所屬企業，通過貼合國際勒索攻擊方法的勒索演練，及早檢驗自身的攻擊防御能力，驗證對應的應急響應與恢復流程能否有效緩解、抵御勒索攻擊。勒索生態顯現虹吸效應，大型勒索組織規模不斷擴大。對國家來說治理勒索組織的難度加大，對企業來說防御難度也會增大很多。近幾年美FBI聯合國際執法機構打擊、治理了多個勒索組織，但是收效甚微，大型勒索組織很難被徹底清除。實際可以觀測到不斷有中小型勒索組織被打擊或難以為繼，相關資源不斷向大型勒索組織集中，形成更具規模的上游勒索組織。部分勒索組織被打擊后也會改頭換面，以全新的勒索品牌名稱再次出現。上游的大型勒索組織，通過其知名度以平臺形式提供了勒索攻擊主要使用的勒索軟件、遠控工具，以及對應的免殺、對抗類技術方案，而下游勒索組織使用平臺所提供的武器，結合自己的武器工具實施攻擊活動，并向上游平臺提交一定比例的勒索受益。LockBit3.02024219日，英國國家犯罪局與歐洲刑警組織和其他國際執法機構合作，在CronosLockBit5ockBit出現了——LockBit3.0LockbitDispossessorDispossessor是今年新出現的勒索集團，值得注意的是它與臭名昭著的LockBit組織有許多相似之處。在全球執法機構進行大規模打擊并查封LockBit的主要域名之后，出現了Dispossessor。Dispossessor的網站與原始LockBit網站有著驚人的相似之處。布局、配色方案和字體幾乎完全相同，這表明要么是同一運營商的品牌重塑，要么是利用LockBit基礎設施的新團體。內容分析顯示，原始LockBit網站上的許多帖子在發布第一天就被鏡像到Dispossessor的平臺上，保留了準確的發布日期和詳細信息。國際獵人（HuntersInternational）勒索組織2023Hie索軟件即服務（aaS）HieHieHiveBlackBastaBlack（RaaS）20224次被發現。該組織使用雙重勒索技術，要求支付解密和不發布被盜數據的費用。BlakBaaContiRansomwareConti像這樣的大型勒索組織的體量更大，擁有足夠的資金，不僅交易0day，也開始采購各種紅隊的先進技術，開展攻擊活動。一些高對抗樣本通過勒索集團的C2Brc4。我們2024利用新興C2（Brc4、Havoc）、Icedid復雜銀行木馬、還使用未知的定制C2ChgtWormgtEO下發惡意網站應用廣告。Crypt平臺生成免殺樣本，例如：HeartCrypt、PureCrypterEDRAV在地下交易平臺中購買0day、day，其中漏洞會有應用設備漏洞、Windws漏洞等。.NETEDRASIRubeus、SharpHound、SeatbeltSyembc、orad業流量設備未覆蓋檢測規則。RMM（合法商業遠程控制軟件）進行對企業目標進行控制，RMM客戶端帶簽名并且信道流量加密完善，使企業安全防護難以察覺。在數據泄露中多使用Mega、DropBox種數據滲出處于無形狀態。利用多種竊密器實施初始攻擊活動，其中某些竊密器更是包含了Chome0ay，同ChromeCookie面對大型勒索組織所采用的復雜的網絡攻擊手段，被攻擊者已經很難從攻擊過程理清其背后力量了。2025年，實際處理過勒索的企業，在勒索演練選擇上，相較于傳統的流程演練和勒索軟件加密階段演練，將更傾向于采用從邊界突破到內網滲透、數據滲出、實施勒索等全攻擊階段的勒索演練，全面檢驗自身的攻擊防御能力，同時驗證各階段的應急響應與恢復流程能否有效緩解、抵御勒索攻擊。 082024戰術大量出現。4APTAPTPDB、OceanLotusAPT組織的已知特征，從而隱藏攻擊者信息，實現反歸因反溯源的目的。伏影實驗室本年度捕獲的新APT組織Actor240315大量使用了假旗策略。Actor240315是一個政治驅動的APT組織，已知攻擊目標包括中國、印度以及多個中亞國家。由于攻擊目標的敏感性，Actor240315在攻擊活動中刻意制造了一些巴基斯坦黑客組織特征以及中文字符串特征，希望憑借這些假旗信息誤導受害者和防御方，隱藏自身的真實來源。從攻擊技戰術來看，除“假旗”戰術外，APT攻擊者借鑒融合其他組織技戰術的情況也明顯增多。例如新型APT攻擊技術GrimResource被披露之后，立即導致同類APT攻擊活動的爆發式增長，伏影實驗室在短期內捕獲了8個APT組織21次利用該技術的APT攻擊活動。在既有作戰方略完成迭代的基礎上，APT組織正著力重構進攻軸線，其攻擊重心從賽博空間擴展到物理空間，開辟了新的對抗維度。2024年，政治環境的緊迫性促使政治驅動APT組織逐步走向功利和激進，他們開始選擇犧牲部分攻擊隱蔽度來換取更高的攻擊達成率。同時，伏影實驗室監測發現2024年針對我國公網設備的APT攻擊活動持續增加，攻擊者利用0day、1day、弱口令等隱秘控制設備，在我國網絡內部構建“陣地”。在攻擊隱匿性和資源利用方面，APT組織不再執著于保護高價值攻擊資源，更注重于這些資源帶來的價值。ATDrkCasino（鬼輪盤）使用了一個后來被確認為VE-2024-21412nerntWindowsDefenderSmartScreenAPTAPT20232024WPSCVE-2024-7262，是一WPS超鏈接功能構建惡意代碼的攻擊技術。由此可見，APT攻擊者已經將零日漏洞的使用時機從橫向移動等后期階段擴展到初始訪問等前置階段，針對操作系統（CVE-2024-21412）、安全設備（CVE-2024-0012，CVE-2024-20353，CVE-2024-20359，CVE-2024-3400,CVE-2024-55591）（CVE-2024-7262，CVE-2024-7263）等重要網絡設備或軟件的零日攻擊行動數量明顯增多。這說明相較于對高價值攻擊資源的保護，APT組織目前更重視這些資源的利用效率。伏影實驗室在本年度捕獲針對國內監控系統、報警系統、安全系統、海文系統、大屏等公網設備的大型APT攻擊事件，這些事件來自東亞、東南亞、北美洲等多個方向，涉及APT組織包括北美方向的NSA（方程式）、東亞方向的DarkHotel（暗店）、Lazarus（拉撒路）、GreenSpot（綠斑）、偽獵者，南亞方向的Donot（肚腦蟲）、Bitter（蔓靈花）、Patchwork（白象），東南亞方向的OceanLotus（海蓮花）、Actor240820，東歐方向的Turla（圖拉）以及疑似亞洲來源的Actor240315。這些對我APT高校、酒店等單位。攻擊者通過對國內公網設備進行探測，找到存在漏洞或是存在安全風險0day、1day控制公網設備后，進一步安裝后門程序，以持續監控和收集敏感數據，并積極探測內網網絡拓撲，尋找高價值內網主機。此外，攻擊者還利用已攻陷公網設備作為跳板，對其他關基單位發起攻擊，擴大戰果，對我國網絡安全構成嚴重威脅。國內公網設備的高價值已經被境外APTAPTAPT20243maAT過向開源項目提交惡意代碼，在幾乎合并時巧妙地植入后門，這一事件被認為是史上最嚴重的開源項目投毒案例，提醒開發者和用戶重視開源項目的安全性。5破壞了烏克蘭境內的衛星通信系統——星鏈服務。通過未知的技術手段，攻擊者使得星鏈服務長時間出現故障，導致烏克蘭軍隊不得不依賴短信等低效的通信方式。這也是首次針對現APT 09趨勢9:【數據安全】以往跟數據安全相關的新技術分別應用于不同的細分領域，例如，隱私計算的主要賽道是金融行業，機密計算的主要需求來自安全性較高的特殊行業，可信計算、區塊鏈常見于科研項目。2025年，這些新技術都將圍繞著可信數據空間開展應用研究。20241121（2024—20282028100據空間解決方案和最佳實踐。國家數據局將分類施策推進企業、行業、城市、個人、跨境五類可信數據空間建設和應用。圍繞可信數據空間開展關鍵技術攻關，是2025業的工作重點?？尚艛祿臻g是基于共識規則，聯接多方主體，實現數據資源共享共用的數據流通利用旨在全面提升數據開發、流通、使用的合規性和安全性。在安全體系建設方面，可信管控能力、數據交互能力是重點。可信管控能力是指基于預定義的控制策略并結合動態屬性身份認證機制，保障數據消費者按照數據提供方設定的策略使用數據，維護數據提供方對數據使用的控制能力。要想達成這一效果，需要結合硬件可信執行環境（TrustedExecutionEnvironment）、數據沙箱等技術，確保不同子數據空間、數據應用間的安全隔離。的安全效果，并且對過程中的重要