2023年勒索軟件、供應鏈攻擊、地緣政治沖突與黑客活動主義、國家黑客間諜與APT組織活動成為網絡安全的熱點話題，生成式人工智能技術的武器化更是給動蕩的全球網絡安全威脅態勢增加了不確定性、不對稱性和復雜性。

即將到來的2024年，隨著網絡犯罪的規模化和新興網絡威脅的快速增長，防御者將面臨前所未有的艱巨挑戰。根據Cybersecurity Ventures的預測，到2024年底，網絡攻擊給全球經濟造成的損失預計將高達10.5萬億美元。這意味著，2024年全球網絡犯罪造成的損失有望首次突破10萬億美元大關，網絡犯罪已經成為“GDP”增速驚人的全球第三大“經濟體”。

面對復雜動態且不斷惡化種的威脅態勢，如何進行威脅預測和優先級排序成為企業風險管理的頭號難題，以下，GoUpSec為讀者梳理分析2024年的十大新興安全威脅和風險趨勢：

一.云集中風險

2023年11月阿里云發生全球性停機事故，此次故障的嚴重程度、影響規模和范圍在公有云歷史上都極為罕見，嚴重打擊了各行業用戶對公有云可靠性和安全性的信心，進一步凸顯了Gartner三季度風險報告中強調的“云集中”風險。

導致“云集中風險”的原因有很多，許多企業為了降低IT復雜性、成本和技能要求，選擇將IT服務集中在少數幾個戰略云供應商手中；而加劇這一風險的是，少數幾個云計算巨頭憑借其技術能力優勢、業務覆蓋范圍和合作伙伴生態系統，在全球和區域市場占據主導地位。

在全球科技巨頭和云服務商爭先恐后“大煉數據”的生成式人工智能時代，企業和個人對存放于云端數據的安全焦慮與日俱增，密碼學專家布魯斯施奈爾認為，單純增加云服務商數量并不能從根本上降低“云風險”，一個可行的策略是將身份、數據和行為解耦合。

“企業不應再對云服務商的數據安全能力和意愿抱有幻想，企業唯一的出路是將數據安全重新掌握在自己手中。”施奈爾說道。

二.針對中小企業的“無惡意軟件攻擊”暴增

根據Huntress發布的中小企業威脅報告，2023年針對中小企業的“無惡意軟件攻擊”呈上升趨勢，2023年針對中小企業的網絡攻擊中，只有44%部署了惡意軟件，其余56%的安全事件屬于“無惡意軟件攻擊“——攻擊技術和工具包括使用“離地生存”二進制文件（LOLBins）、腳本框架（如PowerShell）和遠程監控和管理（RMM）軟件。

在65%的“無惡意軟件攻擊”事件中，攻擊者在初次訪問受害者環境后使用RMM軟件作為持久性或遠程訪問機制的方法。

三.二維碼網絡釣魚攻擊肆虐全球

2023年，基于二維碼的網絡釣魚活動開始流行。2024年，以二維碼為中心的網絡釣魚活動預計會加速增長，主要原因是人們對二維碼的固有信任仍未打破，人們習慣毫無戒備，不假思索地掃描二維碼。網絡犯罪分子利用用戶對二維碼的這種信任在二維碼中嵌入惡意鏈接（指向惡意網站或者惡意軟件下載地址）。

為了進一步提高攻擊成功率，攻擊者還會利用企業內部被盜郵件賬戶來發送釣魚郵件。

網絡犯罪分子熱衷使用惡意二維碼的另外一個原因是傳統電子郵件安全產品往往無法檢測到二維碼網絡釣魚攻擊，因為二維碼釣魚郵件郵件往往不包含任何文本，只有一個圖片文件附件，能夠繞過基于文本分析的電子郵件安全方案。

四.“小語種”惡意軟件激增

近年來，使用Golang、Nim和Rust等“小語種”編程語言開發的惡意軟件越來越多，2024年“小語種”惡意軟件將激增。

Go的簡單性和并發能力使其成為快速制作輕量級惡意軟件的首選。Nim對性能和表現力的關注使其對于開發復雜的惡意軟件非常有用。同時，Rust的內存管理功能對于勒索軟件組織和其他注重惡意軟件樣本加密效率的攻擊者來說很有吸引力。

Nim和Rust語言相對較新，與C或Python等流行語言相比，安全業界缺乏針對這類語言的全面分析工具，給分析和對抗用“小語種”惡意軟件的網絡安全專家帶來了重大挑戰，這進一步增加了“小語種”惡意軟件的風險。

五.工業物聯網邊緣設備成為APT重點目標

隨著IT與OT進一步融合，企業物聯網資產與漏洞管理、威脅檢測與事件響應難度不斷加大。勒索軟件、供應鏈攻擊、地緣政治沖突、國家黑客與APT組織對工業物聯網和關鍵基礎設施的威脅不斷增長。

2024年，網絡安全威脅焦點將向邊緣轉移，經常被忽視的邊緣設備（包括防火墻、路由器、VPN、交換機、多路復用器和網關等）正在成為勒索軟件和APT組織的熱門目標。（物聯網）邊緣設備面臨獨特的網絡安全挑戰，因為黑客將更多地利用零日漏洞來實現長期駐留和訪問，而且這些邊緣設備與傳統網絡組件不同，難以通過部署IDS/IPS進行入侵檢測。

六.影子AI

根據Gartner的報告，2022年82%的數據泄露是“員工不安全或疏忽行為造成的”，三分之一的成功網絡攻擊來自影子IT，給企業造成數百萬美元的損失。而影子AI正在加速放大這種“人為因素”產生的威脅。

根據The Conference Board的一項調查，56%的北美企業員工在工作中使用生成式AI，但只有26%的企業制定了明確的生成式AI使用政策。在沒有制訂AI政策的企業中，使用影子AI的員工中只有40%向主管如實匯報。

很多公司都在嘗試限制或規范員工在工作中使用生成式AI的行為。但是，在提高生產力的“第一性”需求刺激下，多達30%的員工在沒有IT部門的許可，不計后果地使用生成式AI，也就是所謂的影子AI。

七.惡意大語言模型成為主流黑客工具

大型語言模型是一柄雙刃劍，激發生產力的同時也容易被網絡犯罪分子濫用進行大規模攻擊。

GPT-4、Claude和PaLM2等領先的大語言模型在生成連貫文本、回答復雜查詢、解決問題、編碼和許多其他自然語言任務方面取得了突破性的進展，同時也為黑客提供了一種經濟高效的工具，無需大量專業知識、時間和資源就可發動大規模針對性攻擊。

2023年，FraudGPT和WormGPT等武器化的惡意大語言模型工具已經在網絡犯罪網絡中占據主導地位，用于自動化創建網絡釣魚電子郵件、假冒網頁以及能夠逃避檢測的惡意軟件，使得大規模網絡釣魚活動變得更便宜且更容易實施。根據CrowdStrike的報道，惡意大語言模型已經成為暗網最暢銷的黑客工具，吸引了數以千計的不法分子。

惡意大語言模型應用極大地降低了網絡犯罪的門檻并極大提高攻擊效率和成功率，預計2024年惡意大語言模型工具的開發和濫用將加速。

八.“腳本小子”復活

免費和開源軟件導致了“腳本小子”的崛起，這些人幾乎沒有任何專業技術知識，使用自動化工具或腳本來發起攻擊。隨著企業網絡安全工具和措施的不斷健全，腳本小子逐漸淡出視野。但是，過去一年隨著勒索軟件即服務（RaaS）和人工智能技術的爆炸式增長，以及惡意大語言模型工具的泛濫，低技能攻擊者比以往任何時候都更容易發起大規模的復雜攻擊。腳本小子將再次復活，并對企業構成重大安全威脅。

九.驅動程序攻擊將構成重大威脅

最近的許多安全事件表明，易受攻擊的驅動程序構成了重大威脅。簽名的易受攻擊驅動程序在黑客論壇“炙手可熱”，因為它們可用于隱秘駐留并能在攻擊的早期階段禁用安全解決方案。在此類攻擊中，攻擊者會刪除使用有效證書簽名并能夠在受害者設備上以內核權限運行的合法驅動程序。成功利用該漏洞使攻擊者能夠實現內核級權限升級，從而授予他們對目標系統資源的最高級別訪問和控制權。

ZeroMemoryEx Blackout項目、Spyboy的Terminator工具和AuKill工具都成功利用易受攻擊的驅動程序繞過安全控制并成功實施了震驚業界的攻擊。雖然業界發布了一些緩解措施，例如微軟的Vulnerable Driver Blocklist和LOL Drivers項目。然而，這并沒有改變這樣一個事實：驅動程序攻擊執行起來既簡單成功率又高，并且易受攻擊的驅動程序更容易訪問。預計2024年基于驅動程序的漏洞利用將產生廣泛影響。

十.基于合法工具的攻擊

隨著企業網絡安全工具和措施的不斷升級，越來越多的攻擊者開始利用合法工具來繞過安全工具檢測實施破壞，包括禁用安全措施、橫向移動和傳輸文件等，因為基于合法商業工具的攻擊更容易逃避檢測。

利用合法工具的攻擊可以偽裝成日常操作，從而繞過檢測橫向移動或者長期駐留，因為端點安全產品通常可以檢測到自定義攻擊工具或惡意軟件，但往往會為合法商用工具放行。

例如GMER，PC Hunter，Process Hacker和Defender Control等第三方和內置的Windows工具都不是惡意軟件，但卻常被攻擊者用來禁用或卸載安全產品。上述工具的濫用已經多次出現在真實的網絡攻擊中，尤其是勒索軟件攻擊。

攻擊者還熱衷使用遠程監控和管理（RMM）軟件來訪問或長期駐留系統。經常被利用的RMM軟件包括ConnectWise Control（以前稱為ScreenConnect），AnyDesk，Atera和Syncro等。

還有一些用于審核、AD枚舉和密碼恢復的合法工具，攻擊者可以方便地使用這些工具來實施偵測或憑據轉儲。

被濫用的不僅僅是第三方工具。攻擊者還嘗試使用操作系統自身的合法二進制文件執行惡意活動，或利用內置Windows進程（如taskkill或net stop命令）殺死或停止進程，以停止與備份相關的進程。