就在今天,Cloudflare这家公司发了一份报告,大家千万别不当回事。这报告警告说,网络犯罪现在已经是个工业化的规模了,坏人利用互联网的开放特性,还有云平台和软件即服务平台的连接,搞出了前所未有的高效率。这个报告是给2026年准备的,数据全是Cloudflare处理全球超过20%的互联网流量,每天还拦住了超过2340亿的威胁得来的。到了2026年,坏人肯定不搞那些花哨的东西了,他们追求的是“有效性度量”,主要就看速度、自动化还有赚多少钱。 报告里给了几个例子来说明这一点。有一个叫GRUB1的攻击活动挺有意思,坏人先破坏了一个可信的SaaS到SaaS连接,然后用生成式AI实时导航复杂的企业平台。他们能在进入生产环境之前,瞬间就找到那些值钱的数据库表。这么一来,本来是个小地方的侵入,一下子就变成了影响整个供应链的大事情。报告还提到大语言模型现在可是坏人的重要工具,用来生成大量钓鱼诱饵、填补专业软件的知识漏洞,还能帮着加快开发漏洞利用。 虽然攻击手段有些变了,但入口点还是没变。邮件还是主要的进入点。Cloudflare的数据显示,基于链接的钓鱼占了最大头。将近一半的邮件都没通过DMARC验证,说明认证这块还有漏洞。一些工业化的钓鱼即服务操作正在利用这点弱点,他们提供的基础设施能绕过多因素认证。 至于商业电子邮件入侵这块儿也挺有研究价值的。Cloudforce One的分析师在2025年就发现了超过1.23亿美元的盗窃尝试。有意思的是,坏人老是盯着49,000美元左右的请求下手。这个金额既够大能赚钱,又往往因为数额不太高而不容易被发现。 除了这些私人罪犯,民族国家也在搞事情。像Salt Typhoon和Linen Typhoon这种跟中国有关的组织,盯上了北美电信、政府和IT服务部门,为了在关键基础设施里长期部署做准备。朝鲜那边也没闲着,他们把远程IT工作者的方案工业化了,用深度伪造技术还有美国本土的笔记本电脑农场把钱转移回国内。 面对这种情况怎么办呢?Cloudflare觉得防御者得把防线提起来,转向系统级别的自动化韧性才行。以前那种被动防守不行了,得主动起来。 防御者得从被动、以基础设施为中心的防御转向主动、以身份为中心的韧性模型。 具体的建议有好几个:一是更严格执行电子邮件身份验证标准;二是控制好SaaS到SaaS的集成;三是别给应用程序编程接口权限太大;四是推广零信任原则;五是用生物特征验证和地理围栏来限制远程访问。 Q&A 回答一下大家最关心的几个问题: Q1:GRUB1是怎么利用AI搞犯罪的? A:坏人先是破坏了一个SaaS到SaaS的连接,然后用AI实时导航复杂系统。他们能在进生产环境前找到值钱的数据库表,把小侵入变成影响供应链的大入侵。 Q2:为什么邮件还是攻击的主要入口? A:因为邮件是最方便的入口之一。基于链接的钓鱼很多都是这样来的。大量邮件没通过DMARC验证也暴露了认证问题。工业化的钓鱼服务利用这点弱点提供绕过多因素认证的工具。 Q3:为什么商业邮件入侵老盯着49,000美元? A:因为这个金额刚好够赚钱又不容易被发现。Cloudforce One在2025年就发现了超过1.23亿美元的盗窃尝试,这种策略挺稳当。