问题——攻击节奏陡增,传统防线承压 近期,多位安全业内人士RSAC会议期间提醒,网络威胁正进入“高速度、高强度、低门槛”的新阶段;一上,攻击者不再满足于单点渗透,而是借助自动化与生成式能力快速复制战术,同时推进多目标行动;另一方面,攻击重心正在向“直接登录”倾斜,身份凭证、访问权限与信任链条成为主要突破口。部分企业已引入智能化防护,但整体仍难跟上攻击手法的迭代速度,安全运营更多处于被动跟进状态。 原因——生成式能力降低成本,身份链与供应链成为“放大器” 其一,生成式语音、图像与文本工具的成熟,显著压低了社会工程与身份欺诈的成本。微软披露的案例显示,有组织的威胁团体利用生成式能力批量生成逼真的邮件内容与虚构人物形象,并在电话或视频会议中呈现近似真实的互动效果,从而绕过传统招聘筛查,进入多家企业的信息技术岗位。这种“以合法身份进入系统”的路径,使攻击不再依赖突破边界,而是借助企业授予的权限展开活动。 其二,深度伪造推动“可信访问”被滥用,内部风险随之上升。Cloudflare的威胁情报指出,攻击者可通过伪造履历、音频操控面试等方式获得雇佣或合作机会。一旦建立可信身份,便可能在较长时间内以合规账户访问内部系统,进而窃取知识产权或敏感数据。这意味着传统“外部攻击—内部防守”的边界正在变得模糊,人员、流程与权限体系中的薄弱环节被更放大。 其三,开源与DevSecOps链条的配置与管理问题,为供应链投毒提供了现实土壤。Aqua Security披露的事件显示,攻击者利用开源工具Trivy有关GitHub环境中的配置错误,插入信息窃取代码并强制更新版本标签,意图在更大范围传播恶意程序。谷歌旗下Mandiant团队研判称,此类供应链事件可能对软件即服务环境带来下游连锁影响,现有受影响环境规模已达千级,并存在进一步扩大的不确定性。供应链一旦被污染,风险会沿依赖关系快速扩散,处置与治理难度远高于单一系统事件。 影响——从“数据失窃”走向“信任体系受损”,风险外溢更快 首先,企业层面将同时承受直接损失与长期信誉成本。凭证被窃、权限被滥用会导致商业秘密、客户信息、财务资料等高价值数据被持续获取;更关键的是,身份体系被攻破会动摇组织对账户与行为的信任基础,进而抬高审计、合规与业务连续性的成本。 其次,行业层面可能出现安全能力的“马太效应”。大型机构可凭借更完善的检测、验证与响应体系加固防线;中小企业受预算与人才限制更易成为目标,并可能通过供应链、外包与协作平台将风险传导至更广泛的合作网络。 再次,公共层面的网络安全治理复杂度上升。攻击自动化使事件更频繁、更分散,跨境取证与协同处置成本增加。生成式伪造技术还可能被用于制造混淆信息、误导决策与干扰应急处置,进一步加大治理难度。 对策——以“身份为核心、供应链为抓手、运营为支撑”重构防护 业界共识正在形成:防护重点需要从“工具叠加”转向“体系重构”。 一是将身份安全置于优先位置,推动强认证与最小权限真正落地。关键系统全面引入多因素认证与风险自适应登录,对高权限账户实施更严格的分级管理与会话控制;同时持续监测异常登录、权限漂移与高风险操作,减少“拿到账号就能通行”的空间。 二是把深度伪造纳入安全流程,提升人事与业务环节的反欺诈能力。针对远程面试、外包入职、合作伙伴接入等场景,建立更严格的核验机制,包括多渠道身份核实、反欺诈检测、行为一致性评估等,将安全控制前移到人员与流程入口。 三是强化软件供应链治理,提升开源依赖与构建发布的可验证性。对关键开源组件实行清单化管理与来源校验,推动制品签名、可追溯构建与版本冻结策略;对代码仓库权限、自动化流水线与密钥管理开展常态化审计,降低配置错误引发的系统性风险。 四是完善应急响应与情报共享机制,提高“发现—遏制—恢复”效率。围绕SaaS、云环境与终端等关键面建立统一的日志与取证体系,提升跨团队协同效率;同时加强与行业、监管及合作伙伴的信息通报与联动处置,缩短攻击窗口期。 前景——攻防进入“对抗升级期”,治理需同步更新 可以预见,未来一段时期内,生成式能力与自主化攻击仍将加速演进,攻击链条会更具模块化、服务化特征,身份与供应链仍是高概率的主战场。此外,防守侧也将加快从“边界防护”转向“零信任、持续验证、全链路可观测”的体系化建设。决定成败的不仅是某一项技术部署,更在于组织能否把技术、流程、人员与治理制度协同起来,形成可持续的防护能力。
网络安全从来不是“装上工具就万无一失”,而是一项持续演进的系统工程。面对攻击手段加速迭代的新态势,只有以身份为底座、以供应链为关键、以响应为能力,把制度、流程与技术更紧密地织合起来,才能在不确定的风险环境中守住数字社会运行的确定性底线。