沿用基于数据包分析、异常检测和边界检查的传统流量监控模型,会浪费IT团队宝贵的时间。这是因为攻击者正不断开发更先进的技术来规避传统系统的检测,利用那些仅基于网络流量的安全工具无法发现的漏洞。
事实上,世界经济论坛2025年发布的一项全球调查显示,72%的受访者表示组织机构面临的网络风险有所增加,这反映出威胁正在不断演变以规避传统防御措施。此外,无文件攻击的成功率是传统基于文件的恶意软件攻击的10倍
网络犯罪分子不再依靠反复试错。如今,他们的行动精准无比,且不留任何痕迹。他们大量使用无文件攻击,利用 PowerShell 和 WMI 等合法系统工具执行恶意命令而不引起怀疑,并在网络中悄无声息地横向移动,仿佛他们原本就是网络环境的一部分。
这种攻击方式刻意伪装成合法行为:流量不会引起怀疑,使用的工具并非未知,且事件不符合常见的威胁模式。根据世界经济论坛2025年报告,在这种情况下,66%的组织认为 人工智能将对网络安全产生最显著的影响,无论是在防御还是攻击方面,这反映了一种范式转变。
传统的安全解决方案,例如防火墙、入侵检测系统和简单的关联分析系统,已无法提供必要的保护,尤其是在47%的组织将由生成式人工智能驱动的对抗性攻击视为其主要担忧的情况下。此外,54%的大型组织认为供应链漏洞是网络韧性的最大障碍,这进一步加剧了挑战。
粒度可见性的作用
在这种情况下,精细化的可见性成为有效网络安全策略的基本要求。它指的是能够以情境化和持续的方式,详细观察端点、用户、流程、内部流以及系统间活动的行为。
这种方法需要使用更先进的技术,例如 EDR(端点检测与响应)、XDR(扩展检测与响应)和 NDR(网络检测与响应)。这些工具在从网络到端点的各个层面收集遥测数据,并应用行为分析、人工智能和事件关联技术来检测在仅通过流量监控的环境中会被忽略的威胁。
利用隐形技术
隐蔽攻击中最常用的战术包括:
- DNS隧道技术,即将数据封装在看似普通的DNS查询中;
- 数字隐写术,即将恶意指令隐藏在图像、音频或视频文件中;
- 加密的命令和控制 (C2) 通道可在恶意软件与其控制者之间提供安全通信,使拦截变得困难。
- 这些技术不仅绕过了传统系统,还利用了安全层之间关联的缺陷。流量表面上看起来干净,但真正的活动却隐藏在合法操作或加密模式背后。
智能和情境监控
为了应对此类威胁,分析必须超越入侵指标 (IoC),开始考虑行为指标 (IoB)。这意味着不仅要监控“访问或传输了什么”,还要监控特定行为发生的“方式”、“时间”、“由谁”以及“背景”。
此外,通过整合身份验证日志、命令执行、横向移动和 API 调用等不同数据源,可以检测到细微的偏差,并对事件做出更快、更准确的响应。
这一切意味着什么?
网络攻击日益复杂化,迫切需要重新评估数字防御措施。流量监控仍然必要,但它已不再是唯一的防护支柱。精细化的可视性,结合持续、情境化和关联分析,对于检测和缓解隐蔽威胁至关重要。
如今,投资于先进的检测技术和考虑系统真实行为的策略,是对抗那些懂得如何隐藏在众目睽睽之下的对手的唯一有效方法。
