从热门CVE到完整攻击面：AI如何重塑威胁情报

长期以来，防御方在实战中一直占据着相对优势。尽管每年披露的漏洞多达数千个，但是只有很少一部分漏洞真正被用于大规模攻击。而在安全事件复盘报告中，往往会反复出现同一批CVE（通用漏洞披露）。有了这种规律，就可以对漏洞进行优先级排序。安全团队可以围绕有限的几个暴露面，集中开展补丁修复、威胁检测和应急响应，并接受这样一个事实：虽然积压大量漏洞并不是理想的安全状态，但是这些漏洞也不太可能成为大规模攻击的目标。安全团队可以基于已经识别出来的规律，并结合每个企业独特的风险评估方式，来确定处置漏洞的优先级。

如今，这种平衡正在被打破。

熟悉网络安全领域的人都知道，Fortinet覆盖了全球约半数的下一代防火墙市场，处理着涵盖企业、服务提供商和云环境的安全遥测数据。这种广泛的视野，加上FortiGuard Labs的威胁研究能力，使其监测范围可以覆盖黑客行动、勒索软件即服务等各类攻击活动。从这些数据中，我们可以看到一个不容忽视的趋势：攻击者正在减少对少数已经验证的漏洞利用工具的依赖，而是更多借助AI和自动化技术，针对更广泛的漏洞进行适配、测试、部署攻击。

过去，制约潜在网络犯罪分子的核心因素是攻击成本：编写代码、调优和将漏洞利用落地实施，这些都需要大量的时间和技能，也很自然地限制了大多数潜在网络犯罪团伙的攻击范围。而自动化技术、AI和机器学习降低了这一门槛。当代码可以批量重写、适配和测试时，攻击者就可以对更大范围的攻击面进行探查，而不再仅仅局限于少数稳定的目标。这样一来，尽管并非所有漏洞都会被利用，但是更多漏洞具备了被尝试利用的经济价值。

这对当下防御方的暴露面管理思路产生了直接的影响。防御方围绕少数“最常被利用”的CVE制定出来的策略，只有在攻击者的攻击成本仍然非常高昂时才有效。当自动化技术使攻击规模和速度大幅提升时，漏洞优先级必须超出常规的可疑对象范围，覆盖更广泛环境中的风险。所以，拥有一个统一运营视图的平台就变得非常重要，它能够将漏洞数据、网络行为和威胁情报整合到一起，而不是将它们视为彼此独立的问题。

实战中的对抗性AI

如今，公众谈起AI在网络犯罪中的应用时，大部分仍将其视为未来的隐忧。然而，在实战中，AI已经影响了高水平攻击团伙的运作方式。有些团伙依赖修改版或越狱版的AI模型，另一些则训练和运行自己的本地系统，以避免对外部系统的依赖。当然，这种方式需要更多的投入和专业技能，因此它们最初出现在国家级的攻击者和有组织的犯罪集团中。但是AI技术普及的趋势已经不可逆转。

AI工具压缩了攻击生命周期。侦察、代码适配、载荷生成，以及命令与控制的各项环节都可以加速完成。攻击者的目标不是追求完美，而是速度、迭代，并让更多参与者具备更高的基础能力水平。即使只是部分自动化，也能加剧防御方面临的压力，因为它缩短了攻击反馈的周期，并让有效攻击尝试呈指数级增长。

从防御角度来看，一体化的可视能力比以往任何时候都更加重要。当来自网络、端点和云环境的遥测数据被整合分析时，就会更容易看出新型攻击技术是如何从试验阶段进入日常应用的。

这正是统一安全平台的价值所在：它融合了安全和网络信息，依托大规模威胁情报的支持，不再是一堆零散工具的堆砌，而是消除团队和数据源之间盲区的利器。

要实现规模化的可见性，而不是孤立的深度分析

在理想的环境中，每个机构都会保存并分析完整的数据包捕获文件，以进行深度取证工作。然而，在现实中，只有少数安全团队拥有进行大规模深度取证所需的存储、算力和人力。这就是为什么以网络为中心的威胁狩猎越来越依赖于元数据和网络流式遥测数据。

这些数据不仅更易于管理，而且与强大的威胁情报关联分析时，还能支持另一种类型的可见性。安全团队不用孤立地关注单个威胁指标，而是可以寻找能够回答运营问题的规律。例如：攻击者是否获得了访问权限？他们下一步试图做什么？他们与哪些系统进行了交互？对这个网络来说，什么行为是正常的？什么行为会随着时间推移显得异常？

那些能够整合网络遥测数据、安全分析和威胁情报的平台，使这种分析能够在大型环境中真正落地。相反，一堆孤立的分析视图虽然可以各自独立使用，但却无法展示攻击真实的演变过程。

随着攻击变得越来越自动化和分布式，这种基于行为模式的分析远比追求单个攻击痕迹更为重要。同时，它也暴露了另一个运营风险：数据质量。当安全团队试图追踪完整的攻击链条时，少量错误或具有误导性的数据可能会破坏原本合理的分析。这就是告警疲劳产生的根源，也是人们对检测系统失去信心的原因。精确性和上下文信息远比原始数据量更加重要。

从边界防护思维转向业务影响导向

现代威胁情报体系最重要的变化之一，是摆脱了纯技术视角的风险评估。每个企业都会有几个举足轻重的系统或流程。如果这些系统遭到破坏，企业将被迫做出不利的决策。而这些也是攻击者最关注的资产——无论他们是出于财务、政治还是战略目的。

面向未来的网络威胁情报（CTI）团队需要找出这些业务关键节点，并围绕它们构建安全防护体系。核心问题不仅仅在于哪个漏洞是新的，或者哪种技术正在流行，而在于哪些故障会在危机中真正改变企业的业务运行。这就是安全架构至关重要的地方。当暴露面管理、网络安全和威胁情报在统一平台上协同运行时，就能更轻松地将技术告警与业务影响关联起来，而无需将它们视为彼此独立的议题。

随着预测和生成式技术的进步，攻击者将更擅长自己找到这些可利用的业务关键节点。防御方必须率先掌握它们。

这也是协作至关重要的原因。例如世界经济论坛的网络犯罪图谱等倡议，展示了使用开源方法构建情报资料包的价值。通过避免使用专有数据，这些研究成果可以被执法部门复制并用于实际案件中。这种方法将研究成果转化为能够支持具体成果的有利依托，而不仅仅是为了分析而分析。

安全团队的运营现状

这个话题还有另外一个角度，但是很少会出现在技术讨论中——从事这项工作的人员长期处于高压之下。工作时间长，风险高，职业倦怠十分普遍，人员流失成本高昂。

而可持续的安全运营既取决于领导层的决策，也取决于工具和流程。这包括设定工作边界、必要时强制休假、保持定期沟通，以便在问题演变成危机之前及时发现并解决。这也意味着企业要组建一个让每位成员的贡献都能被看见、被认可的团队。

一个行之有效的原则是：将领导力视为一种为他人创造成功空间的方式。当团队成员获得发表成果、汇报展示，并因工作而获得认可的机会时，他们的业绩会提高，留任率也会随之上升。在实践中，这也能更好地发挥现代安全平台的价值，因为这些平台依赖于专业的分析师，他们既要懂技术又要懂其所支撑的业务场景。

在安全问题日益棘手的今天，团队的稳定性和信任度并非软性要求，而是运营的必要条件。

为未来做好准备

AI并非单一的转折点。它是一个复合因素，将持续重塑攻击的开发方式和规模化能力。从攻击者的角度来看，实际结果是可利用的攻击面在持续扩大。

防御方并非无计可施，但是一些习以为常的安全假设正在失效。只关注少数漏洞的做法将不再可靠。能够覆盖网络、云和端点环境的规模化可见性，将比仅在孤立场景下有效的深度分析更重要。威胁情报需要始终以业务影响为基础，而不仅仅是追求技术上的新奇性。同时，持续提升从业人员的技能，与更新他们所用的系统同样重要。

防御方聚焦于漏洞态势中少量可预测漏洞的时代已经结束。下一阶段的重点，是在攻防双方均可使用自动化技术的情况下，在全环境范围内做好暴露面管控，因此防御方更加需要能够在统一运营模型中连接数据、上下文和行动的安全平台。