报告
2026 Lumen 防御态势报告:为什么在违规时的可见性会错失重点

由 Lumen 提供的、由其威胁情报部门 Black Lotus Labs 支持的 2026 Lumen 防御态势报告 提出一个明确的观点:大多数组织仍然在为时已晚地应对网络攻击。该报告认为,到网络内检测到违规时,攻击的真正工作已经完成。看似突然的入侵通常是更长时间、精心构建的操作的最后一步。
与其关注违规后的情况,该报告将注意力转移到违规前的情况。这一转变改变了一切。
网络攻击现在开始远早于违规
现代网络操作不再类似于机会主义的入侵。它们更像结构化的活动,随着时间的推移逐步构建。威胁者首先持续扫描互联网,寻找暴露的系统、未修补的设备和弱的身份验证点。一旦他们找到机会,他们就会在这些机会周围构建基础设施。
这一准备阶段包括验证窃取的凭证、设置代理网络、测试通信通道以及确保命令系统可以无间断地运行。到组织检测到可疑活动时,攻击者已经构建了必要的路径来穿过环境。
使这一点特别危险的是,大多数组织从未见过这一早期阶段。传统的安全工具是为了检测已知的威胁或网络内的可疑活动而设计的。它们不是为了观察攻击如何构建的。
基础设施层现在是真正的战场
报告中最重要的发现之一是,网络攻击不再仅仅由 恶意软件 定义。相反,它们是由支持它们的基础设施定义的。攻击者正在将更多的精力投入到构建坚韧、适应性强的系统,这些系统可以在中断后快速恢复和再生。
这一转变在犯罪操作和国家赞助的活动中都有体现。代理网络已经成为几乎每次攻击的核心组成部分。这些网络允许攻击者通过受损的设备路由流量,经常使恶意活动看起来像是来自合法用户的。
同时,攻击者正在从端点转向边缘设备,如路由器、VPN 网关和防火墙。这些系统位于网络的关键点,通常具有较弱的可见性,并提供对内部系统的直接访问。它们也往往具有更长的运行时间和较少的监控控制,使它们成为理想的立足点。
结果是一个威胁格局,攻击者在互联网的连接组织中运作,而不是在互联网的边缘。
人工智能正在加速整个过程
报告强调了生成式人工智能如何显著增加网络操作的速度。曾经需要人工协调的任务现在可以自动化。攻击者正在使用人工智能扫描漏洞、生成基础设施、测试 漏洞利用 并在实时调整他们的策略。
这一转变压缩了攻击的时间线。曾经需要几天或几周的时间现在可以在几小时内完成。在某些情况下,人工智能驱动的系统可以评估网络条件、确定最有效的路径并在没有人工干预的情况下调整策略。
对于防御者来说,这创造了一个新的挑战。安全团队不再面对静态的威胁。他们面对的是不断演化的系统,这些系统在遇到防御时会做出反应。
网络犯罪已经成为一个专业的行业
报告中另一个引人注目的主题是,网络犯罪已经成熟为一个结构化的、专业的生态系统。许多操作现在类似于合法的技术公司。它们提供服务、支持客户并不断改进他们的产品。
恶意软件平台被作为订阅服务出售。代理网络按需出租。对受损系统的访问可以通过市场购买和转售。不同的参与者专门从事攻击生命周期的不同部分,从初始访问到数据泄露到货币化。
这种组织水平使网络犯罪者能够高效地扩大他们的运营。它也使他们更加具有韧性。当一个组件被破坏时,另一个组件可以迅速取代它。
相同的基础设施经常被多个团体共享,这使得区分犯罪活动和国家赞助的运营变得更加困难,并增加了误解攻击的真实性质的风险。
代理网络正在重新定义互联网上的信任
报告中最重要的发展之一是,从受损设备构建的 代理网络 的崛起。这些网络允许攻击者从看起来像正常的住宅或商业 IP 地址的位置运作。
从防御者的角度来看,这是一个主要问题。传统的安全模型严重依赖于信任信号,如位置、IP 声誉和网络所有权。代理网络破坏了所有这些信号。
攻击者可以看起来像一个合法的用户,从住宅网络连接。他们可以绕过地理位置控制、规避检测系统并无缝地融入正常的流量模式中。
这意味着,看起来干净的东西不一定是安全的。互联网本身已经成为一种伪装。
甚至简单的攻击也被重新发明
报告还显示,像 蛮力攻击 这样的老式技术远远不是过时的。相反,它们被规模和自动化所转变。
攻击者现在可以访问大量的窃取的凭证数据集。他们将其与分布式基础设施和人工智能驱动的工具结合起来,跨数千个目标同时测试身份验证系统。这些攻击不再是随机的。它们是有针对性的、持续的和高效的。
使它们特别危险的是,它们经常作为更大运营的第一步。获得访问权限后,攻击者可以更深入地进入网络,部署额外的工具,并建立长期的控制。
国家赞助的运营正在成为基础设施平台
报告强调了国家赞助的参与者如何构建长期的基础设施,以支持随时间推移的多个运营。这些运营旨在具有灵活性。它们可以用于侦察、利用或破坏,取决于目标。
而不是专注于单个目标,这些系统创建了一个可以在不同运营中重复使用的基础。它们被设计为可扩展的、适应性的和持久的,即使在压力下也是如此。
在某些情况下,攻击者甚至不构建自己的基础设施。他们接管已经由其他团体控制的系统,并将其用作自己的运营的跳板。这增加了另一个复杂性层次,使得理解谁是攻击背后的黑手变得更加困难。
网络安全的未来将由可见性定义
展望未来,报告确定了几个将在 2026 年及以后塑造威胁格局的转变。其中最重要的是,风险将由暴露定义的想法。
攻击者正在持续扫描互联网。任何可见且脆弱的系统最终都会被针对。它不关心所属行业。机会是驱动因素。
同时,最重要的信号不会来自个别设备。它们将来自网络模式。系统之间的通信方式、基础设施的构建和废弃方式以及互联网上的流量流动将在攻击到达目标之前揭示攻击。
这需要一种不同的安全方法。组织不仅需要关注端点和警报,还需要了解攻击形成的更广泛环境。
新的防御方法
报告明确指出,传统的防御策略已经不够了。组织需要在攻击生命周期的早期采取行动。它们需要专注于检测和破坏使攻击成为可能的基础设施,而不仅仅是攻击本身。
这意味着将 边缘设备 视为关键资产。它意味着监控流量如何进入和离开网络。它意味着了解系统之间的关系,而不是仅仅依赖静态指标。
这也意味着接受这样一个事实:犯罪活动和国家赞助的运营之间的界线正在变得越来越模糊。每一次入侵都应被视为潜在的战略行动。
报告的真正教训
来自 2026 Lumen 防御态势报告 的最重要的收获是,网络攻击不再是孤立的事件。它们是构建的系统。它们是计划的、测试的和改进的,远在执行之前。
当警报被触发时,攻击者已经以某种形式进入了环境。基础工作已经完成。
在这个新环境中成功的组织将是那些转变焦点的组织。他们将超越端点。他们将超越违规。他们将专注于使这些攻击成为可能的基础设施。
通过这样做,他们将获得现代网络安全中最重要的优势。他们将在攻击开始之前看到攻击。












