Connect with us

报告

2026 Lumen 防御者威胁景观报告:为什么漏洞攻击无法揭露真相

mm
Published
Updated

2026 Lumen 防御者威胁景观报告 由 Lumen 公司发布,得到了其威胁情报部门 Black Lotus Labs 的支持,该报告明确指出,大多数组织仍然在为时已晚地应对网络攻击。报告认为,到网络内检测到漏洞时,攻击的真正工作已经完成。看似突然的入侵通常是更长时间、精心构建的操作的最后一步。

而不是专注于漏洞发生后的情况,该报告将注意力转移到漏洞发生之前的情况。这一转变改变了一切。

网络攻击现在开始远早于漏洞

现代网络运作不再类似于机会主义的入侵。它们更像是在时间上逐步构建的结构化活动。威胁者首先持续扫描互联网,寻找暴露的系统、未修补的设备和弱身份验证点。一旦他们找到机会,他们就会围绕这些机会构建基础设施。

准备阶段包括验证窃取的凭证,设置代理网络,测试通信渠道,并确保命令系统可以无中断地运行。到组织检测到可疑活动时,攻击者已经建立了移动环境所需的路径。

使其特别危险的是,大多数组织从未见过这一早期阶段。传统的安全工具旨在检测已知的威胁或网络内的可疑活动。它们不用于观察攻击如何被构建。

基础设施层现在是真正的战场

报告中最重要的发现之一是,网络攻击不再仅仅由 恶意软件 定义。相反,它们是由支持它们的基础设施定义的。攻击者正在将更多的精力投入到构建坚固、适应性强的系统,这些系统可以在中断后幸存并快速再生。

这一转变在犯罪运作和国家赞助的活动中都很明显。代理网络已经成为几乎每次攻击的核心组成部分。这些网络允许攻击者通过受损设备路由流量,经常使恶意活动看起来像是来自合法用户。

与此同时,攻击者正在远离端点,转向边缘设备,例如路由器、VPN 网关和防火墙。这些系统位于网络的关键点,通常具有较弱的可见性,并提供对内部系统的直接访问。它们也往往具有更长的运行时间和较少的监控控制,使其成为理想的立足点。

结果是一个威胁格局,攻击者在互联网的连接组织中运作,而不是在其边缘。

人工智能正在加速整个过程

报告强调了生成式人工智能如何显著加快网络运作的速度。曾经需要人工协调的任务现在可以自动化。攻击者正在使用人工智能扫描漏洞,生成基础设施,测试 漏洞,并实时调整他们的策略。

这一转变压缩了攻击的时间表。曾经需要几天或几周的时间现在可以在几个小时内完成。在某些情况下,人工智能驱动的系统可以评估网络条件,确定最有效的路径,并在无需人工干预的情况下调整策略。

对于防御者来说,这创造了新的挑战。安全团队不再面对静态威胁。他们面对的是不断演变的系统,这些系统在遇到防御时会不断响应。

网络犯罪已经成为专业行业

报告中另一个引人注目的主题是,网络犯罪已经成熟为一个结构化的专业生态系统。许多运作现在类似于合法的技术公司。它们提供服务,支持客户,并不断改进他们的产品。

恶意软件平台以订阅服务的形式出售。代理网络按需出租。访问受损系统可以通过市场购买和转售。不同的参与者专门从事攻击生命周期的不同部分,从初始访问到数据泄露到货币化。

这种组织水平使网络犯罪者能够高效地扩大他们的运作。它也使他们更加具有弹性。当一个组件被破坏时,另一个组件可以迅速取代它。

相同的基础设施经常被多个团体共享,这模糊了犯罪活动和国家赞助运作之间的界限。这使得归因变得更加困难,并增加了误解攻击的真实性质的风险。

代理网络正在重新定义互联网上的信任

报告中描述的最重要的发展之一是建立在受损设备上的 代理网络 的崛起。这些网络允许攻击者从看似正常的住宅或商业 IP 地址操作。

从防御者的角度来看,这是一个大问题。传统的安全模型严重依赖信任信号,例如位置、IP 声誉和网络所有权。代理网络破坏了所有这些信号。

攻击者可以伪装成合法用户,从住宅网络连接。他们可以绕过地理位置控制,避免检测系统,并与正常的流量模式无缝融合。

这意味着看起来干净的东西不一定是安全的。互联网本身已经成为一种伪装。

甚至简单的攻击也被重新发明

报告还表明,诸如 蛮力攻击 之类的老式技术远未过时。相反,它们被规模和自动化所转化。

攻击者现在可以访问大量的窃取凭证数据集。他们将此与分布式基础设施和人工智能驱动的工具相结合,跨数千个目标同时测试身份验证系统。这些攻击不再是随机的。它们是有针对性的、持续的和高效的。

使它们特别危险的是,它们通常作为更大运作的第一步。一旦获得访问权限,攻击者可以更深入地进入网络,部署其他工具,并建立长期控制。

国家运作正在成为基础设施平台

报告强调了国家行为者如何建立长期基础设施,以支持随时间推移的多个活动。这些运作旨在具有灵活性。它们可以用于侦察、利用或破坏,具体取决于目标。

而不是专注于单个目标,这些系统创建了可以在不同运作中重用的基础。它们旨在扩展、适应和即使在压力下也能持续存在。

在某些情况下,攻击者甚至不建立自己的基础设施。他们接管其他团体已经控制的系统,并将其用作自己的运作的跳板。这增加了另一个复杂层面,使得理解谁是攻击背后的黑手变得更加困难。

网络安全的未来将由可见性定义

展望未来,报告确定了几种将在 2026 年及以后塑造威胁格局的转变。其中最重要的是风险将由暴露定义的想法。

攻击者正在持续扫描互联网。任何可见且脆弱的系统最终都会被针对。这与其所属的行业无关。机会是驱动因素。

与此同时,最重要的信号将不会来自个别设备。它们将来自网络中的模式。系统如何通信,基础设施如何构建和废弃,以及互联网上的流量如何流动,将在攻击到达目标之前揭示攻击。

这需要一种不同的安全方法。组织不仅要关注端点和警报,还要了解攻击形成的更广泛环境。

新的防御方法

报告明确指出,传统的防御策略已经不够了。组织需要在攻击生命周期的早期采取行动。他们需要专注于检测和破坏使攻击成为可能的基础设施,而不仅仅是攻击本身。

这意味着将 边缘设备 视为关键资产。它意味着监视流量如何进入和离开网络。它意味着了解系统之间的关系,而不是仅仅依赖静态指标。

这也意味着接受犯罪活动和国家赞助运作之间的界线变得越来越模糊。每次入侵都应被视为潜在的战略行动。

报告的真正教训

2026 Lumen 防御者威胁景观报告 的最重要收获是,网络攻击不再是孤立的事件。它们是构建的系统。它们是计划、测试和精心构建的系统,远早于其执行。

到警报被触发时,攻击者已经以某种形式进入了环境。基础工作已经完成。

在这个新环境中成功的组织将是那些转变焦点的组织。他们将超越端点。他们将超越漏洞。他们将专注于使这些攻击成为可能的基础设施。

通过这样做,他们将获得现代网络安全中最重要的优势。他们将在攻击开始之前看到攻击。

mm

安托万是一位具有远见的领导者和Unite.AI的创始合伙人,他被对塑造和推广AI和机器人人的未来充满不动摇的热情所驱动。作为一位连续创业者,他相信AI将对社会产生与电力一样的颠覆性影响,他经常被听到对颠覆性技术和AGI的潜力大加赞赏。

作为一位未来学家,他致力于探索这些创新将如何塑造我们的世界。另外,他也是Securities.io的创始人,这是一个专注于投资于重新定义未来和重塑整个行业的尖端技术的平台。