AI自动化加速网络攻击，漏洞利用时间缩短至72分钟

网络攻击速度正在加快，从初始入侵到造成破坏的时间窗口不断缩小，而AI技术的出现进一步加速了这一进程，使得人类防御者难以招架。

帕洛阿尔托网络公司（Palo Alto Networks）发布的《2026年全球事件响应报告》揭示了这一广泛存在却不足为奇的趋势。该报告分析了该公司Unit 42全球威胁情报与事件响应团队在50个国家调查的750起安全事件。

分析显示，在最快的攻击案例中，威胁行为者从初始访问到数据外泄仅需72分钟，较2024年的近5小时大幅缩短。该公司指出，这主要归因于AI技术压缩了侦察、钓鱼攻击、脚本编写和操作执行的时间线。

然而，深入分析也为首席信息安全官（CISO）带来些许安慰：真正导致企业失守的并非高速移动的攻击者或AI"狼群"，而是基础防护缺失——包括弱身份验证、缺乏实时可见性，以及安全系统复杂化导致的配置错误。

理论上这些问题都可修复。报告作者指出："尽管攻击速度和自动化程度不断提升，但我们响应的大多数事件并非始于全新攻击手法，而是反复出现的防护漏洞。多数情况下，攻击者依赖的不是复杂漏洞利用，而是被忽视的暴露面。"

身份管理困境

身份与信任问题成为反复出现的主题。Unit 42调查发现，90%的事件与此相关。攻击者战术包括：社会工程（33%）、基于身份的钓鱼攻击（22%）、凭证滥用与暴力破解（21%）以及内部威胁（8%）。

过度权限问题普遍存在。Unit 42分析的68万个云用户、角色和服务中，99%存在此问题，包括60天以上未使用的账户。随着企业不断增加云服务、SaaS和AI应用，身份攻击面扩张速度远超问题修复速度。

这些身份涉及：机器身份（服务账户、自动化角色、API密钥、AI Agent）、影子身份（未经批准的账户、开发环境与第三方）以及身份"孤岛"（本地AD与多个云身份提供商）。

Unit 42表示："攻击很少局限于单一环境。我们观察到跨终端、网络、云、SaaS和身份的协同活动，迫使防御者必须同时监控所有领域。"

供应链风险凸显

供应链成为另一脆弱环节。23%的事件中，攻击者通过利用第三方SaaS应用绕过传统安全控制。Unit 42指出："当上游供应商报告入侵或中断时，客户往往被迫停摆以确认是否受影响。多数情况下，他们对自己面临的暴露风险知之甚少。"

范式转变迫在眉睫

针对攻防不对等的困局，Unit 42主张转变范式：网络安全已高度专业化，需要构建从根本上应对真实威胁的托管服务。

基于此理念，帕洛阿尔托网络近期推出Unit 42托管扩展安全情报与自动化管理（XSIAM）2.0服务。该公司宣称，相比传统SOC，该服务在XSIAM 1.0基础上新增完整入驻、威胁狩猎与响应功能，并能更快建模攻击模式。

这一主张能否令人信服？CISO们早已熟悉此类说辞：旧体系失效，必须投资新方案。总有过时系统需要被更先进方案取代。

但更先进的SOC未必是万能药。有观点认为，SOC本身可能受限于与传统IT部门相同的技能短缺和预算限制问题。

正如帕洛阿尔托网络所言："防御窗口已然崩塌，多数SOC架构无法应对当今攻击速度。"传统SIEM和SOAR等仅生成警报的旧工具亟待淘汰，现代AI驱动的SOC需要以"机器速度"做出响应。

参考来源：

Cyber attacks enabled by basic failings, Palo Alto analysis finds

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）