一个攻防老兵眼中的网络安全年度风云录（2024）

网络安全这一年

又至年关了，依旧感叹时间过得这般快。今年又带着团队做了很多牛逼事情，有能力上的突破，也有技术上的创新，解决了很多问题，也做了挺多新的尝试。很多工作拿出来讲必然是行业Top1、2的存在，这些工作有机会会跟大家介绍。作为一个后端能力部门，最迫切的愿望就是想把自己的工作进行价值转化，因此今年不仅做研究带头人，也承担一部分产品经理的角色，甚至有样学样地去做一些营销推广的活。很充实但也确实累。想必很多朋友跟我有一样的感受，处于经济下行周期的网安人过得可能都一般。

这一年过来，我也再次对“百年未有之大变局”有了更感同身受之理解，这些理解不仅来自国际局势风云变幻、经济逆周期的影响以及技术创新浪潮的再次汹涌，也来自我们网安人对网络空间威胁和的特有观察和理解，毕竟网络空间暗面并不为普通大众所感触和理解。网络安全虽然不是赚大钱的行业，但话题性始终很强，每年都会新生很多不明觉厉的创新概念和技术，国内外也会发生很多重大的安全事件，当然每个国家也会根据自身发展需要出台一些具有里程碑意义的政策法规。这些事件展现得也正是网络安全的特殊性和重要性。

未来网络安全如何发展，在新世界、新秩序、新技术之下，网安人如何反应、如何新生？我觉得年底这个时间对24年这些公开事件进行回顾和梳理非常有必要，也就有了今天这篇文章，我会按照时间顺序进行梳理，当然这些只是从我的视角中挑选，不一定全面，如有补充可以留言。

1. AX事件

年初，某网络安全公司的内部数据泄漏，包括微信聊天记录、产品资料以及其他敏感文件等，被有心人上传至GitHub，然后X上哗然一片，认为龙哥家这事件重要性堪比影响俄罗斯军事情报局 (GRU) 和俄罗斯联邦安全局 (FSB) 的NTC Vulkan泄密事件，以及影响美国国家安全局 (NSA) 的斯诺登泄密事件或影子经纪人泄密事件。

这类事件的影响往往是非常复杂的，这里只想提及技术视角的一个点，有关武器工具。泄漏内容中产品说明书截图的ip，关联了某个之前经常出现在威胁分析报告中的工具，该工具有测绘特征，可以说是被盯得很紧。这方面的对抗发展近几年已经达到了新的高度，但无论如何发展，对抗过程中最薄弱的环节依然是人，无论攻还是防，管理和制度上的不完善终将酿成大祸。

类似的在9月份，还有一家上市安全公司也出事了，国外有团队对相关事件也出了全面的分析报告，阅读后除了感慨技术低劣之外，同样感慨在组织者和执行者缺少最基础的安全认知。另外，对于此类非编的野生工作机会，建议一些攻防的兄弟审慎选择。

2. XZ后门事件

3月份，XZ后门事件曝光，攻击者艺高人胆大，瞄准了向全球发行版Linux系统去植入后门，也选择了最最基础的ssh服务组件。这是一起典型的供应链攻击，攻击者前期工作之精妙不禁让我为其在败漏的最后一刻感到惋惜，但如果该后门植入攻击一旦成型，那将为其创建者提供能登录全球数亿个服务器的万能钥匙，其影响将达到当年永恒之蓝的水平，甚至更甚之。

该事件我愿称之为供应链攻击一哥，可以作为攻防教材去研究使用，从战术设计到技术执行每一步都恰到好处，比如针对开源软件开发者所设计实施的社会工程学攻击、规避审计的后门代码的释放植入过程。我也和团队兄弟一起思考过，类似的技战术攻击一定还会再出现，那如何发现此类攻击？我想现有手段都不足以做到，能想到的检测点是在攻击实施初中期进行监控，但这种投入安全公司自身缺少驱动力，有背景、有资源、有想法的兄弟可以考虑。

3. Crowd Strike致蓝屏事件

Crowd Strike这家公司想必大家都挺熟，旗舰产品是猎鹰平台，该平台集成了威胁情报、入侵检测、事件响应和安全运营功能，其最大贡献是缩短了从发现入侵到应急定性的周期时间，获得了全球网络安全领域的领先地位。今年的Windows蓝屏事件也是由该平台升级故障导致，影响了全球超过850万台Windows设备，导致多国航空公司、金融机构、政府机构等关键基础设施陷入瘫痪。

因为网络安全导致业务停摆的案例也非第一次出现。我们始终讨论安全对于业务的侵入性，也同样探讨操作系统等底层系统对第三方安全机构的权限开放程度。安全能力和业务稳定性之间是辩证统一的，系统与安全也更需要去建立融合发展生态，需要在保证业务稳定可靠的基础上尽可能提升安全防护能力，这是每一位安全人都应该去努力实现的。

4. 常态化攻防演练

作为一个17年就参与演练的攻击队老兵，在演练这个事情上有太多的感悟。今年步入常态化，演练周期比以往更长，最直接的影响是各方投入变大，攻防双方每个单位需要用“常态化”的思维各自去考虑投入和组织形式，这已然和过去几年短期加仓式投入有质的变化，甲方攻击队会考虑如何日常进行核心能力储备以及提升自动化能力，防守单位也会更重视安全运营的质量，也会想着是不是能依靠大模型解决一些问题。

另外，今年在参与组成上也与以往不同，纪律要求也比以往更严格，最直接的好处是演练信息不再满天飞。过往几年，演练发现了很多guanji系统的重大安全隐患，但也同步导致信息系统暴露面扩大，源码、指纹及漏洞信息被扩散在GitHub、公众号、小密圈等平台，你我提防不到的有心人总会加以利用。

5. 某银行海外分行遭勒索攻击事件

宇宙行去年刚被LockBit勒索，今年又被Hunters勒索。作为宇宙行对于安全管理投入肯定都不小，为何也会遭勒索入侵，那肯定有人会站出来说“没有绝对安全的系统”来搪塞。勒索组织这两年被老美和欧盟组织执法机构进行了大量的捣毁，但“野草烧不尽，春风吹又生”，类似Hunters组织也是由被捣毁的Hive组织发展而来，勒索威胁不但没有下降趋势，反而组织地更加严谨，分工定位更加明确，技战术也进一步升级，漏洞研究到利用的周期也进一步缩短。

翻看了很多国内安全厂商的勒索防护方案不尽人意，勒索演练评估、威胁情报、入侵防护、数据渗出每一环节都是挂勒索威胁的羊皮卖国内攻防演练积累下来的肉。随着数字经济和数字科技发展，数据安全将会上升至前所未有的高度，24年国家也出台了《网络数据安全管理条例》，元旦后也要正式实施，是该认认真真做符合市场需求且能真正能解决问题的产品和解决方案了。

6. 黎巴嫩BP机爆炸事件

这起BP机爆炸事件绝对是近几年最骇人听闻的暴恐袭击案件之一，到今日依然没有形成结论，到底是寻呼机里的电池爆炸还是寻呼机被提前安置了炸药，但肯定的是多个寻呼机爆炸锁定的是同一类群体，在差不多同一时间启爆也必定是“人祸”。另外大家也讨论这个事件，尤其这种老通信设备到底和网络安全有没有关系，但这一定是信息通信有关。

有人认为，小以的这次行动展现了其情报部门惊人的渗透能力，可以在数千公里之外，通过无线电信号秘密引爆大量寻呼机。这就有点像后门的敲门机制，通过特定标识触发预埋后门，但在物理世界，结合了通信能力就实现了类似饵雷的效果。虽说BP机目前基本接触不到了，但引申至物联网亦可实现类似的效果，包括手机、智能手表、网联车等等，里边涉及的物联网安全、供应链安全等不容忽视，这也是为什么需要在这里提及此事件的原因。

7. 人工智能与网络安全的融合发展

从去年的百模大战，到今年智能体概念，我们切实感受和参与到了人工智能的发展，大家也相信人工智能技术会促使新一轮网络安全领域的技术革新。但这两年也接触了一些年轻的攻防同学，大家对大模型不以为然，很多人会说人工智能能代替我渗透吗？能代替我挖漏洞吗？能代替我值守吗？当然现在还不完全行，但未来不久一定行！而且很快。大家需要问问自己抗AI冲击能力有多少。

去年这种感觉还不强烈，但今年AI促进网络安全攻防已经有一些实际价值显露出来。你会发现Google说自己用模型挖了一些0day，xbow等新创业团队发布了使用AI进行智能化渗透测试的成果。防守视角的安全运营有智能化的事件研判、DropZone AI展示的智能化关联分析。虽然目前的成果里AI都还是干一些比较简单工作，但其中每一步都很扎实，我相信2025年人工智能在网络安全领域会有全新的成绩。另外要提的还有大模型自身安全，个人认为目前阶段大模型应用还未大范围普及，安全问题仍以AI模型的安全监管治理为主，其他方面多以对硅基大脑的挑逗为主，总的来说AI安全风险一定不容忽视。

写在最后

如上，梳理了2024年网络安全的那些事，不得不感叹你我所从事的这个行业会如此复杂、充满挑战且魅力十足，喜欢网络安全工作是因为责任感、成就感，2025年希望你我皆有所成，也希望行业历经周期能再度发展！

原文始发于微信公众号（东方蜜糖）：一个攻防老兵眼中的网络安全年度风云录（2024）