文章总结： 文档讨论了AI时代网络安全的转向，强调进攻性安全的重要性。随着AI驱动的网络威胁增多，传统被动防御已不足够，越来越多企业采取红队演练、紫队协作等主动策略。进攻性安全包括漏洞管理、渗透测试、威胁狩猎等多种实践，能帮助组织提前发现并修复漏洞。专家建议将进攻性安全与防御性安全整合，形成协同效应，以应对日益复杂的网络威胁。 综合评分： 86 文章分类： 红队,渗透测试,安全建设,AI安全,安全运营

AI时代网络安全的下一个热点：进攻！

GoUpSec

2025年12月15日 13:18 吉林

在AI攻击手段快速演进的背景下，传统的被动防御已显得捉襟见肘。

随着人工智能驱动的网络威胁日益增多，越来越多的安全主管开始将进攻性安全视为改善整体安全态势的必备策略。

凌晨两点，某金融公司安全运营中心警报未响，但一支内部红队已悄无声息地穿过层层防火墙，模拟高级持续性威胁的完整攻击链。这不是真实入侵，却是当下最前沿的防御思维转变。

越来越多像Convera公司的CISO Sara Madden这样的安全负责人正在采取更主动的“进攻”策略来保护企业。她正计划组建红队，对公司的系统进行压力测试，并引入紫队协作模式，让攻击和防御团队共同提升安全水平。

安全新思维：以攻为守

从单纯筑墙到主动出击，企业安全战略正在发生根本性转变。Madden明确表示：“进攻性安全是我们必须达到的阶段，因为我们可以利用从中获得的信息来微调安全方案和控制措施。”

企业安全的本质是防御性的，即保护公司的系统、数据、声誉、客户和员工。然而越来越多的CISO正在其战略中加入进攻性组件，将攻击模拟视为获取有关其技术环境、防御态势以及黑客在攻击时会发现的弱点的宝贵信息的方式。

EY全球及美国网络CTO Dan Mellen将进攻性安全定义为组织“在对手之前识别和利用漏洞”的实践。他认为这涵盖多个层次的活动，从成熟度较低端的漏洞管理，到攻击服务管理和渗透测试，再到威胁狩猎和对抗模拟。

“然后还有紫队概念，组织通过模拟攻击场景，检查哪些防御本应报警但没有，并找出如何纠正这些问题。”他补充道。

进攻性安全矩阵

进攻性安全或OffSec，是指使用攻击者风格的战术来发现和修复组织自身IT环境中的漏洞。 这一领域包含多种成熟实践，红队演练作为核心组成部分，由道德黑客模拟真实攻击以测试检测和响应能力。

这些团队旨在模仿威胁行为者，使用隐蔽策略绕过控制措施，实现数据外泄或权限提升等目标。对抗仿真同样重要，安全专业人员根据威胁情报重新创建已知威胁参与者的战术、技术和程序，以验证防御工具并在真实条件下训练事件响应团队。

社会工程评估通过钓鱼、pretexting和其他操纵技术测试人员和流程，识别漏洞和弱点，类似于渗透测试对技术系统的检验。

安全工具规避测试则检查组织的安全技术在检测和阻止混淆、加密或“靠地生存”等规避技术方面的表现，测试这些安全技术是否可能被恶意技术绕过。

长期热点

这些进攻性安全组件中的一些，即漏洞管理、渗透测试和网络钓鱼，长期以来一直是大多数企业安全计划的重要组成部分。

根据网络安全软件制造商Cobalt发布的2025年CISO观点报告，88%的安全领导者认为渗透测试是“其组织整体安全工作的关键组成部分”。

许多CISO多年来也一直拥有具备特定进攻性安全技能的团队成员。事实上，OffSec的进攻性安全认证专业人员、进攻性安全经验丰富的渗透测试员和进攻性安全认证专家等认证多年来一直需求旺盛。

进攻性安全技术并不新鲜，然而专家表示，由于自动化和人工智能的加入，供应商产品的进步提高了进攻性安全计划的有效性，同时降低了安全团队将OffSec纳入其运营的门槛。

Mellen表示：“我们看到许多技术提供商将支持这种主动或进攻性方法的能力推向市场。”

科技公司Transcend的驻场CISO、前UnitedHealth Group首席信息安全官Aimee Cardwell表示：

“进攻性安全比以前更重要，因为威胁行为者正在使用人工智能工具来发起我们以前未曾经历过的攻击。 以前黑客使用脚本小子时，攻击是相当可预测的。现在的黑客攻击如此深奥，几乎难以理解。如果你只依赖扫描，就无法足够早或根本无法发现潜在的漏洞。你需要通过进攻性安全持续寻找它们。”

Mellen认为，CISO可以利用从进攻性安全计划中收集到的信息，为安全计划的额外投资创建商业案例。

“这些数据驱动的证据可以在量化风险和量化修复工作及成本方面发挥很大作用。”他解释道。

电信公司Mitel的CISO Bill Dunnion看到了在自己的组织中采用更多进攻性安全措施的充分理由。“对我来说，进攻性安全就是要像坏人一样思考。我必须思考，‘我会怎么做？我会如何进入？我能找到那些被留下的后门和窗户吗？’这样我才能找到并修复它们。”

德勤加拿大IT安全高级经理Utkarsh Choudhary是采用更多进攻性安全元素的另一位支持者，将其视为“派出侦察兵并测试墙壁和围栏，看看这些控制措施是否真的有效”。

“这是一种更系统化、更持续的验证方法。”他补充道，并指出由于当今企业IT环境的日益复杂以及典型组织不断扩大的攻击面，进攻性安全已成为必不可少的元素。

实施挑战

尽管如此，许多安全部门尚未采用全面的进攻性安全计划。 Mellen指出，中小型公司最有可能只有很少甚至没有进攻性安全元素，并补充说，有限的资源构成实施或完善进攻性安全的常见障碍。

Mellen补充说，另一个阻碍CISO在其战略中加入更多进攻性安全的因素是担心暴露出他们没有能力解决的漏洞。

“如果你无法对这些漏洞采取行动，你就无法假装不知道它们的存在，但黑客无论你是否识别出它们，都会找到它们。”他说。

尽管如此，Mellen和其他人认为，随着黑客越来越多地利用人工智能发起更具针对性、更复杂、速度更快的攻击，CISO现在实施和扩展进攻性安全措施至关重要。

为了应对黑客日益增长的能力，专家表示，CISO必须更快地识别和关闭安全漏洞，而这正是进攻性安全能够让CISO做到的。

攻防协同进化

Choudhary还指出，许多进攻性安全组件，如渗透测试，是业务合作伙伴、客户以及某些法规和框架如ISO 270001所要求的。与其他专家一样，Choudhary表示，进攻性安全实践有助于组织更好地了解其风险。

“它为你提供了实证评估，并迫使组织保持诚实。它验证了你做得好和做得不好的地方。它向组织证明了某些方面是否不足。它给了你真实的风险证明。”

然而，为了最大化价值，Choudhary和其他人表示，组织必须超越仅仅拥有进攻性安全组件，而将进攻性计划与防御性计划整合起来。

“进攻不会取代防御；它会加强防御所缺失的部分。进攻增强了防御态势。”Choudhary说道。

“进攻性安全为防御增加了一个安全层，因此不是非此即彼，甚至不是两者兼有，而是它们必须协同工作。这使得组织更加主动而非被动，因为它减少了黑客入侵的机会。”

当Dunnion的安全团队开始系统性地进行威胁狩猎时，他们在一个从未被日志系统标记的角落发现了异常数据外传痕迹。 随即启动的紫队演练揭示了云配置中一个几乎无法通过传统扫描发现的致命弱点。

这次发现没有演变成真实的安全事件，因为进攻性安全思维已经提前站在了攻击者的位置上。在AI重塑攻防格局的时代，等待警报响起可能意味着为时已晚。

^

相 关 阅 读

SEO的天花板：大量美国政府网站沦为“黄网”与黑产温床

威胁情报沦为摆设，如何发挥真正价值？

皮尤：AI正导致美国青少年变傻？

查看原文：《AI时代网络安全的下一个热点：进攻！》