传统上，驱动式攻击是指自动从受损的网站下载恶意文件而无需用户交互。然而，在最近的报告中审查的大多数案例中，都涉及到用户的操作，近30%的事件中是通过用户的操作引发的初始访问。

威胁行为者正在使用AI来自动化攻击。在主要的网络犯罪论坛上，越来越多的人开始关注使用AI加速攻击的方法，并对武器化这项技术表现出兴趣。研究人员在这些论坛的专门AI和机器学习部分发现，犯罪分子开始寻找主流聊天机器人的替代选择，如FraudGPT和WormGPT，并且暗示他们正在使用这些选项来开发简单的恶意软件和分布式拒绝服务（DDoS）攻击。

现在，AI系统可以使用样本来复制声音，而视频通话的深度伪造技术也正在帮助威胁行为者。此外，研究人员还注意到，越来越多的威胁行为者正在自动化他们攻击的各个阶段，甚至是整个攻击链，特别是在Citrix Bleed漏洞利用方面。

然而，尽管攻击者正在利用AI驱动的自动化技术，但它也在企业的防御能力上带来了质的飞跃。

在2023年，财务盗窃成为犯罪分子的主要目标，占到了88%的客户事件。勒索活动也增加了74%，勒索软件企业在数据泄露网站上列出的受损实体数量创下了记录，仅LockBit一家就有超过1,000个实体。

ReliaQuest注意到，涉嫌国家支持的行动者使用了一种称为“寄生于土地”（LotL）技术的重大威胁。在这种情况下，威胁行为者试图通过使用防御规避技术来隐藏他们的活动，如清除日志和渗透PowerShell。在2023年4月的一次入侵事件中，一个中国政府支持的威胁企业主要专注于使用LotL命令来渗透到公司的环境中。该企业的隐秘LotL活动使其能够持续访问超过一个月的时间。

ReliaQuest的技术运营高级副总裁Michael McPherson表示：“随着威胁的不断发展，防御者必须保持敏捷，利用AI和自动化技术跟上最新的攻击技术。时间是网络安全的敌人。为了积极应对这些风险，企业应该最大化跨网络和端点之外的可见性，充分利用AI和自动化技术来更好地理解和利用自身的数据，并为团队提供最新的威胁情报。通过采用这种方法，我们预计在明年，那些充分利用我们的AI和自动化能力的客户将能够在5分钟甚至更短的时间内遏制威胁。”

可以预见，2024年的网络安全将受到GenAI和恶意AI模型的创造以及在网络攻击中广泛应用的自动化的重大影响，这些都增强了威胁行为者的能力。自动化的动态剧本将使即使是技能不足的攻击者也能够以复杂的方式加速操作，缩短从渗透到影响的时间。