2024年网络安全威胁趋势情况如何？这份报告看一看_讨论当前web安全威胁的前沿趋势_近3年网络安全趋势图

网络安全企业必须超越现状，采用新一代工具和技术，工作的思路应该从出了问题再救火转变为提前预防，从体力劳动转变为自动化效率，从分散的短期修复系统、全面和持续地降低风险。

这次的报告公布的重点主要有:

一、新增漏洞创历史新高

技术变革步伐的加快在很大程度上助长了漏洞的不断增加。近年来，在数字化转型和云迁移的背景下尤其是新冠大流行期间，由于公司急于支持远程工作人员和全职客户，企业一直在狂热地改造其IT系统。而快速重组引入了新的安全漏洞。

2021年发布了 20,175个新漏洞，高于 2020年的 18,341个。这是有史以来报告的漏洞数量最多的一年，也是自2018年以来的最大同比增幅。安全团队比以往任何时候都更难确定问题的优先级和补救措施。

OT资产越来越多地连接到网络，关键基础设施和其他重要系统面临潜在的破坏性破坏。对OT系统的攻击有所增加突然中断操作，甚至危及健康和安全。

Cryptojacking和勒索软件这类新的恶意软件横行，加密劫持和勒索软件程序分别增长了75% 和42%。而这些程序使威胁行为者更容易发动攻击并快速获利。网络犯罪分子现在正以多快的速度利用新的弱点，缩小安全团队在攻击前检测和解决漏洞的时间。

尽管IT 方面的情况令人担忧，但OT 方面的情况更加不稳定。OT 产品的数量，尤其是物联网(IoT)产品企业使用量猛增，相关漏洞相应攀升。此外，许多以前气隙式OT 系统现在已连接到网络并暴露在没有足够保护措施的外部威胁之下。

过去十年漏洞增长情况

漏洞十年间增长了三倍，这些累积的漏洞年复一年地堆积起来，代表着巨大的总体风险，它们让组织在“网络安全债务”中苦苦挣扎。

二、攻击者和漏洞利用正在迅速发展

除了漏洞飞速的增加，整个安全形势也正在迅速的演变。网络犯罪已成为一个庞大而繁荣的行业，黑产有着庞大的专业商品和服务生态系统支持黑客们进行各种攻击，黑产还拥有可以促进其秘密通信、协作和金融交易的基础设施。

同时，网络犯罪变得越来越多样化。一方面，民族行为者正在使用网络攻击作为一种武器来对抗地缘政治对手。随着俄罗斯入侵乌克兰后国际紧张局势升温，一个由国家支持的攻击愈演愈烈的新时代可能会到来。当前的冲突让专家们考虑了全面网络战的可能性。而CISA更是发布了罕见的“屏蔽”警告，建议所有企业在网络安全和保护其最关键资产方面都采取更高的姿态。

另一方面，网络犯罪正在吸引越来越多受经济利益驱动的草根运营商。他们会利用加密货币劫持和勒索软件等漏洞快速赚钱，尤其是在世界上工资低、合法职业机会少之又少的地区，这种犯罪会更猖獗。

由于一些漏洞利用工具包和恶意软件使用方法简单，因此脚本小子也能轻松入侵并开始获得经济回报。创新工具不仅使网络犯罪更容易获得，还更加的复杂和隐蔽。

三、新增OT 漏洞

OT系统包括关键基础设施（能源、水、交通和环境控制系统）和其他必要设备。

物联网和工业物联网(IIoT)产品正在爆炸式增长，从传感器到智能电器再到环境控制和工业自动化系统，大大加剧安全问题。在Forrester的一项调查中，其组织受到网络攻击的安全决策者表示，物联网设备是最常见的目标之一。

随着 OT和 IT网络的融合，威胁参与者越来越多地利用一个环境中的漏洞来获取另一个环境中的资产。许多OT 攻击始于IT 漏洞，然后横向移动以访问OT 设备。相反，入侵者可能会使用OT 系统作为进入IT网络的踏脚石，他们可以在其中传递恶意有效负载、泄露数据、发起勒索软件攻击以及进行其他攻击。

如何自学黑客&网络安全

黑客零基础入门学习路线&规划

初级黑客
1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）
恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

如果你想要入坑黑客&网络安全，笔者给大家准备了一份：282G全网最全的网络安全资料包评论区留言即可领取！

7、脚本编程（初级/中级/高级）
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

如果你零基础入门，笔者建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime；·Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，不要看完；·用Python编写漏洞的exp,然后写一个简单的网络爬虫；·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)；·了解Bootstrap的布局或者CSS。

8、超级黑客
这部分内容对零基础的同学来说还比较遥远，就不展开细说了，附上学习路线。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，评论区点赞和评论区留言获取吧。我都会回复的

视频配套资料&国内外网安书籍、文档&工具

当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料&工具，并且已经帮大家分好类了。

一些笔者自己买的、其他平台白嫖不到的视频教程。

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！