2030年网络安全威胁预测

- 1 - 2023!2"28# $6% &$585% 2030年网络安全威胁预测 !"#$% 2022年11月，欧盟网络安全局发布《2030年网络安全威胁预测》。报告给出了欧盟网络安全局组织的相关专家，历时8个月推演研判得出的面向2030年的十大网络安全威胁。在预测思路和方法上，报告首先将网络安全作为一个社会问题来思考，采用PESTLE法在系统性的社会环境中透视网络安全问题；然后采用科幻原型法SFP法，从五个可能出现的场景切入，以角色扮演和互动的形式进行趋势推演；最后，对网络安全威胁机构或个体的行为进行了分析，以上大大增强了预测的“落地性”。赛迪智库网络安全研究所对该报告进行了编译，期望对我国有关部门有所帮助。 !&'(% 网络安全威胁 趋势 预测 2030 )) - 2 - '()*+,-./01 2022年3月至8月，为准确获取截至2030年将出现的网络安全威胁类型，欧盟网络安全局（ENISA）组织相关机构和专家 开展了基础性的预测分析工作。预测法分析的基本内容主要包括大环境分析（即基于政治、经济、社会和技术因素的综合分析研究，见图1）、威胁识别以及威胁机构或个体的行为分析。 （一）大环境分析方法 *1+,-./0123* 政治因素：政治因素包括税收政策、财政政策、贸易关税等，政治经济社会 技术法律环境大环境 - 3 - 政治因素决定着政府对经济领域或某个行业的影响程度，例如，政府的新税收或关税政策可能会彻底改变相关机构的营收结构。通常情况下，政府会在财政年度前后征税，这会对商业环境（经济环境）造成极大影响。 经济因素：经济因素包括通货膨胀率、利率、外汇汇率和经济增长模式、外国直接投资FDI等。经济因素是经济态势的决定因素，会对企业造成长期的、直接影响。例如，任何经济体的通货膨胀率上升都会影响企业对其产品和服务的定价、影响消费者的购买力，改变经济体内部的供需关系等。 社会因素：社会因素包括市场所处的社会环境以及文化潮流趋势、人口统计数据、人口分析等决定性因素。例如，在美国等西方国家，人们在假期期间的购买力会大幅提升。 技术因素：技术因素包括自动化、研发和市场对技术的敏感度等。技术因素与技术创新密切相关，对行业及市场发展的影响有利有弊。 法律因素：法律因素分为企业内部因素和外部因素。一个国家的整体商业环境特点与某些法律息息相关，同时企业也会遵循一系列内部政策。法律因素分析应兼顾这两类因素，并根据《消费者法》、《安全标准》、《劳动法》等相关法律法规制定策略。 环境因素：环境因素包括所有会影响周围环境或由周围环境 - 4 - 决定的因素。在旅游业、畜牧业、农业等特定行业中，环境因素至关重要。商业环境分析涉及的因素包括但不限于气候、天气、地理位置、全球气候变化、环境补偿等。 （二）威胁识别方法 为识别威胁，参与该分析项目的专家采用了科幻原型设计法（SFP）。该方法涉及多个方面，可以帮助参与者从不同角度探索未来发展的多种趋势。科幻原型基于一个根据当前趋势衍生出的未来场景，参与者可以站在虚构角色的角度体验这一场景。 此外，专家还采用了威胁推演法识别威胁，该方法借鉴了传统的未来研究方法和军事战略思维，目的是在研究中推断未来环境模型。此次分析采用了场景规划技术，并设计了下列5种场景： l 数据密集环境中的区块链、深度伪造和网络犯罪； l 环保、可持续且互联互通的智慧城市（非国家机构）； l 数据增多且控制减少； l 可持续能源、自动化/短期劳动力； l 立法、偏见、法律废除和全球威胁。 （三）网络安全威胁机构或个体的行为分析 本研究还分析了《欧盟网络安全局威胁形势报告》中提到的四类威胁机构或个体，并根据当前威胁分类法将相关威胁划纳入高级别威胁，重点关注蓄意威胁。这四类网络安全威胁机构或个 - 5 - 体包括： 1. 国家资助的机构或个体 零日漏洞及其他关键漏洞的利用率提高。公开报告显示，网络漏洞是最常见的网络入侵途径。2021年，已公布的零日漏洞攻击次数达66次，创历史新高。 运营技术网络风险提高。《2021年欧盟网络安全局威胁形势报告》评估结果显示，在不久的将来，国家资助的机构或个体将加大对关键基础设施和运营技术（OT）网络的攻击力度。在本报告所述期内，这一评估结果仍然有效，研究人员发现了诸多针对基础设施开展的网络行动，其中大部分行动旨在收集情报、部署针对工业控制系统的新型恶意软件并实施破坏。 破坏性攻击是国家资助的机构或个体采用的重要攻击方式。在俄乌冲突期间，大规模利用“雨刷攻击”摧毁由政府机构和关键基础设施实体构成的网络事件频发。威胁机构或个体使用“雨刷”恶意软件的主要目的是削弱目标实体的机能，同时降低公众对国家领导层的信任，传播恐惧、不确定性和怀疑，从而方便己方开展虚假信息行动。 公开指责和法律行动仍在继续。去年发布的《2021年欧盟网络安全局威胁形势报告》强调，各国政府倾向于“加大打击力度”，制止网络威胁行动，公开由国家支持的威胁机构或个体名单，并 - 6 - 对这些机构或个体采取法律行动。 愈加关注供应链入侵。2020年，供应链入侵占总体网络安全事件总量的比例不到1%，而在2021年，这一占比已达17%，甚至有其他数据来源显示已高达62%。自2020年12月“太阳风”供应链攻击事件曝光以来，国家资助的威胁机构或个体认识到这一攻击方式的巨大潜力，因此开始更多地将第三方作为目标，对供应链下游客户发动网络攻击。 地缘政治继续影响网络行动。如《2021年欧盟网络安全局威胁形势报告》所示，地缘政治是推动各机构或个体通过网络行动收集情报的关键因素。据观察，随着地缘政治紧张局势加剧，网络攻击数量也在不断增加。 2. 网络犯罪分子 网络犯罪分子对供应链攻击的兴趣日渐浓厚，相关能力不断增强。虽然供应链攻击主要由国家资助的机构或个体发起，但在本报告所述期间，网络犯罪分子也逐渐表现出对供应链攻击的浓厚兴趣，越来越擅长开展相关行动。在本报告期内，由于供应链攻击与勒索软件威胁的联系日益紧密，威胁机构或个体只需攻击一个细小环节便能实现大规模破坏。供应链攻击有利于网络犯罪分子部署勒索软件、挖矿、偷盗加密货币或窃取身份验证信息，方便他们进一步开展恶意行动。 - 7 - 云服务的广泛普及为网络犯罪分子提供了攻击机会。在新冠疫情下，云服务日益普及，各机构在推进业务流程时对云服务的依赖更加显著。网络犯罪分子向来紧跟技术潮流，因此会瞄准云环境也不足为奇。 提高勒索软件威胁机构或个体的活动成本。在本报告所述期间，一些国家政府将勒索软件列为了首要国家安全威胁。为降低网络犯罪分子的成本收益，各国政府不仅开始双管齐下，以法律措施为主，同步实施监管措施，还实施了一些打击勒索软件的计划。 网络犯罪分子持续威胁工业部门。在去年的评估报告中指出，针对运营技术系统的网络犯罪攻击很可能会变得更具破坏性。在本报告所述期间，工业界受到的网络攻击大部分来自于勒索软件攻击，因此这一评估结果仍然适用。目前，破坏性网络犯罪攻击对制造业的冲击最大，但也对餐饮、医疗保健、交通运输和能源等行业产生了重大影响。 为躲避法律制裁反复“隐退”和更名。如上所述，由于勒索软件攻击数量庞大且影响严重，各国执法部门和政府都加大了打击力度。为适应这一变化，勒索软件组织平均每17个月就会完成一次“隐退”和更名。 俄乌冲突影响了网络犯罪环境。在俄乌冲突期间，研究人员 - 8 - 观察到，重大地缘政治事件能够鼓动网络犯罪集团，揭露网络犯罪与国家机构之间的联系，并为网络犯罪分子提供敛财机会。 网络犯罪分子热衷于利用通用漏洞披露（CVE）数据库发布的信息。2021年，被披露的零日漏洞达66项。已披露漏洞的数量正逐年增加，这意味着已发现漏洞的数量也在不断增长，2021年，二者创历史新高。与此同时，对概念验证漏洞的攻击数量也呈上升趋势。网络犯罪分子通过这些已披露漏洞发现了用户的敏感点，并利用其大肆发动攻击。 未使用勒索软件的数据泄露和勒索。在去年发布的《2021年欧盟网络安全局威胁形势报告》中，明确指出勒索软件组织倾向于采用多种勒索方法，即进行多层级勒索或三重勒索。在本报告所述期间，虽然三重勒索仍普遍存在，但经观察，数据盗窃事件有所增加，不涉及数据加密的勒索方式开始涌现。网络犯罪分子意识到，他们可以在不使用勒索软件的情况下索要赎金，并创建专门的交易市场，推销并出售窃取的数据。研究人员还观察到，勒索团伙在谈判阶段会引用受害者的网络保险政策。此类比较知名团伙包括LAPSUS$和Karakurt。 网络犯罪环境仍在迅速发展并进一步演变。去年发布的《2021年欧盟网络安全局威胁形势报告》提出，当前的网络犯罪趋势之一是网络犯罪环境的协作和专业化程度不断提高。据观 - 9 - 察，在本报告所述期间，这一趋势仍在持续，并有了进一步发展。 3. 可雇佣黑客机构或个体 访问即服务市场继续为国家机构提供便利。可雇佣黑客威胁机构或个体指“访问即服务”（AaaS）市场中的实体，主要由提供攻击性网络能力的企业组成。他们的客户以政府为主，有时也包括企业和个体。他们通常以套餐形式捆绑出售服务，具体内容包括漏洞研究与利用、恶意软件有效载荷开发、技术指挥与控制、运营管理，以及训练和保障。网络威胁情报（CTI）界内持续更新着一份清单，其中列出了主要参与国家攻击性网络行动的知名私人企业。 “飞马”事件引发媒体报道和政府行动。本报告所述期间轰动最大的新闻莫过于以色列NSO集团的“飞马”计划。在此次事件中，“飞马”间谍软件对全球3万多名人权活动家、记者和律师以及14国领导人进行了监控。虽然《2021年欧盟网络安全局威胁形势报告》中包含“飞马”计划相关内容，但在报告所述期间，该事件仍有新进展。 监视并攻击民间团体。一方面，研究发现，当前的商业威胁情报报告忽略了针对民间团体的网络威胁。另一方面，在访问即服务企业的网络攻击对象中，持不同政见者、人权活动家、记者、民间团体倡导者和其他公民个体的占比正不断上升。部分国家或 - 10 - 国际法律允许人们合理使用间谍软件监视技术，但研究人员注意到，各国政府经常为了实现有悖于民主价值观的目的而滥用这些技术。 4. 黑客行动主义者 黑客行动主义新浪潮。在《2021年欧盟网络安全局威胁形势报告》显示，黑客行动主义者发起的攻击在数量、复杂程度和影响方面均保持在较低水平。然而，在报告所述期间，特别是自俄乌冲突开始以来，研究人员观察到的黑客活动数量有显著增加。 黑客行动主义勒索软件：网络攻击新方式。在本报告所述期间，一个名为“网络游击队”的黑客行动主义区域性抵抗组织开展了数次影响重大的网络行动。网络游击队不仅开展了黑客攻击和泄密行动，还有史以来第一次在此类行动中实施了勒索软件攻击。2021年7月，他们入侵了白俄罗斯内政部，并将在黑客攻击和泄密行动中窃取的数据透露给了记者。然而，网络游击队最引人注目的案例发生在2022年1月24日，当时他们为减缓俄罗斯军队的行动而攻击了俄方铁路补给线。为实现此次任务目标，该组织不仅部署了改良后的勒索软件，导致白俄罗斯的铁路系统瘫痪，还对白俄罗斯国家铁路公司的服务器、数据库和工作站进行了加密。 - 11 - 2(342030!56789:;<=>? 在进行为期8个月的基础性预测研究分析后，欧盟网络安全局确定了截至2030年将出现的十大网络安全威胁，并进行了排名（见图2、图3）。同时，在欧盟网络安全局的预测专家组、欧盟网络安全事件响应小组网络和欧盟网络危机联络组织网络专家的支持下，欧盟网络安全局在威胁识别研讨会上集思广益，收集了一系列应对2030年新兴挑战的解决方案。 l 由于软件依赖性导致的供应链攻击； l 高级虚假信息宣传活动； l 数字监控威权主义的兴起及隐私权的丧失； l 网络物理环境中的人为错误和针对老旧系统的攻击； l 通过智能设备数据增强的针对性攻击； l 缺乏对天基基础设施和对象的分析和控制； l 高级混合威胁的兴起； l 专业技能人员短缺； l 因跨境ICT服务供应商导致的单点故障； l 人工智能