2030年网络安全威胁预测1.pdf

1、-1-2023!228#$6%&$&$585%2030年网络安全威胁预测年网络安全威胁预测 !#$%!#$%2022 年 11 月，欧盟网络安全局发布2030 年网络安全威胁预测。报告给出了欧盟网络安全局组织的相关专家，历时 8 个月推演研判得出的面向 2030 年的十大网络安全威胁。在预测思路和方法上，报告首先将网络安全作为一个社会问题来思考，采用 PESTLE 法在系统性的社会环境中透视网络安全问题；然后采用科幻原型法 SFP 法，从五个可能出现的场景切入，以角色扮演和互动的形式进行趋势推演；最后，对网络安全威胁机构或个体的行为进行了分析，以上大大增强了预测的“落地性”。赛迪智库网络安全研

2、究所对该报告进行了编译，期望对我国有关部门有所帮助。!&(%!&(%网络安全威胁网络安全威胁 趋势趋势 预测预测 2030)-2-()*+,-./01)*+,-./01 2022 年 3 月至 8 月，为准确获取截至 2030 年将出现的网络安全威胁类型，欧盟网络安全局（ENISA）组织相关机构和专家 开展了基础性的预测分析工作。预测法分析的基本内容主要包括大环境分析（即基于政治、经济、社会和技术因素的综合分析研究，见图 1）、威胁识别以及威胁机构或个体的行为分析。（一（一）大）大环境分析环境分析方法方法 *1+,-./0123*政治因素：政治因素：政治因素包括税收政策、财政政策、贸易关税等，

3、政政治治经经济济社社会会 技技术术法法律律环环境境大大环环境境-3-政治因素决定着政府对经济领域或某个行业的影响程度，例如，政府的新税收或关税政策可能会彻底改变相关机构的营收结构。通常情况下，政府会在财政年度前后征税，这会对商业环境（经济环境）造成极大影响。经济因素经济因素：经济因素包括通货膨胀率、利率、外汇汇率和经济增长模式、外国直接投资 FDI 等。经济因素是经济态势的决定因素，会对企业造成长期的、直接影响。例如，任何经济体的通货膨胀率上升都会影响企业对其产品和服务的定价、影响消费者的购买力，改变经济体内部的供需关系等。社会因素：社会因素：社会因素包括市场所处的社会环境以及文化潮流趋势、人

4、口统计数据、人口分析等决定性因素。例如，在美国等西方国家，人们在假期期间的购买力会大幅提升。技术因素：技术因素：技术因素包括自动化、研发和市场对技术的敏感度等。技术因素与技术创新密切相关，对行业及市场发展的影响有利有弊。法律因素：法律因素：法律因素分为企业内部因素和外部因素。一个国家的整体商业环境特点与某些法律息息相关，同时企业也会遵循一系列内部政策。法律因素分析应兼顾这两类因素，并根据消费者法、安全标准、劳动法等相关法律法规制定策略。环境因素：环境因素：环境因素包括所有会影响周围环境或由周围环境-4-决定的因素。在旅游业、畜牧业、农业等特定行业中，环境因素至关重要。商业环境分析涉及的因素包括

5、但不限于气候、天气、地理位置、全球气候变化、环境补偿等。（二）威胁识别（二）威胁识别方法方法 为识别威胁，参与该分析项目的专家采用了科幻原型设计法（SFP）。该方法涉及多个方面，可以帮助参与者从不同角度探索未来发展的多种趋势。科幻原型基于一个根据当前趋势衍生出的未来场景，参与者可以站在虚构角色的角度体验这一场景。此外，专家还采用了威胁推演法识别威胁，该方法借鉴了传统的未来研究方法和军事战略思维，目的是在研究中推断未来环境模型。此次分析采用了场景规划技术，并设计了下列 5 种场景：l 数据密集环境中的区块链、深度伪造和网络犯罪；l 环保、可持续且互联互通的智慧城市（非国家机构）；l 数据增多且控

6、制减少；l 可持续能源、自动化/短期劳动力；l 立法、偏见、法律废除和全球威胁。（三（三）网络安全网络安全威胁威胁机构或个体的机构或个体的行为行为分析分析 本研究还分析了欧盟网络安全局威胁形势报告中提到的四类威胁机构或个体，并根据当前威胁分类法将相关威胁划纳入高级别威胁，重点关注蓄意威胁。这四类网络安全威胁机构或个-5-体包括：1.国家资国家资助助的的机构或机构或个体 零日漏洞零日漏洞及其及其他他关关键漏洞键漏洞的利的利用用率提率提高高。公开报告显示，网络漏洞是最常见的网络入侵途径。2021 年，已公布的零日漏洞攻击次数达 66 次，创历史新高。运运营技术网络营技术网络风险风险提提高高。202

7、1 年欧盟网络安全局威胁形势报告评估结果显示，在不久的将来，国家资助的机构或个体将加大对关键基础设施和运营技术（OT）网络的攻击力度。在本报告所述期内，这一评估结果仍然有效，研究人员发现了诸多针对基础设施开展的网络行动，其中大部分行动旨在收集情报、部署针对工业控制系统的新型恶意软件并实施破坏。破坏破坏性性攻击攻击是国家资是国家资助助的机构或的机构或个体个体采用采用的的重重要要攻击攻击方式。方式。在俄乌冲突期间，大规模利用“雨刷攻击”摧毁由政府机构和关键基础设施实体构成的网络事件频发。威胁机构或个体使用“雨刷”恶意软件的主要目的是削弱目标实体的机能，同时降低公众对国家领导层的信任，传播恐惧、不确

8、定性和怀疑，从而方便己方开展虚假信息行动。公公开开指责指责和法律行动和法律行动仍仍在在继续继续。去年发布的2021 年欧盟网络安全局威胁形势报告 强调，各国政府倾向于“加大打击力度”，制止网络威胁行动，公开由国家支持的威胁机构或个体名单，并-6-对这些机构或个体采取法律行动。愈加愈加关关注注供应供应链入侵链入侵。2020 年，供应链入侵占总体网络安全事件总量的比例不到 1%，而在 2021 年，这一占比已达 17%，甚至有其他数据来源显示已高达 62%。自 2020 年 12 月“太阳风”供应链攻击事件曝光以来，国家资助的威胁机构或个体认识到这一攻击方式的巨大潜力，因此开始更多地将第三方作为目

9、标，对供应链下游客户发动网络攻击。地地缘缘政治政治继续继续影响网络行动。影响网络行动。如2021 年欧盟网络安全局威胁形势报告所示，地缘政治是推动各机构或个体通过网络行动收集情报的关键因素。据观察，随着地缘政治紧张局势加剧，网络攻击数量也在不断增加。2.网络网络犯罪犯罪分分子子 网络网络犯罪犯罪分分子子对供应对供应链攻击链攻击的的兴趣兴趣日日渐浓厚渐浓厚，相关能力，相关能力不断不断增增强强。虽然供应链攻击主要由国家资助的机构或个体发起，但在本报告所述期间，网络犯罪分子也逐渐表现出对供应链攻击的浓厚兴趣，越来越擅长开展相关行动。在本报告期内，由于供应链攻击与勒索软件威胁的联系日益紧密，威胁机构或

10、个体只需攻击一个细小环节便能实现大规模破坏。供应链攻击有利于网络犯罪分子部署勒索软件、挖矿、偷盗加密货币或窃取身份验证信息，方便他们进一步开展恶意行动。-7-云云服务的服务的广泛普广泛普及及为网络为网络犯罪犯罪分分子子提供了提供了攻击攻击机会。机会。在新冠疫情下，云服务日益普及，各机构在推进业务流程时对云服务的依赖更加显著。网络犯罪分子向来紧跟技术潮流，因此会瞄准云环境也不足为奇。提提高高勒勒索软件索软件威胁威胁机构或机构或个体的的活活动成本。动成本。在本报告所述期间，一些国家政府将勒索软件列为了首要国家安全威胁。为降低网络犯罪分子的成本收益，各国政府不仅开始双管齐下，以法律措施为主，同步实施

11、监管措施，还实施了一些打击勒索软件的计划。网络网络犯罪犯罪分分子子持续持续威胁工业部威胁工业部门门。在去年的评估报告中指出，针对运营技术系统的网络犯罪攻击很可能会变得更具破坏性。在本报告所述期间，工业界受到的网络攻击大部分来自于勒索软件攻击，因此这一评估结果仍然适用。目前，破坏性网络犯罪攻击对制造业的冲击最大，但也对餐饮、医疗保健、交通运输和能源等行业产生了重大影响。为为躲避躲避法律法律制制裁反复裁反复“隐退隐退”和和更名更名。如上所述，由于勒索软件攻击数量庞大且影响严重，各国执法部门和政府都加大了打击力度。为适应这一变化，勒索软件组织平均每 17 个月就会完成一次“隐退”和更名。俄乌冲突俄乌

12、冲突影响了网络影响了网络犯罪犯罪环境。环境。在俄乌冲突期间，研究人员-8-观察到，重大地缘政治事件能够鼓动网络犯罪集团，揭露网络犯罪与国家机构之间的联系，并为网络犯罪分子提供敛财机会。网络网络犯罪犯罪分分子热衷子热衷于利于利用用通通用漏洞用漏洞披露披露（CVE）数据）数据库库发发布布的的信信息。息。2021 年，被披露的零日漏洞达 66 项。已披露漏洞的数量正逐年增加，这意味着已发现漏洞的数量也在不断增长，2021年，二者创历史新高。与此同时，对概念验证漏洞的攻击数量也呈上升趋势。网络犯罪分子通过这些已披露漏洞发现了用户的敏感点，并利用其大肆发动攻击。未使用未使用勒勒索软件索软件的数据的数据泄

13、露泄露和和勒勒索索。在去年发布的2021 年欧盟网络安全局威胁形势报告中，明确指出勒索软件组织倾向于采用多种勒索方法，即进行多层级勒索或三重勒索。在本报告所述期间，虽然三重勒索仍普遍存在，但经观察，数据盗窃事件有所增加，不涉及数据加密的勒索方式开始涌现。网络犯罪分子意识到，他们可以在不使用勒索软件的情况下索要赎金，并创建专门的交易市场，推销并出售窃取的数据。研究人员还观察到，勒索团伙在谈判阶段会引用受害者的网络保险政策。此类比较知名团伙包括 LAPSUS$和 Karakurt。网络网络犯罪犯罪环境环境仍仍在在迅速迅速发展发展并并进进一一步步演演变。变。去年发布的2021 年欧盟网络安全局威胁形

14、势报告提出，当前的网络犯罪趋势之一是网络犯罪环境的协作和专业化程度不断提高。据观-9-察，在本报告所述期间，这一趋势仍在持续，并有了进一步发展。3.可可雇佣黑客雇佣黑客机构或机构或个体 访问访问即服务市场即服务市场继续继续为为国家国家机构机构提供提供便便利。利。可雇佣黑客威胁机构或个体指“访问即服务”（AaaS）市场中的实体，主要由提供攻击性网络能力的企业组成。他们的客户以政府为主，有时也包括企业和个体。他们通常以套餐形式捆绑出售服务，具体内容包括漏洞研究与利用、恶意软件有效载荷开发、技术指挥与控制、运营管理，以及训练和保障。网络威胁情报（CTI）界内持续更新着一份清单，其中列出了主要参与国家

15、攻击性网络行动的知名私人企业。“飞马飞马”事件”事件引引发发媒媒体体报报道道和政府行动。和政府行动。本报告所述期间轰动最大的新闻莫过于以色列 NSO 集团的“飞马”计划。在此次事件中，“飞马”间谍软件对全球 3 万多名人权活动家、记者和律师以及 14 国领导人进行了监控。虽然2021 年欧盟网络安全局威胁形势报告中包含“飞马”计划相关内容，但在报告所述期间，该事件仍有新进展。监视监视并攻击并攻击民民间间团团体。体。一方面，研究发现，当前的商业威胁情报报告忽略了针对民间团体的网络威胁。另一方面，在访问即服务企业的网络攻击对象中，持不同政见者、人权活动家、记者、民间团体倡导者和其他公民个体的占比正

16、不断上升。部分国家或-10-国际法律允许人们合理使用间谍软件监视技术，但研究人员注意到，各国政府经常为了实现有悖于民主价值观的目的而滥用这些技术。4.黑客黑客行动主行动主义义者者 黑客黑客行动主行动主义义新新浪浪潮。潮。在2021 年欧盟网络安全局威胁形势报告显示，黑客行动主义者发起的攻击在数量、复杂程度和影响方面均保持在较低水平。然而，在报告所述期间，特别是自俄乌冲突开始以来，研究人员观察到的黑客活动数量有显著增加。黑客黑客行动主行动主义勒义勒索软件索软件：网络：网络攻击攻击新方式。新方式。在本报告所述期间，一个名为“网络游击队”的黑客行动主义区域性抵抗组织开展了数次影响重大的网络行动。网络

17、游击队不仅开展了黑客攻击和泄密行动，还有史以来第一次在此类行动中实施了勒索软件攻击。2021 年 7 月，他们入侵了白俄罗斯内政部，并将在黑客攻击和泄密行动中窃取的数据透露给了记者。然而，网络游击队最引人注目的案例发生在 2022 年 1 月 24 日，当时他们为减缓俄罗斯军队的行动而攻击了俄方铁路补给线。为实现此次任务目标，该组织不仅部署了改良后的勒索软件，导致白俄罗斯的铁路系统瘫痪，还对白俄罗斯国家铁路公司的服务器、数据库和工作站进行了加密。-11-22(34342030!556789:;?6789:;?在进行为期 8 个月的基础性预测研究分析后，欧盟网络安全局确定了截至 2030 年将出

18、现的十大网络安全威胁，并进行了排名（见图 2、图 3）。同时，在欧盟网络安全局的预测专家组、欧盟网络安全事件响应小组网络和欧盟网络危机联络组织网络专家的支持下，欧盟网络安全局在威胁识别研讨会上集思广益，收集了一系列应对 2030 年新兴挑战的解决方案。l 由于软件依赖性导致的供应链攻击；l 高级虚假信息宣传活动；l 数字监控威权主义的兴起及隐私权的丧失；l 网络物理环境中的人为错误和针对老旧系统的攻击；l 通过智能设备数据增强的针对性攻击；l 缺乏对天基基础设施和对象的分析和控制；l 高级混合威胁的兴起；l 专业技能人员短缺；l 因跨境 ICT 服务供应商导致的单点故障；l 人工智能技术滥用。

19、-12-*2+2030 45,6789:;=由于软件依赖性导致的供应链攻击高级虚假信息宣传活动数字监控威权主义兴起及隐私权丧失网络物理环境中的人为错误和针对老旧系统的攻击通过智能设备数据增强的针对性攻击缺乏对天基基础设施和物体的分析和控制高级混合威胁兴起专业技能短缺因跨境ICT服务供应商导致的单点故障人工智能技术滥用2030年年威胁威胁-13-*3+2030 45,6789:;=2030年十大新兴网络安全威胁年十大新兴网络安全威胁威胁威胁由于软件依赖性导致由于软件依赖性导致的供应链漏洞的供应链漏洞使用过多由第三方供应商和合作伙伴提供的集成组件和综合服务可能会导致不可预见的新漏洞，进而损害供应商

20、和客户的利益。高级虚假信息宣传活动高级虚假信息宣传活动在地缘政治原因和经济利益的驱使下，通过深度伪造攻击操纵特定群体。数字监控威权主义兴数字监控威权主义兴起及隐私权丧失起及隐私权丧失犯罪集团可能会窃取面部识别或数字身份信息，或对互联网平台进行数字化监控。网络物理环境中的人为错网络物理环境中的人为错误和针对老旧系统的攻击误和针对老旧系统的攻击在物联网快速普及、老旧系统与新兴技术不匹配以及技能长期短缺等因素作用下，人们可能会缺乏对网络物理环境的认识、了解，也没能开展足够的培训，从而引发安全问题。通过智能设备数据通过智能设备数据增强的针对性攻击增强的针对性攻击通过从连接互联网的智能设备中获取数据，攻

21、击者可以了解所需信息并定制更复杂的攻击计划。缺乏对天基基础设施和缺乏对天基基础设施和物体的分析和控制物体的分析和控制当前，太空中的私有和公共基础设施混在一起，缺乏对天基基础设施的了解、分析和控制容易导致这些设施易受攻击、服务中断，因此需要对这些新基础设施和技术的安全性进行分析。高级高级混合威胁兴起混合威胁兴起由于智能设备、云应用、网络身份和社交平台的数量在持续增加，离线物理攻击正不断演变，目前往往与网络攻击同时出现。专业专业技能短缺技能短缺由于规模和能力不足，技能严重缺乏、成熟度低的组织可能会成为网络犯罪集团的攻击目标。因因跨跨境境ICT服务供应商导服务供应商导致的致的单点故障单点故障信息与通

22、信技术领域能够连接运输、电网和跨境服务等重要行业。在未来的可能冲突场景中，跨境信息与通信技术服务供应商很可能成为后门、物理操纵和拒绝服务等技术的攻击目标，并被作为武器使用。人人工工智能技术智能技术滥滥用用人工智能算法和训练数据可用于加强恶意活动，例如创建虚假信息和虚假内容、利用用户偏好、收集生物特征识别数据和其他敏感数据、攻击军用机器人以及实施数据中毒攻击。-14-(AB(AB 报告旨在提高欧盟成员国和各相关方对未来网络安全威胁的认识，普及威胁防范措施，从而提高欧盟的网络安全弹性。具体目标包括以下四点：l 了解新兴威胁趋势和威胁模式；l 评估新兴挑战和风险；l 与各相关方、决策者和政策制定者合

23、作制定适当的风险缓解策略；l 提高欧盟应对网络安全威胁的韧性，制定针对新兴挑战的解决方案。从上述可看出，未来将存在形形色色的威胁，其中一些威胁已对现今世界产生重大影响。未来，欧盟仍需应对现在正面临的威胁，但可能威胁的性质会发生变化。研究人员发现，新技术的普及和对软件依赖性的提高是推动威胁性质变化的重要因素，这些因素使分析工作更加复杂，加大了人们理解威胁的难度。而预测分析法是研究威胁演变过程的重要工具，希望此次分析成果能为决策者和政策制定者应对安全威胁提供借鉴，不断提高欧盟应对网络安全威胁的韧性。CC(DEFG(DEFG -15-l 欧盟网络安全事件响应小组网络（https:/www.enisa

24、.europa.eu/topics/csirts-in-europe/csirts-network）l 点击浏览网站：https:/www.enisa.europa.eu/news/foresight_2030_infographic.png l 欧盟网络安全局威胁形势报告（https:/www.enisa.europa.eu/volatile-geopoliticsshake-thetrends-of-the-2022-cybersecurity-threat-landscape）l 网络问题工作组（https:/www.consilium.europa.eu/en/councileu/pr

25、eparatory-bodies/horizontal-working-party-on-cyber-issues/）l 网络与信息安全系统指令（https:/eur-lex.europa.eu/legalcontent/EN/TXT/?uri=uriserv:OJ.L.2016.194.01.0001.01.ENG&toc=OJ:L:2016:194:TOC）l 未来新兴网络安全挑战展望（https:/www.enisa.europa.eu/topics/iot-and-smart-infrastructures/artificial_intelligence/adhoc-working-g

26、roup-on-emerging-and-future-cybersecurity-challenges/terms-of-reference）l 欧盟网络安全局新闻网（mailto:pressenisa.Europa.eu）-16-l http:/www.enisa.europa.eu/media/news-items/news-wires/RSSl http:/www.enisa.europa.eu/media/press-releases/press-releases/RSS译 自：Cybersecurity Threats Fast-Forward 2030:Fasten your Security-Belt Before the Ride,November 2022 by the European Union Agency for Cybersecurity