ENISA預測:2030年組織將要面對5方面的網絡安全威脅
責編:gltian |2023-11-10 14:07:10技術和網絡安全行業面臨的永恒主題是“變化即常態”。隨著人類社會的技術、商業和工業活動不斷發展,網絡犯罪分子也總在尋找更先進的攻擊技術和模式。雖然目前還無法斷言未來的網絡安全威脅發展情況,但一些行業監管及研究機構已經開始關注并分析當前威脅形勢和技術應用狀態可能催生的新型網絡安全問題。
近期,歐盟網絡安全局(ENISA)發布了《展望2030網絡威脅》研究報告,對未來幾年可能出現或是會變得更加普遍的各種網絡安全問題進行了分析和預測。報告研究認為:到2030年,企業組織將要面臨供應鏈安全、人類活動弱點、技術陰暗面等5個方面的21種網絡安全威脅。
01?供應鏈挑戰和中斷
現代企業對供應鏈的依賴已經引起了威脅行為者的高度注意,這些行為者無論出于何種動機,都有可能造成企業的供應鏈中斷,從而對組織業務開展甚至對社會產生巨大影響。全球供應鏈的緊密聯系更為網絡犯罪分子提供了極具吸引力的目標,使其成為網絡攻擊的成熟領域。
1)軟件依賴項的供應鏈妥協
到2030年,隨著軟件行業供應鏈模式的進一步發展,軟件系統中將集成來自第三方供應商和合作伙伴的更多集成組件和服務。而鑒于市場對產品發布周期的速度要求,代碼重用和開源代碼庫的使用率將增加,由此可能產生新型未知漏洞。國家行為體組織或犯罪集團會使用破壞、盜竊、惡意代碼或其他方法來操縱這些軟件的依賴項和開發工具,進而造成中斷、故障和數據丟失。
2)篡改Deepfakes驗證軟件供應鏈
報告認為,深度學習仿造(Deepfakes)技術在2030年將得到廣泛應用。它很可能被用作騷擾、篡改證據和引發社會動蕩的一種形式。盡管分析視頻和聲音以驗證個人身份的驗證軟件可能會迅速涌現,但迫切的市場需求可能會讓程序員在開發時用犧牲安全性來換取速度優勢。在這種情況下,攻擊者將瞄準旨在分析Deepfake媒體的驗證軟件,使檢測Deepfake技術的能力失效。
3)惡意軟件植入破壞食品生產供應鏈
隨著食品生產的自動化和數字化程度不斷提高,食品供應鏈也可能會遭到網絡犯罪分子的破壞。例如,對包裝廠的拒絕服務(DDoS)攻擊會導致食品生產流程的中斷,對生產加工工具的惡意操縱,可能會改變食品本身所含有的成分。諸如此類的攻擊會導致食品短缺、經濟混亂,最惡劣的后果是會引發社會性恐慌事件。
02?人類行為弱點
雖然利用先進的安全技術對打擊網絡犯罪活動至關重要,但認識到人類網絡活動行為中的弱點也很重要。
4)先進的虛假信息欺騙
虛假信息欺騙活動指蓄意制造和傳播帶有政治目的的謊言,這與普通人犯錯誤或說謊不同。虛假信息活動可使用各種欺騙策略,還可利用各種新技術、新媒體以及傳統媒體來擴大分歧和煽動動亂。
到2030年,出于政治利益和經濟利益等原因,有國家政治背景的組織/犯罪集團可能會利用各種公開的視頻、圖片和個人語音記錄來訓練他們的人工智能進行deepfakes攻擊,以此擴大其虛假信息工作,進而操縱各種網絡社區。
更令人擔憂的現實是:生成式AI能被用于社交媒體上的虛假信息活動。眾所周知,臉書、推特、TikTok等平臺都在成為信息網絡戰的前線,生成式AI“染指”這一領域既能夠催生新的危險,也會放大現有的危險。
5)技術應用中的人為錯誤和歷史遺留問題
到2030年,隨著IT和OT的深度融合,傳統的物理隔離環境可能已不復存在,威脅將通過互聯的供應商員工和系統直接進入到OT系統。同時,企業部署的物聯網(IoT)設備越多,需要防御的攻擊面也隨之擴大。
此外,許多網絡犯罪分子可以在網絡上使用并學習所有遺留工業技術設備手冊,一旦他們發現其中存在任何風險和隱患,就會立即瞄準用戶設備或者其他在工廠中使用的物聯網產品,進而使用勒索軟件禁用重要基礎設施,導致故障、服務中斷和物理損壞。
6)專業人才短缺
到2030年,全球網絡安全專業人才及技能短缺的現象仍難以得到根本解決,并繼續可能對社會和政府構成重大風險。在人才短缺的大背景下,網絡犯罪分子可以利用組織發布的空缺職位信息,分析組織的技能組合和缺陷,以深入了解防御的缺口、潛在漏洞以及入侵系統和網絡的機會。此外,攻擊者還會嘗試獲取公開和封閉的信息,以收集組織的網絡信息,發現具有已知漏洞的遺留系統,進而發動大規模破壞攻擊。
03?先進技術的陰暗面
報告發現,惡意行為者非常善于利用先進技術來牟利,通過利用任何他們可以使用的技術來發動或強化攻擊。
7)數字隱私權的喪失
2030年,各國政府部門都會較廣泛地利用先進的監控技術、中間人攻擊、惡意軟件和濫用個人數據來跟蹤和控制他們認為有威脅的目標,這可能導致企業組織和個人的隱私泄露。因為在這種背景下,面部識別數據、互聯網平臺產生的數字監控記錄或在線數字身份等數據存儲很有可能成為各種犯罪集團的重點攻擊目標。
8)智能技術加劇針對性攻擊
2030年,對行為數據的收集可能會呈指數級增長。在這種情況下,網絡犯罪分子或雇傭黑客能夠利用智能設備提供的豐富數據(如身份信息、憑據等)獲得初始訪問權限,然后在網絡內橫向移動,以獲取更多敏感信息,從而創建出針對目標的準確且獨特的行為檔案,并根據目標個性化定制攻擊和跟蹤行動,以此造成經濟損失和隱私侵犯。
9)高級混合威脅的興起
到2030年,網絡攻擊的復雜性將進一步加劇。惡意行為者將利用在線和離線策略的組合來進行攻擊,導致隱私泄露、中斷或故障。混合威脅將發展到應用新技術和結合不同類型的利用機制,以逃避現有的檢測和響應系統。此外,隨著智能設備、云計算、在線身份和社交平臺等技術應用不斷增長,攻擊者將有更多新的領域可以利用和組合,以開發出更具創新性的攻擊載體。
10)人工智能技術濫用
2030年,對AI算法及訓練數據的操縱會使諸如制造虛假信息和新聞、偏差利用(bias exploitation)、采集生物信息和其他敏感數據、軍事機器人、數據中毒(data poisoning)等惡性行為的數量會日益增多。在AI技術濫用的背景下,由國家支持的個人或組織意圖在選舉期間挑撥民眾、操縱執法算法的學習數據(learning data)以針對特定人群。攻擊者還會利用AI技術分析政治對手的個人行蹤、健康史和投票記錄,并在此基礎上推測與政治對手自身有關的信息。
11)利用電子保健和基因數據
到2030年,基因和健康數據量將大幅增加,并掌握在公共和私營部門的許多利益攸關方手中。電子保健設備和包含敏感/基因信息的數據庫中的漏洞可能會被犯罪分子利用來針對個人,或被政府用于控制人口;例如,利用疾病和遺傳多樣性作為歧視個人的理由。此外,基因數據還可能遭到進一步濫用,以協助執法活動,如預測性治安或支持建設更加集中式的社會信用體系。
12)利用量子計算發起攻擊
到2030?年,量子計算(quantum computing)資源將得到更廣泛的利用,這為網絡犯罪分子利用量子計算攻擊現有的公鑰加密部署(public key cryptography)創造了便利。同樣,當下網絡犯罪分子收集敏感的加密數據,目的是能夠在量子計算可用時對其進行解密,這與當前使用非對稱加密技術進行身份驗證的數字 ID 尤為相關。
13)AI增強的網絡攻擊
由于人工智能工具不斷升級,網絡犯罪分子將利用基于人工智能的技術發動攻擊。為了抵御這些攻擊甚至是為了進行反擊,基于人工智能的防御性武器也是必不可少的。在這種情況下,如果反應速度的重要性很高,那么人工智能的行為便很難檢測、衡量和控制。
04?不完善的技術漏洞監測與限制能力
雖然惡意行為者可以直接利用先進的技術手段實施攻擊,但另一方面,他們也更加希望間接利用目標系統上的技術漏洞進行攻擊,這樣更加便捷和低成本。
14)缺乏對天基網絡系統的安全控制
到2030年,太空領域可能會發生更大的轉變,出現更多私有的網絡基礎設施。這個領域的快速增長將使許多關鍵服務成為可能,但從網絡安全的角度來看,卻缺乏對天基基礎設施的理解、分析和控制。由于太空中私人和公共基礎設施間的交集,攻擊者可能會通過多種方式獲取到對天基基礎設施的初始訪問,進而進行橫向移動以造成更大規模的故障、破壞或中斷。
15)跨境信息通信服務商成為單一故障點
2030年,技術互聯性將進一步加強,交通、醫療、電網和工業等基礎設施部門越來越依賴ICT服務提供商來連接互聯網并管理所有設備間的通信。在此背景下,攻擊者也將更廣泛使用欺詐、盜竊或其他方法破壞ICT提供商,導致關鍵基礎設施的廣泛破壞和中斷。鑒于ICT服務商需要連接多種關鍵網絡通信服務,它將成為后門、物理操縱和拒絕服務等技術的目標。
16)利用未打補丁和過時的系統
“一切即服務”(EaaS)導致大量的工具和服務需要消費者和提供者進行頻繁的更新和維護。再加上技能的短缺,使得管理漏洞攻擊面變得異常困難。此外,供應鏈的復雜性加劇了安全責任的混淆。對政府而言,這為間諜活動創造了更多后門,而網絡犯罪分子可以利用未打補丁和過時的服務獲取更多經濟利益。當關鍵基礎設施掌握在私營部門手中,或者國家安全數據依賴于單一的服務商時,情況將變得更加糟糕。
17)自然環境破壞對關鍵數字基礎設施的物理影響
到2030年,隨著環境災害的嚴重程度和頻率進一步惡化,將導致更頻繁的區域停電和其他不可預見的自然災害。維持關鍵基礎設施可用性的冗余備份站點也將受到更嚴重的影響。
18)操縱社會保障服務所需的應急系統
操縱與社會應急保障服務連接的網絡系統很可能會導致救護車、公安、消防等服務面臨超負荷的情況。例如,城市醫療呼叫中心可能會因虛假的求救信息而超負荷工作,或者火災警報可能會受到操縱,以傷害特定的個人或給應急小組定位問題設置阻礙。同樣地,社交媒體的濫用也可能會引發大規模恐慌,從而使應急系統不堪重負、面臨崩潰。
05?區塊鏈并發癥
近年來,由于數字貨幣的日益普及,區塊鏈技術應用已經嶄露頭角,而網絡犯罪分子很可能將區塊鏈技術視為高利潤和易得手的攻擊目標。
19)數字貨幣網絡犯罪
到2030年,使用數字貨幣的網絡犯罪將迅速增加。加密貨幣及其在市場上的廣泛應用,已經使有組織的犯罪集團得以擴大其活動范圍。由于數字貨幣在歐洲市場將被廣泛用作投資資產和支付手段,有組織的犯罪集團可能會擴大他們的目標。這意味著提供專業服務(網絡攻擊)的網絡犯罪集團將得到更好的資金支持,因為他們的工作效率和效果都有所提高。
20)區塊鏈的技術不兼容性
到2030年,不同的政府機構都會開發多種基于地區的區塊鏈技術,以創建一個國際“黃金標準”。每個技術集團的目標都是為了獲得競爭優勢,這可能會導致區塊鏈技術標準不兼容,從而造成不同區塊鏈接口的故障、數據丟失和漏洞利用。這給生態系統管理和數據保護帶來了挑戰,加劇了對區塊鏈的不信任感,并對貿易和GDP增長產生了負面影響。
21)公共區塊鏈的中斷
到2030年,區塊鏈技術將可能在社會生活的多個方面得以實施。但是,區塊鏈領域的安全專業知識卻不一定取得同樣顯著的進展,這就會產生一系列可能被利用的漏洞。例如,本地不可用的區塊鏈技術將阻止訪問投票、合法交易,甚至安全系統。另一種可能的攻擊媒介是通過劫持IP地址前綴來分割比特幣網絡,這可能導致重復支出,從而造成經濟損失。
報告原文鏈接:
https://www.enisa.europa.eu/publications/enisa-foresight-cybersecurity-threats-for-2030
來源:安全牛