2030年会出现哪些新兴网络安全威胁？欧盟发布最新报告！

报告中确定的威胁和排名代表了一系列的主题，其中许多已经与今天相关。这项工作的结果表明，8年后，今天的许多威胁仍将是紧迫的，但其特征将发生变化，依赖性的增加以及新技术的民主化和发展对威胁的理解更加复杂。希望用户能够认识到威胁格局的变化，并着手准备，以确保面临威胁时的拥有足够的安全防御力。

图：十大威胁

使用的方法有四个阶段。

第一阶段，"合作探索"，是一个趋势研究和信息收集的阶段，整合了专家知识、反馈和验证。

第二阶段，"小组预测研讨会"，聚集了在PESTLE其中一个维度有经验的专家小组，进一步讨论、探索、评估和确定所确定的趋势的优先次序。

第三阶段，"威胁识别"，是基于威胁铸造7方法来识别未来10年内的新挑战。为此，网络安全专家小组被提供了一个结合优先趋势的情景。场景是工作的一个组成部分，以便沉浸在未来的趋势中，然而它们的具体描述可能并不影响对威胁的探索和识别。

情景只是作为一种媒介来传达与威胁有关的内容。小组通过建立人物形象和写一篇想象力丰富的科幻短文来探索这个场景。然后，专家们从敌对的角度出发，探索描述的未来中潜在的威胁者和脆弱性。这种视角的变化使小组能够确立对手的动机并定义可能的威胁。

然后对专家参与者确定的威胁在可能性、影响、新颖性以及威胁是否曾由ENISA发布等方面进行评分。新颖性在这个项目中被考虑，以便优先考虑不太知名的威胁。

下文对每种威胁进行了描述，重点是前十种威胁。威胁行为者是ENISA《2022年威胁形势报告》中描述的四个主要群体：国家支持的行为者、网络犯罪行为者、雇佣黑客和黑客活动家。所描述的方法参考了ENISA当前的威胁分类法。它将威胁分为以下高级类别：物理攻击（故意）、信息或IT资产的无意损害/损失、灾难（自然）、故障/失灵、中断、窃听/拦截/劫持、邪恶活动/滥用，以及法律。本报告的重点主要是有意的威胁；无意的威胁在此被认为是可能被威胁者利用的漏洞。威胁描述还包括与ENISA战略目标（SO）的联系。这种联系支持确定的威胁与ENISA正在进行的和未来的倡议之间的联系。

表1：情景-趋势关系图

表2：威胁与ENISA战略目标间的联系

到2030年，越来越多的组件和服务整合到新产品中。由于市场需要快速的产品发布周期，基于组件的编程将强烈增加，导致代码的重复使用和开源代码库的使用。虽然这些组件中的一些将被定期扫描以发现漏洞，但软件、硬件和基于组件的代码的结合将产生不受监控的互动和界面。这将导致新型未知漏洞，为恶意攻击者创造更多机会，从供应商和客户方面破坏供应链。

攻击者可以通过向代码组件添加后门来操纵这些软件的依赖性和开发工具。对攻击者来说，最简单的方法是操纵开放源代码库。如果更多地关注商业应用，攻击者可以通过几种技术获得初始访问权，包括偷渡式入侵或社会工程攻击。通过在供应商的软件组件中放置木马、droppers或rootkits，他们随后可以获得对其最终目标的网络访问，该目标在其组织中使用该硬件或软件组件。对其生产设施中的硬件进行物理篡改也是一种可能性。这需要攻击者对硬件组件的生产设施进行物理访问。攻击者将通过在设施中工作的内部人员合法地渗透到设施中，将处于一个理想的位置来篡改硬件，以达到破坏数据或系统的目的。一旦被破坏，国家行为者将购买被操纵的硬件或软件，将其安装在全国各地，并使自己受到非常广泛的攻击。另一种情况是，一个广泛使用的私人公司被入侵，即可获得敏感数据。

2030年，像犯罪集团、黑客雇佣者以及政府行为者这样的非国家行为者将可能拥有技术能力（例如，深度伪造），以扩大他们在欧盟的虚假信息工作，从而操纵社区。虽然深度伪造技术的应用允许犯罪集团或个人非法敛财，但通过伪造身份进行虚假宣传的主要动机是（地缘）政治性的，并且可能主要由国家行为者和其他有政治动机的行为者进行。数据源无法估量；对手可以利用各种公开的视频、图片和个人的语音记录来训练他们的人工智能进行深度造假攻击。生物识别面部图像特别容易受到变形攻击，在这种情况下，威胁者可以高度准确地冒充他们的目标。Deepfake技术也可以创造出人眼无法区分的不真实的脸。因此，对手可以创造出逼真的化身，超越了目前已经拥有精心设计的配置文件的社交媒体机器人。未来能够影响选举和公众信任的机器人也会在社交媒体上分享自己的视频，明显地参与到辩论中。虚假信息活动可以通过人工智能文本或语音分析进一步加强，提供个性化的回应。

犯罪分子越来越多地通过定位追踪、公共摄像头和面部识别等技术被识别出来。通过公共领域的面部识别技术，互联网平台上的数字监控的增加，或数字身份的采用，欧洲的个人自由可能会为了安全和保障而被限制。私营部门也发挥着重要作用，特别是当主要的面部识别技术或内容平台被单一的市场领导者所主导时。提供面部识别技术或内容平台的单一供应商将成为目标，因为他们拥有大量的综合语音和图像数据。此外，私营公司的行动可能并不总是与数据保护和安全要求一致。政府（包括执法部门）和私营企业作为公私合作的一部分，可以在其法律范围内合法地收集个人数据，包括生物识别数据。这给隐私监管机构和公众带来了挑战，以确保保护其隐私的法律得到执行。此外，它要求所有收集这些数据的实体拥有必要的防御机制。一旦对手获得了对网络的访问权，就可以从事数据的自动收集，可能包括命令和脚本解释器以及API、命令行接口，或云环境中的提取、转换和加载（ETL）服务。一个用例包括执法部门或在线警戒者滥用所收集的数据。执法部门或在线义警社区滥用所收集的数据来追踪潜在的罪犯。

2030年，行为数据的收集将指数级增加。在日常生活中，智能设备的使用将显著增加；来自生活各方面的数据将被收集，导致每个用户的准确和独特的行为档案。收集的数据可能包括来自可穿戴设备和医疗设备的健康数据，或智能家居中的物联网设备，这些设备收集家中的行为信息、运动数据，或在线平台上的行为。由于智能设备安全性较弱，因为设备数量庞大，而且缺乏终端用户意识，这些数据有被利用的危险。智能边缘设备已经很难防止被操纵和窃听了。犯罪集团将试图获得大量的数据，根据用户的行为特征定制社会工程攻击。这些社会工程攻击的复杂程度将挑战终端用户、执法部门和政府，以寻找新的方法来防止社会工程和改善认证。

攻击者可能通过未打补丁或仍在运行默认设置的互联网连接的智能设备获得初始访问。犯罪分子和雇佣的黑客将收集受害者的身份信息、凭证和联系信息，以获得初始访问权，然后在网络内横向移动，以获取更多敏感信息。攻击者将使用自动数据收集和渗透，关联和解释数据以创建受害者的行为档案。攻击者将使用持久性技术来维持他们的立足点。

由于空间的私人和公共基础设施之间的交集，攻击者可以通过瞄准私人行为者获得对天基基础设施的初始访问、 政府机构或与基础设施互动的个人。由于政府和社会在很大程度上依赖卫星（如GPS），国家支持的攻击者和黑客雇佣者将试图通过供应链攻击获得对硬件的初步访问，并使用技术来在空间基础设施中保持他们的存在，包括基站是连接卫星和一个中央地面枢纽的收发器，该枢纽将卫星连接到一个网络。它们是攻击者将以拒绝服务攻击为目标的一个关键要素，以破坏重要的军事和民用系统。攻击者将使用现有的技术来躲避 攻击者将利用现有的技术来躲避防御和检测机制，但在他们执行他们的攻击之前，仍处于休眠状态。战略上，例如在冲突期间，作为混合战争的手段。天基武器的引入可能会改变地缘政治范式。

到2030年，网络攻击将变得更加复杂，并将与物理或离线攻击相匹配。攻击方法不断发展，并经常结合在一起--以顺序和平行的方式--来达到其目标。这些混合行动由于其复杂性和单独对待每一次攻击的趋势，更难被发现和防御。随着新的运作方式的出现，检测工具需要更大的关联能力，包括将看似不相关的事件联系起来。因此，它们对政府、公司和公民都构成了越来越大的挑战。在过去，混合攻击主要是由国家行为者执行的，是传统战争和网络战争的结合。在2030年，混合威胁已经发展到应用新技术和结合不同类型的利用机制，以逃避现有的反应系统。随着智能设备、云计算使用的增加，更多的在线身份和社交平台，以及政府颁发的数字身份证，攻击者将有各种新的领域可以使用和组合，以创造创造性的攻击载体。

到2030年，技能短缺的问题将不会得到解决。虽然未填补的网络安全职位的增长已经趋于平缓，但技能短缺将继续对社会和政府构成重大风险。影响2030年威胁的一个相关因素是组织愿意（和资源）扩大人员和发展人才。即使有意愿，由于缺乏技能和网络安全功能的整体成熟度也将受到影响。在传统技术的基础上 除了传统技术的短缺，智能设备、人工智能、天基基础设施或量子计算等新技术将带来新的网络安全挑战。犯罪团伙将瞄准那些有大量未填补网络安全职位的组织、机构和公司，寻找漏洞，并利用这些漏洞获取经济利益。

攻击者会分析组织的技能组合和缺陷，以深入了解防御的弱点、潜在的漏洞以及利用其系统和网络的机会。公开的招聘广告通常会提供详细的信息，说明公司或政府机构目前缺乏哪些技能。

公共招聘广告通常会提供公司或政府机构目前缺乏哪些技能的详细信息，让攻击者了解到可能的进入载体。此外，攻击者会试图获得公开和封闭的信息，以收集组织和网络信息，发现具有已知漏洞的遗留系统。另外，在新技术的开发过程中，由于缺乏整体技术工人，有资格实施安全的员工没有足够的带宽在上市前应用安全。

2030年，技术互联性将得到加强。由于交通、医疗、电网和工业等基础设施部门越来越依赖ICT服务提供商来连接互联网并管理所有设备间的通信，物理网络边界将进一步模糊。

ICT服务供应商及其基础设施，包括卫星技术，因此可能是唯一的一个被影响的国家。是社会的支柱，因此可能是一个单一的故障点。智能城市是一个例子，说明10年后，运营网络将变得更加重要。因此，这些服务提供者将可能成为政府、恐怖分子和犯罪集团的目标。利用其基础设施的漏洞，使用混合攻击来获取其网络、终端、数据中心 或其他ICT基础设施的物理组件，可能会使城市和整个地区陷入瘫痪。外国政府可能试图利用这一点来破坏国家的稳定，恐怖分子可能利用这一点来加剧恐惧并达到政治目的，犯罪集团可能利用这一点来破坏国家的稳定。实现政治目标，而犯罪集团则挟持城市。

在未来的冲突中，ICT基础设施可能会被武器化。ICT供应商将不得不抵御国家支持的、持续的和高度发展的攻击，这些攻击借鉴了政府情报机构和进攻性网络能力的见解。专门用于这种攻击的资源是巨大的，攻击者会花时间来逃避传统的反应功能，并可能会部署混合攻击来实现初始访问和新开发的具有指挥和控制能力的漏洞。由于信息和通信技术部门连接着如此多的关键服务，由于可以实现的破坏规模，它将成为后门、物理操纵和拒绝服务等技术的目标。

人工智能从一开始就可以通过训练操纵和对抗性攻击（除其他外）在其整个生命周期内被操纵。在20世纪初，人工智能中的无意识偏见是一个众所周知的问题，然而在2030年，存在着故意操纵人工智能算法和训练数据的真正威胁。同样，对人工智能算法的任何破坏性训练都可能训练它们对高风险部门做出错误的决定。

威胁者将试图利用人工智能应用程序的力量来塑造决策结果，并收集关于潜在受害者的信息。例如，他们可能会篡改训练数据集，以创建功能失调和有害的人工智能应用程序，这可能包括众包数据项目。人工智能可以用来筛选关于个人的大量数据，以关联关于数据这种能力的存在可能会导致跟踪软件的增加。此外，攻击者可能将人工智能用于攻击性或犯罪目的。

为了确定威胁，项目组首先启动了一个关于未来趋势的深入研究项目。在此研究的基础上，项目组创建了一个长长的趋势清单，然后由一个不同的专家小组在以PESTLE为主题（政治、经济、社会、技术、环境和法律）的研讨会上缩小了范围，进行了讨论和分析。作为 作为后续步骤，网络安全专家根据对可能的未来的研究，确定了前一章中提到的威胁。专家们根据对当前和未来可能出现的未来的研究，

下面是一个被优先考虑的趋势的概述，根据其影响和可能性的得分，用颜色编码。以下是被优先考虑的趋势概览，根据其影响和可能性（1-5分）用颜色编码。

 图：PESTLE趋势雷达

预见是一个多方面的工具，通过它可以收集有针对性的集体智慧，通过它可以提取大量有洞察力的二手数据。当参与者评估了 潜在的趋势，对话也转向了趋势之间的关系。这些 参考和关系在下面的图形中得到了可视化。

图：趋势间的相互作用

这张图片显示了专家们在研讨会期间在不同趋势之间建立的联系。PESTLE39维度中的趋势名称已被翻译成趋势ID，以简化图片。（上图）中显示的趋势ID可以在下面的章节中找到部分。

在某些情况下，一个趋势与其他趋势的关系导致了聚类，因此制定了新的趋势标签来涵盖其中的所有趋势。在其他情况下，这些趋势被单独考虑，并确定了这些趋势之间的共同点。这些相似性在这个可视化中通过灰色的连接线显示出来。趋势之间特别突出的联系用红线连接。如前所述，参与者根据趋势的潜在影响和发生的可能性对其进行评分--那些被评为特别高的趋势以红色勾勒出来。

本节记录了每个PESTLE维度的主要趋势。

在整个一年中，一组被告知前一个项目的人将收集改变分析的新趋势、事件或变化驱动因素的证据。数据收集应该在一个集中化的数据平台上解决，以收集事件和趋势。该数据库应该是开放的，趋势信息可以来自其他趋势报告、科学论文和期刊、供应商的漏洞警告、媒体报道或内部趋势情报等。在可能的情况下，趋势或新信息可以来自其他来源，如黑客活动、模拟游戏或消费者保护组织。最好的信息是由一个具有不同观点的庞大而多样的社区收集的。最好的信息是由一个具有不同观点的大型多元化社区收集的。收集的数据不一定是趋势--它可能是有可能产生新威胁或改变现有威胁的事件，如技术中断（如深度造假的操作化），政治不稳定/稳定（如乌克兰冲突扩大到其他欧洲国家）等。数据点可能包括突发危机--这些不会被作为这个过程的一部分进行分析。然而，在ENISA的预见性挑战报告中，有一个创新的短期规划的建议过程。

每年举行一次研讨会，与来自PESTLE层面和网络安全的专家讨论收集到的可能改变威胁分析的趋势或事件。由于趋势背景（PESTLE）的跨学科性质，建议与每个PESTLE的专家举行一次研讨会。由于趋势背景（PESTLE）的跨学科性，建议与来自每个PESTLE维度的专家和网络安全专家举行研讨会。被选中参加这个研讨会的人应该参与到正在进行的数据收集中，这可以确保连续性和承诺。

最后一个阶段是将研讨会的结果与之前的威胁报告进行比较。然后对清单进行更新，说明为什么出现了新的威胁、改变了威胁或删除了威胁的理由。出现、改变或被删除的理由。