2024-2030年值得關注的10種新興網絡安全威脅


01
軟件依賴項的供應鏈妥協
隨著軟件行業供應鏈模式的進一步發展,軟件系統中將集成來自第三方供應商和合作伙伴的更多集成組件和服務。而鑒于市場對產品發布周期的速度要求,代碼重用和開源代碼庫的使用率將增加,由此可能產生新型未知漏洞。國家行為體組織或犯罪集團會使用破壞、盜竊、惡意代碼或其他方法來操縱這些軟件的依賴項和開發工具,進而造成中斷、故障和數據丟失。
02
專業網絡安全技能缺口加劇
網絡安全本質其實就是攻防能力間的對抗、博弈。對于防護者而言,專業技能缺乏可能會導致更嚴重的網絡犯罪,而那些技能缺口嚴重、安全成熟度低的組織將成為黑客們的重點攻擊目標。同時,在人才短缺的大背景下,網絡犯罪分子可以利用組織發布的空缺職位信息,分析組織的技能組合和缺陷,以深入了解防御的缺口、潛在漏洞以及入侵系統和網絡的機會。
03
新型網絡生態系統中的人為錯誤
物聯網的快速采用、對歷史遺留系統的改造需求以及持續的技能短缺可能導致企業組織缺乏對未來新型網絡生態系統的認知、培訓和理解,從而導致人為網絡安全問題出現。如今,幾乎所有OT設備的使用操作手冊都可以在線獲得,而這些往往也是國家背景黑客組織的研究重點。一旦發現漏洞,他們就會瞄準工廠使用的用戶設備或其他物聯網產品進行攻擊。
04
老舊系統中的漏洞利用
“萬物即服務”(Everything-as-a-service)催生了大量的工具和服務,這些工具和服務需要頻繁更新和精心維護。然而,在專業網絡安全技能短缺的情況下,會出現大量難以管理的漏洞攻擊面,這些漏洞可能被威脅行為者利用。同時,攻擊者還會對一些過時但仍在使用的應用系統發動勒索軟件攻擊,這些系統由于制造商不再提供版本更新,其中的漏洞將更加難以得到及時修補。
05
數字監控霸權的興起
目前,各國政府部門都在廣泛地利用先進的監控技術、中間人攻擊、惡意軟件和濫用個人數據來跟蹤和控制他們認為有威脅的目標,這可能導致企業組織和個人的隱私泄露。在此背景下,面部識別數據、互聯網平臺產生的數字監控記錄或在線數字身份等數據存儲都有可能成為各種犯罪集團的重點攻擊目標。
06
跨境信息通信服務商成為單一故障點
隨著組織的技術互聯性需求進一步加強,交通、醫療、電網和工業等基礎設施部門越來越依賴ICT服務提供商來連接互聯網并管理所有設備間的通信。在此背景下,攻擊者也將更廣泛使用欺詐、盜竊或其他方法破壞ICT提供商,導致關鍵基礎設施的廣泛破壞和中斷。鑒于ICT服務商需要連接多種關鍵網絡通信服務,它將成為后門、物理操縱和拒絕服務等技術的目標。
07
更先進的虛假信息欺騙
虛假信息欺騙活動指蓄意制造和傳播帶有政治目的的謊言,這與普通人犯錯誤或說謊不同。虛假信息活動可使用各種欺騙策略,還可利用各種新技術、新媒體以及傳統媒體來擴大分歧和煽動動亂。更令人擔憂的現實是:生成式AI能被用于社交媒體上的虛假信息活動。眾所周知,臉書、推特等平臺都在成為信息網絡戰的前線,生成式AI“染指”這一領域既能夠催生新的危險,也會放大現有的危險。
08
高級混合威脅的興起
09
人工智能技術濫用
10
自然環境對關鍵數字基礎設施的破壞性影響