2025 年網(wǎng)絡(luò)威脅趨勢預(yù)測報告

FaRTInET經(jīng)典攻擊手段的持續(xù)演進(jìn) 3高級持續(xù)性網(wǎng)絡(luò)犯罪數(shù)量加速增長 3 3 4 6擦除惡意軟件助攻擊者進(jìn)一步拓寬攻擊范圍 7 7 8攻擊鏈專業(yè)化趨勢顯現(xiàn) 8 8添加至購物車：暗網(wǎng)上兜售的自動化黑客工具 9 9攜手組建自動化反攻擊者框架，共同打擊網(wǎng)絡(luò)犯罪 9 增強集體彈性，共同應(yīng)對瞬息萬變的威脅態(tài)勢 2盡管威脅行為者依然沿用許多已經(jīng)存在了數(shù)十年的“經(jīng)典”戰(zhàn)術(shù)，但我們的年度威脅預(yù)測主要集中在那些網(wǎng)絡(luò)犯罪具破壞性，并且他們認(rèn)為更有效的攻擊上。本年度網(wǎng)絡(luò)威脅趨勢預(yù)測報告，針對長期網(wǎng)絡(luò)攻擊的演進(jìn)趨勢展開了深經(jīng)典攻擊手段的持續(xù)演進(jìn)多年來，我們已就眾多攻擊趨勢進(jìn)行了持續(xù)深入探討與分析，并在往期威脅發(fā)展趨勢預(yù)測報告中予者追捧的網(wǎng)絡(luò)犯罪手段，并預(yù)測其未來數(shù)月和數(shù)年內(nèi)的演進(jìn)趨勢。過程序（TTP）的種種攻擊實例，以及攻擊者利用人工智能技術(shù)大幅提升攻擊數(shù)量與速度，更大規(guī)模、更具破壞性的勒索軟件部署層出不窮APT組織正不斷推陳出新，積極挖掘并利用各類新發(fā)現(xiàn)漏洞，即便在安全防護(hù)措去年，我們預(yù)測了一些APT組織將采用更加隱蔽和創(chuàng)新的方法來發(fā)起攻擊的趨勢，而這一預(yù)測如今已成為現(xiàn)實。隨著與網(wǎng)絡(luò)犯罪分子的勾結(jié)日益加深，APT組織正以創(chuàng)紀(jì)錄的速度采納新的戰(zhàn)術(shù)、技術(shù)和程序（TTP）。例如，2024年夏天，我們觀察到GrimResource攻擊技術(shù)與遠(yuǎn)程AppDomain注入相結(jié)合的攻擊實例，這種新穎的技術(shù)組合，支持攻擊者將惡意代碼輕松注入隔離環(huán)境中的應(yīng)用程序域，顯著增加了傳統(tǒng)終端安全工具的檢測難度。APT29和APT41等組織，更是企圖通過為每個攻擊活動量身定制獨特的有效載荷，不斷挑戰(zhàn)安全防御的極限。例如，APT29一直在秘密部署高級內(nèi)存駐留惡意軟件，以避免在磁盤上留下任何蛛絲馬跡。與此同時，以活躍于間諜活動和經(jīng)濟利益驅(qū)動的入侵而臭名昭著的APT41，則不斷調(diào)整其有效載荷，企圖成功繞過每個目標(biāo)組織的特定檢測方法。這些自適應(yīng)技術(shù)的頻繁運用，充分揭露了APT組織如何不斷保持攻擊敏捷性和創(chuàng)新性。這一發(fā)現(xiàn)無疑給全球網(wǎng)絡(luò)安全防御者帶來持續(xù)且嚴(yán)峻多年來，攻擊者持續(xù)依賴少數(shù)久經(jīng)實戰(zhàn)的戰(zhàn)術(shù)、技術(shù)和程序（TTP）工具集成功執(zhí)行便已預(yù)見攻擊者將進(jìn)一步拓展TTP工具集范圍，特別是借助AI和其他新興技術(shù)的力量增強目標(biāo)攻擊能力。正如我們3我們還觀察到攻擊者正迅速部署新方法，以對抗許多組織為特定技術(shù)實施的保護(hù)措施。鑒于攻擊者用以繞過標(biāo)準(zhǔn)防御者不應(yīng)坐以待斃等待告警，而應(yīng)主動開展威脅狩獵，利用高級數(shù)據(jù)分析、行為分實施深度防御策略，意味著安全團隊需靈活運用網(wǎng)絡(luò)監(jiān)控、終端安全和異常檢測等多重安系。如此一來，即便某個防御環(huán)節(jié)被威脅所突破，其他防御層也能如一張張緊密編織的安全網(wǎng)，繼續(xù)發(fā)揮掌握并善用最前沿威脅情報，時刻保持對新興TTP的敏銳洞察，定期開展紅隊和藍(lán)隊模擬演練，可精準(zhǔn)識別組織防御體系中的漏洞或薄弱環(huán)節(jié)，并為攻擊者可能使用的這種高適應(yīng)性的多層防御策略，猶如一把銳利的“矛”，以持續(xù)學(xué)習(xí)為鋒，不斷磨礪；同時，又像一面堅固的“盾示例：攻擊者正利用大型語言模型（LLM）精心打影響：這種戰(zhàn)術(shù)能夠顯著提高魚叉式網(wǎng)絡(luò)釣魚攻擊的成功概率，令以往用來提醒用戶4各類在線內(nèi)容，進(jìn)而精心構(gòu)建出詳盡的社交工程檔案。通過對這些數(shù)據(jù)進(jìn)行綜合匯總和深度挖掘效率。在包含泄露憑據(jù)的大型數(shù)據(jù)集上訓(xùn)練的大型語n示例：攻擊者利用深度學(xué)習(xí)模型創(chuàng)建合成語音，以模仿特定目標(biāo)的結(jié)構(gòu)，成功逃避基于簽名的威脅檢測。攻擊者還可利用這些模型，編寫新的代碼片段或優(yōu)化現(xiàn)道，還可在社交媒體上發(fā)布誤導(dǎo)性的帖子和評論。特別是在選舉和健康危機等關(guān)乎社會穩(wěn)n影響：錯誤信息活動不僅損害聲譽，削弱公眾對權(quán)威機構(gòu)的正如Fortinet預(yù)測，過去一年間，侵略性攻網(wǎng)絡(luò)犯罪分子繼續(xù)以醫(yī)療保健提供商為目標(biāo)，以往發(fā)起的幾項重大攻擊事件患者生命安全。此類攻擊的頻頻得手，充分顯露出該行業(yè)在勒索軟件攻擊面前的脆弱性，更令人擔(dān)憂導(dǎo)致面向醫(yī)生和醫(yī)療機構(gòu)的付款中斷，以及處方計費故障和配藥一直以來，能源行業(yè)及其他關(guān)鍵領(lǐng)域公用事業(yè)提供商，一直是勒索軟件團伙競相瞄準(zhǔn)的主要攻企圖通過制造大規(guī)模破壞，索取高額贖金。勒索軟件的魔爪甚至還伸向了供水管理設(shè)施，嚴(yán)重干擾了送服務(wù)的正常運行。近期，一起惡性事件震驚社會，地方當(dāng)局不得不向受影響社區(qū)緊急發(fā)布“煮沸水措深刻暴露了公用事業(yè)部門面臨此類攻擊時的脆弱與無奈。更為嚴(yán)重的是，攻擊者不僅對數(shù)據(jù)進(jìn)行了篡改水質(zhì)參數(shù)，這一舉動無疑在公眾心中埋下了安全隱患，同時也揭示了威脅團伙正逐步采取更為激客針對一家汽車軟件供應(yīng)商發(fā)起B(yǎng)lackSuit勒索軟件攻擊，導(dǎo)致了北美多家汽題。4隨著攻擊者越來越多地利用加密技術(shù)以外的新型攻擊戰(zhàn)術(shù)，金了面向金融部門的攻擊出現(xiàn)以勒索為重點的方法演變，例如威脅受害組織暴露知名銀行客戶的財勒索軟件服務(wù)模式（RaaS）雖早已被熟知，但卻一如既往地支持更廣泛的網(wǎng)絡(luò)犯罪分子，在毫無專業(yè)技猖獗，頻繁借助勒索軟件服務(wù)模式（RaaS），跨多個行業(yè)或領(lǐng)域策劃并實施了多起影響深遠(yuǎn)的勒索軟件攻一起尤為引人注目的案例是，某國防工業(yè)政府承包商不幸淪為攻擊目標(biāo)，導(dǎo)致敏感合同信息外泄。BlackBasta正如預(yù)測，在過去的一年間，與采用傳統(tǒng)加密技術(shù)的勒索軟件相比，采用破壞性技術(shù)，特別是數(shù)據(jù)擦除法其中一種趨勢是將“擦除”惡意軟件集成至勒索軟件有效載荷，我們在以往報告中已討論過這一趨勢。這種Labs（Fortinet全球威脅情報響應(yīng)與研究實驗室）報告顯示，這些另一則示例涉及醫(yī)療保健業(yè)和制造業(yè)等依賴數(shù)據(jù)連續(xù)性行業(yè)。不法分子的攻擊目標(biāo)是此類行業(yè)中的運營技術(shù)（OT）和關(guān)鍵系統(tǒng)，他們企圖通過集成磁盤擦除功能，威脅永久性破壞系統(tǒng)，脅迫受害組織支付高昂贖金。因此，對于防御者而言，強大的事件響應(yīng)能力和完善的數(shù)據(jù)備份策略不容忽視。這些轉(zhuǎn)變反映了勒索軟件攻擊劇本呈現(xiàn)日益復(fù)雜且更激進(jìn)的趨勢，攻擊者正超越傳統(tǒng)加密手段，轉(zhuǎn)而利用包括擦除器功能在內(nèi)的更多高級技術(shù)，擴大攻擊影響力。若組織缺乏任何數(shù)據(jù)備份措施，一旦遭受攻擊，數(shù)據(jù)恢復(fù)的可能性近乎可能引發(fā)嚴(yán)重的社會與財務(wù)后果的行業(yè)。這面對全球各界對巴黎奧運會的濃厚興趣，攻擊者自然不會放過利用這場盛宴攫取不法利益的絕佳機會。FortiGuardLabs（Fortinet全球威脅情報響應(yīng)與研究實驗室）團隊觀察到，暗網(wǎng)中圍繞巴黎奧運會的資源收集活動呈現(xiàn)顯著增長趨勢。特別是針對法語用戶群體、法國政府機構(gòu)、法國企業(yè)以及法國基礎(chǔ)設(shè)施提供商的資源收集活動尤為突出。自2023下半年起，針對法國的暗網(wǎng)攻擊活動數(shù)量同樣，我們還目睹了與美國大選相關(guān)的各類威脅活動。通過對暗網(wǎng)進(jìn)行深入細(xì)致的分析，我隊，以誘人的低價向目標(biāo)選民和捐助者大肆兜售網(wǎng)絡(luò)釣魚工具包。與此同時，惡意域名的注冊數(shù)量也呈現(xiàn)明顯上升者精心構(gòu)建的網(wǎng)站，充斥著與選舉緊密相關(guān)的內(nèi)容，企圖以此作為誘餌，誘使受害者上當(dāng)受騙。6這一系列近年來，網(wǎng)絡(luò)犯罪分子在網(wǎng)絡(luò)攻擊鏈的初期偵察階段和武器化階段投入了更多時間和精力。因此，攻擊者得以更快速性攻擊。這種在攻擊前對目標(biāo)環(huán)境活動的深入探究，加之新漏洞的不斷涌現(xiàn)，為網(wǎng)絡(luò)犯罪即服務(wù)（CaaS）市場的崛起創(chuàng)過去，我們觀察到許多CaaS提供商充當(dāng)了“萬事通”，為買獨立的初始訪問經(jīng)紀(jì)人和基礎(chǔ)設(shè)施提供商不斷涌現(xiàn)，每個團伙都提供執(zhí)行某一攻擊階段所需的特定情報，然后將買家介我們預(yù)計，這些攻擊服務(wù)提供商的供應(yīng)鏈將呈現(xiàn)不斷擴大的態(tài)勢。例如，隨著惡意組織日益精進(jìn)其在各個領(lǐng)域的專日漸增強，為攻擊者提供了更廣泛的攻擊面，新的入侵機會層出不窮。雖然這些終端設(shè)備仍是攻擊者的關(guān)注目標(biāo)，但須同樣重視云環(huán)境這一攻擊面的新焦點。云環(huán)境已非新生事物，卻日益激發(fā)起網(wǎng)絡(luò)犯罪分子的濃厚興趣。我們觀察到據(jù)Fortinet2024年云安全報告顯示，78%的企多特定于云的漏洞，引發(fā)多起備受矚目的網(wǎng)絡(luò)事件。雖然部署多因素身份驗證等基本保護(hù)措施，有助于防范針對云應(yīng)用程序除了部署安全措施來保護(hù)云環(huán)境之外，云部署率的持續(xù)增長，還為網(wǎng)絡(luò)安全守護(hù)者提供了更廣泛的防量身定制的最佳實踐和控制措施，幫助組織借助共享知識和安全標(biāo)準(zhǔn)有效應(yīng)對特定威脅。增強云可見性、授予最低訪問控解決方案，對于構(gòu)建彈性網(wǎng)絡(luò)至關(guān)重要。網(wǎng)絡(luò)安全社區(qū)還可專注于構(gòu)建和采用更全面的云事件響應(yīng)劇本，增加特定于不出所料，攻擊者也將云視作潛力巨大的牟利領(lǐng)域。云環(huán)境為網(wǎng)絡(luò)犯罪團伙提供了全新的細(xì)分攻擊領(lǐng)域。我們注意交媒體偵察手段，將收集到的情報融入精心設(shè)計的網(wǎng)絡(luò)釣魚工具包，以此提升攻擊效果與效率。借助自動化優(yōu)勢無疑我們觀察到，近幾年網(wǎng)絡(luò)犯罪分子持續(xù)加大攻擊力度和籌碼。攻擊者已不再滿足于傳統(tǒng)“廣撒網(wǎng)和祈禱”式攻擊策的初期偵察，并轉(zhuǎn)而利用精心策劃的攻擊手段，力求成功滲透高價值目標(biāo)，以牟取可觀的回報。與此同時，攻擊劇本擊手段愈發(fā)具有侵略性和破壞性。從勒索軟件攻擊中擦除器使用量的不斷攀升便可窺見一二，揭示了網(wǎng)絡(luò)犯罪集團已這些攻擊策略的變化引發(fā)對未來目標(biāo)領(lǐng)域的思考，攻擊者接下來會將目光瞄準(zhǔn)誰或哪一領(lǐng)域。從當(dāng)前趨勢來看，攻攻擊劇本，將網(wǎng)絡(luò)攻擊與真實世界物理威脅相結(jié)合，以此造成更大的破壞和影響。例如，網(wǎng)絡(luò)犯罪分子可能以關(guān)鍵基縱電網(wǎng)工業(yè)控制系統(tǒng)，破壞或中斷公共服務(wù)運營，導(dǎo)致數(shù)據(jù)完整性受損，還可能嚴(yán)重影響實際運營。此外，我們預(yù)測門攻擊目標(biāo)，攻擊者可能將網(wǎng)絡(luò)攻擊與針對供應(yīng)鏈的威脅相結(jié)合，通過破壞企業(yè)的物流統(tǒng)，以達(dá)到擾亂或中斷現(xiàn)實世界實際運營的目的。面對這這意味著組織亟需擴展威脅響應(yīng)劇本，積極有效地應(yīng)對來自網(wǎng)絡(luò)空間和真實世界兩大層面的各類威脅。同時，還應(yīng)攻擊者正不斷升級攻擊策略，相應(yīng)地，整個網(wǎng)絡(luò)安全社區(qū)同樣能夠采取積極的對應(yīng)舉措，以先發(fā)制人的姿態(tài)迎擊威脅。建堅實的公私合作伙伴關(guān)系，以及精心制定威脅應(yīng)對框架，對于提升整體網(wǎng)絡(luò)彈性而言至關(guān)重要。以往，跨整個行業(yè)罪似乎不切實際，但如今社會各界正攜手推進(jìn)更多富有成n世界經(jīng)濟論壇網(wǎng)絡(luò)安全中心和打擊網(wǎng)絡(luò)犯罪合作聯(lián)盟（PAC），及其發(fā)起的網(wǎng)絡(luò)犯罪地圖集（CybercrimeAtlas）倡議，均匯聚了來自公共與私營部門的眾多組織。這些組織懷揣著共同的愿景，即攜手并肩，堅決打擊網(wǎng)絡(luò)犯罪，共同維護(hù)網(wǎng)絡(luò)空間的安全與秩序。9網(wǎng)絡(luò)犯罪地圖集（CybercrimeAtlas）是法部門大規(guī)模瓦解和挫敗網(wǎng)絡(luò)犯罪活動。該倡議以論壇打擊網(wǎng)絡(luò)犯罪合作聯(lián)細(xì)介紹各類犯罪行動、共享基礎(chǔ)設(shè)施和網(wǎng)絡(luò)，幫助執(zhí)法部門和政府機構(gòu)在全球范圍內(nèi)共同打擊網(wǎng)絡(luò)犯罪分子，徹底瓦述了該計劃的重要見解，這些見解同樣適用于其他類似合作實例。8該組織還發(fā)布了一項協(xié)作框架，旨在成為“定期在網(wǎng)絡(luò)安全社區(qū)之間共享威脅情報，有利于防御者汲取更為豐富的防御知識，助其有效識別并挫敗類似攻擊活業(yè)人員的踴躍參與，此類合作得以不斷深化和自動化，使我們能夠更加迅速地采取行動，攜手共筑安全防線，有效預(yù)傳統(tǒng)戰(zhàn)爭中，防御者往往處于劣勢。然而，從歷史的脈絡(luò)中審視網(wǎng)絡(luò)安全領(lǐng)域，我們或許能發(fā)現(xiàn)一些相似的道理，但如今情我們預(yù)測，更多組織將把AI技術(shù)集成至其更多安全團隊將采用支持預(yù)測功能的AI驅(qū)動型網(wǎng)絡(luò)犯罪分子總是不斷探尋各種新奇手段，企圖滲透至組織網(wǎng)絡(luò)。但幸運的是，網(wǎng)絡(luò)安全社區(qū)全行業(yè)的積極協(xié)作以及公私合作伙伴關(guān)系的持續(xù)深化，對于共同打擊網(wǎng)絡(luò)犯罪具有不容置疑的深遠(yuǎn)意義。我們有充分的幾年內(nèi)，參與協(xié)作的組織數(shù)量將持續(xù)增加。“人多力量大”的道理同樣適用于網(wǎng)絡(luò)安全領(lǐng)域。然而，建立聯(lián)盟是最有效但行動之一。各行各業(yè)的組織可以通過建立聯(lián)盟，共同應(yīng)對網(wǎng)絡(luò)犯罪帶來的諸多挑戰(zhàn)。而發(fā)展合作伙伴關(guān)系和交換信息則可當(dāng)公共和私營機構(gòu)彼此更加信任時，更多情些常見攻擊類型直接瞄準(zhǔn)個人用戶，凸顯了員工具備基本安全意識的重要性。持續(xù)開展信息安全意識和培訓(xùn)計劃除組織之外，從政府機構(gòu)到提供安全產(chǎn)品的安全廠商等其他實體，均有責(zé)任促進(jìn)并遵守強大的網(wǎng)絡(luò)優(yōu)先選購由網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）以及美國和國際合作伙伴定義的具開發(fā)的基石，可確保安全性始終貫徹設(shè)計與開發(fā)流程的每一個環(huán)節(jié)，更將堅實的安全控制措施根植于每款產(chǎn)品及服務(wù)中割的原生優(yōu)勢。Fortinet榮幸成為CISA安全設(shè)計承諾倡議的早期合作者和簽署者，該倡議要求參與者基其“安全設(shè)計”承諾，并展示可衡量的進(jìn)展，確保在設(shè)計階段即納入安全措施以增強產(chǎn)品的安全性。13隨著攻擊者不斷升級攻社會各界已達(dá)成共識：任何組織或安全團隊的力量都是有限的，單憑一己之力難以對抗網(wǎng)絡(luò)犯罪的持續(xù)猖獗。推動跨行作與伙伴關(guān)系至關(guān)重要，我們必須尋求新的合作方式，攜手并進(jìn)，憑借多方力量有效管理風(fēng)險，超越對手并主動反擊，大用戶提供及時且一致的頂級防護(hù)和可操作威脅情報，保護(hù)用戶免遭各類網(wǎng)絡(luò)攻擊。憑借遍布全球的數(shù)百萬個DouglasJosePereiradosSantos,KeyFindingsFromthe2H2023FortiGuardLabsThreatReport,Fortinet,May6,2024.RaphaelSatter,HackerForumPostClaimsUnitedHealthPaid$22MillionRansominBidtoRecoverData,Reuters,March5,2024.SamSabin,BlackSuitRansomwareLinkedtoAutoDealers’Outages,Axios,June24,2024.FS-ISACReleasesGuideforFinancialInstitutionsonRansomwareDefense,BankingJournal,October28,2024.DarkWebShowsCyberCriminalsareReadyforOlympics.AreYou?,Fortinet,July17,2024.FortinetFortiGuardLabsObservesDarknetActivityTargetingthe2024UnitedStatesPresidentialElection,Fortinet,October15,2024.FrederickHarris,KeyFindingsfromthe2024CloudSecurityReport,Fortinet,April23,2024.C