【国际视野】美国国土安全部发布《国土威胁评估》报告

“

天极按

近日，美国国土安全部发布《国土威胁评估》报告，全面分析了美国当前面临的复杂威胁因素，，如暴力极端分子、跨国犯罪组织(TCO)、敌对民族国家和恶意网络行为者对公共安全、边境安全、关键基础设施和经济等。

美国国土面临着来自暴力极端分子、跨国犯罪组织(TCO)、敌对民族国家和恶意网络行为者对公共安全、边境安全、关键基础设施和经济的一系列复杂威胁。这些威胁的范围和目的各不相同，但有时会以意想不到的方式相互叠加，对我们的社区造成危害，并对美国经济造成代价高昂的破坏。同时，技术进步、气候变化和自然灾害有可能加剧上述的威胁程度。

公共安全与安保

明年，国内外暴力极端主义分子、非法毒品的有害影响、敌对国家试图加剧我们的分裂以及压制侨民社区的批评，这些都将对国土的公共安全和安保构成威胁。具体而言，由于各种因素的叠加，预计明年美国的恐怖主义威胁环境仍将居高不下。这些因素包括暴力极端分子对国内社会政治发展和2024年大选周期的反应，反对派组织在本土发动或煽动袭击的持久意图，以及国外成功的恐怖袭击和中东持续的冲突对一系列暴力参与者的激励作用。尽管恐怖主义对我国构成致命和破坏稳定的威胁，但跨国和国内犯罪参与者生产、贩运和销售非法毒品仍然是对美国社区最致命和最持久的威胁。

恐怖主义

展望2025 年，来自美国的暴力极端分子，包括受各种意识形态驱使的DVE 和受 FTO煽动的本土暴力极端分子（HVE）的暴力威胁仍将居高不下。这种威胁的主要特征仍将是由种族、宗教、性别或反政府不满情绪、阴谋论和个性化因素共同激发的单独犯罪者或小团体的暴力行为。

非法毒品

预计走私到美国并在美国销售的非法毒品将继续比其他任何有害的安全威胁造成更多美国人死亡。尽管美国疾病控制和预防中心追踪的吸毒过量人数在2023 年出现了自2018年以来的首次下降，但每年仍有数以万计的美国人死于吸毒。虽然芬太尼的缉获量大大低于甲基苯丙胺和可卡因的缉获量，但由于其效力、致命性和可获得性，芬太尼仍然是最令人担忧的问题。

民族国家：影响行动和跨国镇压

预计国家行为体将继续对国土和公共安全构成一系列威胁。具体来说，伊朗和俄罗斯将使用颠覆、不公开、犯罪和胁迫等多种手段，寻找新的机会来破坏人们对美国民主制度和国内社会凝聚力的信心。人工智能的进步很可能使外国对手能够提高其错误、虚假和恶意信息的产量、及时性和可感知的真实性，从而影响美国受众，同时掩盖或歪曲内容的来源。

俄罗斯很可能会继续利用国家支持的传统媒体、不真实的网站、社交媒体网络、在线机器人等来扩大亲克里姆林宫的言论，并开展针对美国的信息行动。例如，在过去一年中，俄罗斯影响力行动者扩大了有关美国移民潮的报道，以挑起美国国内的不和。俄罗斯的一个恶意影响活动使用生成式人工智能，在不真实的网站上创建时事新闻文章，以显示为可识别的西方和美国媒体机构。
自 2022年入侵乌克兰以来，俄罗斯的信息行动主要集中在为其行动辩护，并寻求减少美国国内和西方对基辅的支持。为了支持这些努力，莫斯科还在利用 “雇佣影响力 ”公司，据称是独立的、与政府无关联的实体,来扩大美国受众的范围，并通过掩盖莫斯科与这些公司在宣传亲克里姆林宫言论方面的联系来加强行动安全。
伊朗的对外影响活动正变得越来越咄咄逼人，试图挑起不和，破坏人们对民主体制的信心。在过去一年中，伊朗的信息行动主要集中在削弱美国公众对以色列的支持以及以色列对2023 年 10月 7日哈马斯恐怖袭击的回应。这些努力包括利用正在进行的有关冲突的抗议活动，在网上假扮活动家，以及鼓励抗议活动。在2020 年美国总统选举之前，伊朗还试图扩大分裂性言论，以煽动暴力、影响美国选民并降低对选举进程的信任。
在美国，民族国家也在继续从事针对少数民族和宗教少数群体、持不同政见者和记者的跨国镇压活动。
伊朗几乎可以肯定将继续针对以美国为基地的伊朗持不同政见者，因为伊朗将他们的反政府活动视为生存威胁。在过去几年中，伊朗利用美国人、伊朗侨民和第三国国民来监视、骚扰和恐吓伊朗政权的持不同政见者。自伊朗革命初期以来，伊朗一直使用暴力，包括谋杀，对付在美国的反伊朗政权人士，并在全球范围内迫害反伊朗政权人士，这加强了我们的评估，即伊朗将继续在本土追捕持不同政见者。

威胁行为者可能关注2024年选举周期

选举程序对威胁行为者来说是一个极具吸引力的目标，预计许多威胁行为者将试图影响2024年的选举周期，还有一些威胁行为者可能试图访问或干扰选举系统。虽然执法部门仍在调查针对美国前总统的明显暗杀企图背后的动机，但这些事件凸显了围绕选举周期的威胁的严重性。一些DVE，特别是那些出于反政府或党派问题动机的DVE，很可能会将与选举间接或直接相关的各种目标视为可行的暴力目标，目的是在选民、候选人和选举工作人员中制造恐惧，并在11 月选举之前和之后破坏选举进程。

外国恶意影响者几乎肯定会以联邦、州和地方政府的民主进程为目标，旨在影响美国选民的偏好，加剧社会紧张局势，破坏对我们的民主机构和进程（包括选举运作）的信心。另外，与国家有关的外国网络行为者和网络罪犯几乎肯定会将支持美国选举的网络基础设施视为有吸引力的目标。然而，没有任何报告表明，外国敌对势力对此类系统的攻击曾阻止过合格选民投票，损害过所投选票的完整性，或破坏过及时统计选票或传送选举结果的能力。

预计，DVEs将对政府官员、选民以及选举相关人员和基础设施（包括投票站、选票投放箱地点、选民登记点、竞选活动、政党办公室和计票点）构成最严重的人身威胁。特别是反政府或反当局的DVE，其中许多人可能受到党派政策不满或阴谋论的煽动，他们将构成最严重的威胁。
在一些DVEs 经常光顾的论坛上，越来越多的在线用户呼吁采取与2024年选举周期相关的暴力行动，并试图推动暴力行动来应对政治和社会分歧话题预计DVE将在来年继续依靠这些问题来为暴力辩护，并推动其事业的发展。
随着大选的临近，预计外国恶意影响者将更多地公开和秘密利用媒体渠道、不真实的社交媒体账户网络和影响力代理人来洗白和传播其偏好的言论，并推进其与选举相关的目标。俄罗斯瞄准特定的选民群体，宣扬分裂性言论，
美国的选举基础设施，包括选民登记数据库和相关的信息技术（IT）基础设施和系统，可能会成为大量投机取巧的恶意网络行为者的攻击目标。这些关键的选举组件和系统通常保存着美国人的敏感个人身份信息，其中许多信息也可能是公开或商业可用的，这些信息可能被用来为后续的外国恶意影响活动或其他非法活动提供便利。出于经济动机的网络犯罪分子可能会渗透并窃取这些系统中的信息，在网上出售或将所获信息用于其他非法或犯罪目的，如欺诈、诈骗或其他网络行动。恶意网络行为者还可能针对选举工作人员、政党和竞选工作人员及志愿者、州和地方政府雇员等个人，使用以选举为主题的鱼叉式网络钓鱼，有针对性的网络钓鱼和网络诈骗，以进入相关网络，包括与选举有关的目标，收集情报或其他敏感信息。情报界确信，伊朗行为者通过社交工程和其他努力，试图接触可直接参与两个政党总统竞选活动的个人。

边境与移民安全

过去几年中面临的具有挑战性的边境和移民安全趋势可能会继续下去。与移民相遇的次数已从2023 年12 月的月度最高纪录有所下降，7月份美墨边境的相遇次数达到了三年多来的最低值。尽管如此，推动移民人数激增的因素依然存在，包括移民母国持续低迷的经济、社会和政治状况以及美国经济的相对强势。作为移民潮的一部分，我们还遇到了恐怖分子筛查数据集中的个人，即所谓的 “恐怖分子监视名单”。该名单上的个人与表明其可能直接参与或支持恐怖活动的信息有关，也与被列入观察名单的个人的已知同伙有关。如果在移民过程中遇到这样的人，列入名单就会引发更严格的审查。贩毒组织同样利用这种复杂的环境，往往通过入境口岸将致命毒品偷运出境，并对寻求进入美国的移民进行敲诈和误导。我们预计，塔利班组织将继续演变其战术，使用新技术，并努力腐蚀和破坏伙伴国家的安全部队和法治。

以墨西哥为基地的跨国犯罪组织将继续利用美国边境复杂的安全环境，向我国边境走私毒品和移民。与过去几年一样，这些组织在墨西哥使用暴力、胁迫和贿赂手段来保护和扩大其收入来源，并进入美国边境口岸；他们还不断开发新战术和使用新技术来逃避边境安全努力。2025年国土威胁评估

人口贩运，特别是性贩运和强迫劳动，对贩运受害者造成身体、心理和经济伤害，并影响边境安全、公共安全和健康以及美国经济。人贩子继续在国内外剥削受害者，包括剥削儿童受害者。美国各州、地区和司法管辖区都有人口贩运案件的报告。

关键基础设施安全

明年，国内外对手几乎肯定会继续威胁美国关键基础设施的完整性，部分原因是他们认为以这些部门为目标会对美国工业和我们的生活水平产生连带影响。我们尤其关注民族国家网络行为者对美国关键基础设施的可信威胁。

针对关键基础设施的破坏性网络攻击

美国正面临着不断变化的威胁，这些威胁来自高度复杂的民族国家网络行为者、具有意识形态动机的黑客犯罪分子，以及具有经济动机的网络犯罪分子。预计，敌对国家的网络行为者将继续寻求访问美国关键基础设施网络，或在这些网络上预先部署。乌克兰和加沙正在发生的冲突导致一系列出于意识形态动机的黑客犯罪分子和敌对国家的相关人员对美国的关键基础设施发动网络攻击。

伊朗政府和其他同情德黑兰利益的网络行为体将继续针对美国的关键基础设施和其他目标，以报复美国在加沙冲突期间对以色列的支持。伊朗将使用一系列机会主义战术，包括利用公开的软件和硬件漏洞、社会工程学技术和公开的网络安全工具。在哈马斯于2023 年10月对以色列发动攻击后，数十个亲伊朗的黑客犯罪团伙主要对以色列、巴勒斯坦和美国的网络和网站进行了低级网络攻击，如分布式拒绝服务攻击。同年11月晚些时候，伊朗伊斯兰革命卫队下属的网络行为者，表面上冒充黑客犯罪团伙，使用默认凭据成功入侵和破坏了美国关键基础设施部门实体使用的以色列制造的OT 设备。
俄罗斯国家支持的网络行为者继续寻求各种方法来提高其隐秘执行网络行动的复杂能力，并找出他们可以利用的新漏洞来攻击各种关键基础设施目标。2023年末，这些行动者获取了一家大型IT公司的内部电子邮件，包括其网络安全团队的电子邮件，这可能为他们未来的活动提供独特的见解，并使受害者更难发现他们的活动。
预计同情俄罗斯的黑客犯罪分子将继续对保护不力的西方关键基础设施发动破坏性网络攻击，以削弱美国支持乌克兰的决心。2022年俄罗斯入侵乌克兰后，黑客犯罪分子承诺支持俄罗斯政府，并以美国和其他向乌克兰提供物质支持的国家为攻击目标。2024年1月，亲俄罗斯的黑客犯罪分子破坏了美国多个城市的配水系统，显示了黑客犯罪分子破坏美国关键基础设施实体的意图和能力。

有经济动机的网络犯罪分子和与国家有关联的行为者将继续使用勒索软件和其他阴谋，破坏目标美国关键基础设施实体，并给受害者带来巨大的经济损失。出于经济动机的网络犯罪分子与其他恶意网络威胁行为者类似，会不断发展和调整，以利用软件漏洞、网络安全配置不佳和社会工程学策略来获取系统访问权。勒索软件行为者可能会继续投机取巧，将目标锁定在他们认为能提供最大回报的受害者身上。

2023年（最新年度数据），勒索软件行为者攻击了美国大多数关键基础设施部门的实体，对受害者进行经济勒索；我们预计，医疗保健和公共卫生（HPH）、关键制造、IT、金融服务以及政府服务和设施部门仍将是受影响最严重的目标。
在 2023财年，医疗保健和公共卫生行业报告的勒索软件攻击增加了18%。2024财政年度，针对该行业的勒索软件攻击造成了地方和国家层面的患者护理和服务中断。2023日历年末，一家大型全国性医院提供商的IT网络遭到勒索软件攻击，导致多个州的附属医疗保健提供商的服务中断。2024年，美国最大的处方药支付交换平台遭到勒索软件攻击，导致全国范围内的药房和医院服务中断至少两周，支付的赎金超过2000 万美元。
朝鲜网络行为者几乎肯定会继续以美国金融实体为目标，包括个人、风险投资公司、交易所，特别是与加密货币相关的用户和实体，以资助平壤的战略优先事项和武器计划，并减少国际制裁的影响。在过去几年中，这些行为者已经窃取了数亿美元的加密货币。

针对关键基础设施的破坏性和毁灭性物理攻击

暴力极端分子和犯罪分子出于各种动机--有些动机尚不明确，可能会继续要求并实施针对美国关键基础设施的物理攻击。暴力极端分子认为此类袭击可推进其意识形态和社会政治目标，这一趋势与历史上的驱动因素是一致的。去年，DVE和FTO以及其他犯罪分子越来越多地呼吁对基础设施发动人身攻击，以应对热点事件，包括正在进行的以色列-哈马斯冲突和即将到来的美国大选周期。

哈马斯10 月7日对以色列的恐怖袭击以及以色列政府随后在加沙的行动促使伊斯兰国际组织和 “基地 ”组织等 FTO在媒体上呼吁对重要基础设施，包括美国政府大楼和驻美外国使馆发动独行袭击。特别是，“基地 ”组织及其附属组织再次呼吁袭击外交设施和交通部门，尤其是民航部门。我们担心，受FTO怂恿或被启用的内部人员在进入关键基础设施时，可能会想方设法利用潜在漏洞，并增加对安全程序的了解，以策划袭击。此外，自以色列-哈马斯冲突爆发以来，FTO在国外发起的袭击和阴谋提供了战术和目标的范例，美国的独行罪犯可以效仿或改进这些战术和目标
一些暴力分子继续使用枪支袭击电网变电站和变压器，包括2023 年8 月至2024 年7月期间密歇根州兰辛附近发生的一系列针对变压器和电力基础设施的未归属枪击事件。然而，对能源部门提供服务能力的影响主要是局部和短期的。在过去一年中，具有各种动机的暴力参与者和一些DVEs，特别是受白人优越感和加速主义驱使的种族或民族暴力极端分子，鼓励对能源、通信和HPH部门以及其他关键基础设施部门进行破坏或攻击。另外，我们继续关注对手对航空和航空货运系统的威胁，包括可能利用航空领域实施恐怖阴谋，以及可能利用航空货运供应链运输隐藏的危险和潜在致命物品。
我们继续观察到在敏感的关键基础设施站点上空出现的有关无人机系统的活动，这些活动可能会干扰正常的设施运行，扰乱应急响应或授权飞行操作，并为恶意行为者提供情报。许多未经授权的无人机系统属于未知运营商，这对我们确定其意图是善意还是恶意的能力提出了挑战。我们目前没有信息表明暴力极端分子正在使用无人机进行攻击策划，但在某些情况下，DVEs和FTOs曾考虑使用无人机系统进行情报收集，在美国关键基础设施上投放爆炸物和其他物品以达到破坏目的，以及仅仅通过无人机系统的存在来危及机场的起飞和降落。

针对关键基础设施网络的情报收集

除了我们的对手针对美国关键基础设施发动破坏性和颠覆性攻击外，对手还针对构成关键基础设施部门的实体收集外国情报。敌对民族国家继续利用网络战术访问和窃取美国网络的敏感信息，包括作为关键基础设施一部分的实体的网络，以达到更广泛的间谍目的，推进其军事、外交和经济目标。

与俄罗斯政府有关联的网络行为者将继续出于间谍目的寻求访问美国联邦、州和地方政府以及私营部门的网络。这些网络行为者一直优先考虑入侵软件供应链中的美国实体，以提高自己的能力，削弱受害者防范和检测此类活动的能力。此外，入侵美国软件供应链关键环节中的美国公司可作为进入其他美国实体的跳板，而这些实体存储的数据可被俄罗斯用来推进其网络间谍目标。例如，2023年末，俄罗斯对外情报局特工入侵了一个软件开发平台，使其能够影响软件供应链的运作。
朝鲜几乎部署了数千名高技能IT工人在世界各地工作，赚取收入以减轻金融制裁的影响，并为政权优先事项提供资金。这些IT人员故意混淆自己的身份、地点和国籍，通常使用虚假角色、代理账户、盗用身份、伪造或假造文件来申请美国和外国公司的工作。北朝鲜的恶意网络计划可能会利用这些工作人员的活动来获得对美国系统和专有信息的访问权限，从而支持北朝鲜的经济、外交和军事现代化努力。

人工智能：希望与危险

强大的人工智能技术正在推动美国的经济和技术进步，但这些技术--尤其是生成式人工智能，也正在产生意想不到的后果，即增加我们所面临威胁的复杂性。2025年，我们预计恶意网络行为者将继续利用生成式人工智能的进步，逐步增强其开发恶意软件、漏洞扫描和漏洞利用工具的能力，并改进其社会工程学策略和操作。由于人工智能技术降低了技术门槛，提高了对手为目标受众有效个性化和扩展更可信信息的能力，敌对国家将继续在其恶意影响活动中使用人工智能。(有关外国恶意影响力活动的更多信息，请参见第8-11 页）。我们预计，FTO、其支持者和DVE将继续尝试使用生成式人工智能，以改进其媒体内容和产出，使更多人激进地从事暴力活动。

人工智能生成和操纵的内容，如视频、音频、图像和文本，都可能包括虚假信息--已经渗透到互联网中，影响到美国搜索引擎算法和视频流平台。2024年5月，一个人利用生成式人工智能创建了美国总统的合成语音信息，目的是在新罕布什尔州初选前误导选民。人工智能生成的虚假信息内容也会淹没真实内容，从而降低信息环境的质量。今年7月，司法部查封了一个俄罗斯社交媒体机器人农场，该农场利用人工智能建立社交媒体账户，传播亲俄立场和分裂内容，希望以此影响美国受众。FTO和DVE正在探索先进的人工智能技术的好处，以支持他们的行动、信息传递和招募。我们预计，一系列暴力极端分子将越来越多地尝试使用人工智能来增强攻击计划、填补技术专长方面的空白，并扩大其暴力极端主义信息在网上的传播范围。暴力极端分子还可能利用人工智能生成旨在挑拨社会矛盾的内容，这可能会鼓励现实世界中的暴力行为。在过去一年中，FTO、FTO支持者、HVE以及与DVE相关论坛的在线用户使用或探索了人工智能创建和语言翻译功能，以开发和完善武器制造技术、获取目标定位指导、生成暴力媒体内容并翻译暴力信息。
生成式人工智能还简化了漏洞开发、漏洞扫描和社会工程活动，可能会增加对美国网络的网络威胁。最近，公开可用的生成式人工智能技术激增，为恶意网络行为者提供了易于获取的工具，提高了恶意网络战术的速度和规模，减少了生成网络钓鱼电子邮件和进行漏洞扫描所需的时间和资源。网络犯罪分子还开发了生成式人工智能服务，以支持和扩大其出于经济动机的恶意网络活动。人工智能生成高质量、引人注目的书面内容的能力不断提高，语音功能也得到改进，这可能会增强恶意行为者通过网络钓鱼电子邮件和网络钓鱼计划欺骗受害者的能力，从而可能导致欺诈和网络入侵的增加。
威胁行为者还展示了他们绕过旨在防止生成式人工智能聊天机器人返回危险信息（如炸弹制造说明）或敏感数据的规则的能力。这可能会对负责保护个人身份信息安全的美国实体产生影响，尤其是医疗保健和金融服务等行业。威胁行为者还篡改了用于训练人工智能聊天机器人和人工智能模型的开源数据，这可能导致有偏见或错误的输出，凸显了将人工智能集成到关键系统和操作中的潜在危险。

对经济安全的威胁

来自国家行为体的多方面、多样化的经济威胁损害了美国的生产者和消费者，削弱了美国公司和行业的竞争力和未来健康发展。我们的对手将继续操纵市场，使用经济间谍和胁迫性经济手段，并寻求非法获取我们的技术和知识产权，以牺牲美国的利益来发展优势。此外，预计我们的供应链仍将容易受到外国操纵、冲突、国外经济冲击、气候相关事件以及影响经济生产力和消费者需求的公共卫生危机的影响。

往期回顾

END

天极智库聚焦网络安全相关领域，聚集网络安全职能部门、行业主管部门、科研院所、相关企业和专家学者的力量，组织开展政策研判、事件分析、技术研究、学术交流，为国家网络安全工作提供支撑，增强国家网络空间安全防御能力，提升国家关键信息基础设施安全保障能力和水平。