一、摘要

飞塔（FortiGuard）实验室发表了2021年网络安全威胁预测报告，报告中对未来可能面临的威胁做了预测。首先是网络环境发生了巨大的变化，传统的网络边界已被远程办公设备、物联网（IoT）设备、移动设备等多种边缘环境扩展，每个环境都有其独特的风险和漏洞，攻击者逐渐将目光转移到新兴的网络边缘环境上。未来攻击者可能会通过家庭网络中存在漏洞的设备，入侵家庭网络并以此作为跳板，从员工家庭网络入侵公司的远程办公系统，从而对公司网络发起攻击。勒索软件仍将继续发展，模式不断进化，甚至会对公共安全造成巨大的破坏。为了应对这些威胁，报告中强调了人工智能增强技术在网络安全中的作用，甚至提到未来的网络战争将在微秒内发生，而人的主要作用将是确保基于人工智能的安全系统得到足够的情报。此外报告中还对卫星安全、量子运算对现有加密体系的颠覆、如何保护关键的基础设施和打击网络犯罪等方面做了介绍，以及为了应对这些挑战，组织需要做哪些工作。

二、活在危险中 Living on the Edge

在过去的几年里，网络已经发生了根本性的变化。最简单地说，传统的网络边界已被多种边缘环境(局域网(LAN)、广域网(WAN)、云、数据中心、远程办公设备、物联网(IoT)、移动设备等)所取代，每个环境都有其独特的风险和漏洞。尽管所有的这些设备都是相互连接的，但是由于应用程序和工作流需要在多个设备之间移动，导致许多组织通过牺牲对设备的集中统一管理，来换取效率和灵活性。这种情况下，攻击者实施网络犯罪更为容易。

攻击者逐渐将目光转移到新兴的网络边缘环境上（如远程工作者和云），而不仅仅是瞄准核心网络。保护这些新的环境，包括新技术和融合系统，比看起来更具挑战性。例如，向远程工作的过渡不仅仅是更多的终端用户和设备远程连接到网络。针对新兴的远程办公设备和易受攻击的设备的攻击预计会激增，同时也看到针对连接的家庭网络的新型攻击。这些攻击主要集中在利用老式的、更容易受到攻击的设备，如家用路由器和娱乐系统。但也有针对连接到家庭网络环境的智能系统的新型攻击正在进行。

与用户交互的智能设备（如基于AI的虚拟助理），收集和存储了有关其用户的大量信息。入侵这些设备可以获得有价值的信息，使基于社会工程的攻击更容易成功。随着这些设备开始控制我们生活中的更多元素，成功地入侵这样一个系统可能会导致安全系统被关闭，摄像头被禁用。甚至会出现攻击者劫持智能设备，对受害者进行勒索的情况。

但这仅仅是个开始。虽然终端的用户及其家庭资源可能由于设备被利用而受到损失，但是更高级的攻击者会将这些信息用作进入其他领域的跳板。从远程员工家庭网络发起对公司网络的攻击，以免引起怀疑。能够访问所存储的连接数据的智能恶意软件可以更容易地隐藏。但这仅仅是个开始。高级恶意软件还可以使用新的边缘访问木马（EATs）嗅探数据，从而做一些事情，比如拦截来自本地网络的语音请求以破坏系统或注入命令。通过使用像 Go 这样的编程语言来增加跨平台的 EAT 威胁能力将使 EATs 更加危险，因为这些攻击将能够从一个设备跳到另一个设备，而不管底层的操作系统是什么。

与大型组织的强力安全资源竞争时，网络犯罪处于不利地位。为了取得成功，网络犯罪分子需要利用他们可以支配的资源——那些唾手可得的东西。但是，这些边缘设备也越来越多地被机器学习所利用，特别是当它们越来越多地采用5G和超越5G的技术时。通过入侵并利用边缘设备的处理能力，网络犯罪分子将能够偷偷地处理大量数据并能够了解更多如何和何时使用边缘设备的信息。被利用的边缘设备可以比传统的系统更有效地实现像加密货币挖矿这样的事。PC节点被劫持并被利用资源很容易被发现，因其CPU占用率会变高并直接反馈到终端用户的工作站中。利用次要设备就不那么引人注目了。因此，这些设备的其他健康指标的可见性将变得更为关键ーー尤其是随着边缘设备和不断扩大的边缘网络开始在企业网络中发挥更为关键的作用。但是对于许多组织来说，当他们实施边缘计算策略的时候，他们所依赖的设备已经被破坏了。

使用5G设备也将为高级威胁带来新的机会。在过去的几份报告中，我们记录了在开发和部署基于Swam的攻击方面取得的进展。Swam攻击利用数千个被劫持的设备，这些设备被分成具有专门技能的小组。它们将网络或设备作为一个集成系统，实时共享情报，以便在攻击发生时改变并加强攻击。这样可以提高攻击的效率和有效性。蜂群技术需要大量的处理能力来支持单个蜂群，并在蜂群的不同成员之间有效地共享信息。这使他们能够更快地发现漏洞，共享和关联这些漏洞，然后转移攻击方法以更好地利用它们。这些网络也将需要为基于人工智能的系统提供动力并使之成为可能，以便协同攻击能够迅速变得更有效，同时在攻陷系统和逃避检测方面都变得更加有效。

为了实现这一切，人工智能需要进化到下一代。这将包括利用由机器学习技术提供支持的本地学习节点。这些节点还需要具备分析和行动能力，以及用它们所看到的内容相互交流和更新的能力。人工智能的这些进步已经在进行中了。与此同时，我们可以期待看到越来越多的开源工具包被设计用来帮助网络犯罪分子有效地锁定和破坏边缘设备。这些工具还将帮助网络犯罪分子创建和维护特定网络的受损设备，以确保大量的计算能力是在通知下达后立刻就可用的。这将使他们能够更有效地发动攻击、突破安全系统、并逃避安全策略。一些资金充足的网络犯罪组织增加了先进的人工智能，这也将使他们学会如何发现和克服防御策略。此外，我们还可以预见到，被入侵的边缘网络作为一种服务被售卖的情况会有所增加。这些恶意边缘网络可以用来处理信息，收集目标的情报，或者发动一次协同攻击以同时攻击尽可能多的攻击载体，从而压倒防御。

去年，我们预测5G的出现可能是基于群体的功能性攻击的催化剂。我们还说，这可以通过创建能够快速共享和处理信息和应用程序的本地特别网络来实现。今天，我们似乎比以往任何时候都更接近这一预测。例如，在美国，5000个城市已经覆盖了基本的5G，超过2亿美国人在使用5G （600mhz 的频谱可以更有效地穿透建筑物和覆盖长距离）。速度更快的毫米波5G也将在6个城市推出，还有更多的城市也将推出。大规模多输入多输出（MIMO）技术等新技术的发展，为高移动性环境下的无线终端提供了统一的良好服务。而现在，新的5G智能手机开始包含5G毫米波天线加速了5G的应用。

网络犯罪分子并没有错失利用的机会。通过将5G和边缘计算武器化，被单独利用的设备不仅可以成为恶意代码的管道，而且一组受损设备可以协同工作，并以5G速度锁定受害者。此外由连接的虚拟助手和类似的智能设备提供的智能，意味着此类攻击的速度、智能和局部性可能会克服传统安全技术有效抵御此类策略的能力。

三、曝光: 基于AI的Playbooks来预测攻击逐渐兴起

结合人工智能和Playbooks来预测攻击

对人工智能的投资不仅使组织能够自动化的完成任务，自动化的系统还能够在攻击发生后和发生之前寻找和发现攻击。由此产生的最令人兴奋的网络安全策略之一是开发和使用playbooks，它详细的记录恶意攻击和网络犯罪组织的行为。

今天，随着人工智能和机器学习系统的广泛使用，构建和部署这样的playbooks的能力更接近现实。一些威胁研究机构已经在编制使用各种方案来记录和标准化行为和方法的基本行动手册，如MITRE ATT&CK框架。这些由威胁情报源提供的威胁“指纹”或战术、技术和程序（TTP）被输入AI系统，训练出的AI系统，可以检测到新的攻击并预测下一步的恶意行为，从而提前中断攻击。

一旦这些信息被添加到人工智能学习系统中，并通过经过训练的ML系统进行扩充，网络就不需要等到受到攻击时才能有效地应对威胁。远程学习节点放置在网络边缘，甚至作为侦察传感器出现在网络之外，将提供先进和主动的保护。他们将能够检测到一个威胁，并预测威胁参与者和恶意软件的移动，以主动干预。它们还可以与其他节点协作，同时检测以前从未使用过的攻击配置文件，例如从攻击代码、编译器行为、符号和APT（高级持续威胁）组织的行动风格中识别攻击，从而关闭所有攻击途径。

Playbooks可以反映攻击模式和恶意行为的粒度（即网络罪犯的 TTPs），利用这些信息增强威胁响应，模拟进行攻击，从而提升网络安全专业人员的技能。这种类型的蓝队训练让安全团队成员能够在定位网络威胁的同时，提高他们的技能。同样，随着组织点亮当前活跃威胁的热图(即实时网络风险的可视化) ，智能系统可以主动混淆网络流量和目标，并精确地沿着所预测的攻击路径放置诱饵，以吸引和触发网络罪犯。最终，组织可以在任何反间谍行动发生之前对其做出反应，从而立于不败之地。

在网络安全发展的这个领域，与大型组织的深层安全资源竞争使网络犯罪处于不利地位。威胁防御者通常在这方面处于领先地位，因为他们拥有大规模的预算和专用资源。网络罪犯不仅需要大量的数据和计算资源来让人工智能为他们工作（他们通常没有这些资源），他们还需要花费数年的时间来训练人工智能，以使人工智能能够产生他们想要的结果。这对于大多数犯罪组织来说代价太高，这就是为什么即使是最先进的网络攻击也只能利用最基本的机器学习和人工智能解决方案。然而，一些国家支持的攻击组织已经拥有了利用playbooks进行攻击所需的资源。每次攻击都可以修改攻击行为和风格，以避免被发现，或者通过预测和破坏对策来误导防守者，因为他们正在利用相同的playbooks。

甚至这种增长也可能只是暂时的。利用大量受到威胁的设备（主要是边缘设备）构成的网络，可能使网络罪犯能够拥有接近公司网络的计算能力。一旦这一挑战得到解决，这些资源作为暗网服务提供只是一个时间问题。这意味着在采用和开发基于AI的系统和高级安全playbooks方面滞后的组织比以往任何时候都更被动。

四、赎金模型——暗网谈判、网络保险

勒索软件的持续发展，使其继续成为当今组织面临的最危险和最具破坏性的威胁。例如，在过去的一年里，勒索软件开发人员实施了一项新策略，旨在抵制许多组织不支付赎金而是自行恢复受损系统的行为。网络罪犯现在所做的，除了加密数据和系统外，还将这些数据发布到公共服务器上。然后，他们不仅要求缴纳赎金，还威胁说，如果他们的赎金要求被忽视，他们还会公开发布有价值的知识产权和敏感信息。有些甚至更进一步——提取敏感信息，这可能会使一个组织或其高管受到公众的羞辱。敲诈、诽谤都是转移到数字领域的贸易工具。这包括执法部门对性侵犯的新的关注，罪犯威胁发布性感图片或信息已经成为一种胁迫手段。例如，家庭摄像机被盯上，视频被上传到网络上的事情已经在新闻中出现过。

这种高人一等的游戏不可能永远继续下去。具有讽刺意味的是，现在有一些组织在暗网上冒出来，提出了一种谈判赎金的商业模式。虽然这可能在短期有一定的好处，例如为受害者省钱和缩短勒索软件周期，但它也有使犯罪行为正常化和确保网络犯罪分子总能得到回报的寒蝉效应。

然而，现实情况是勒索软件可能会继续升级，而且随着网络中的超收敛（hyperconvergence），后果只会变得更加明显。当网络、设备、应用程序和工作流相互交叉并相互传递以提供更智能的服务时，网络中任何地方的故障都会影响到更关键的流程。随着系统越来越多地与关键基础设施系统融合，很快就会有更多的数据和设备面临风险。当电网、医疗系统、交通管理基础设施和其他关键资源成为目标时，人类的生命将受到威胁。勒索软件攻击一个有病人的重症监护室的事情很可能会发生，甚至可能早晚会发生，勒索软件将跨越犯罪活动和恐怖主义之间的界限。事实上，最近发生的一起勒索软件攻击事件破坏了医院的IT预约系统，使医院无法接受新病人，迫使救护车上的病人绕道去另一家医院，随后在途中死亡的事情，表明了这种攻击的可能性。类似的事件很可能针对关键的基础设施，比如关闭核电站的安全控制，或是打开大坝的闸门。

与本报告讨论的其他威胁一样，网络罪犯继续升级勒索软件威胁的能力将取决于他们利用边缘和其他系统的能力。使用易受攻击的设备构建的新的边缘网络将使网络罪犯能够部署机器学习系统，以便他们能够检测复杂系统中的漏洞，开发并使用通过人工智能增强的恶意软件，以发起复杂的攻击(例如瞄准多个攻击载体)，并使他们拥有接近较大网络的计算能力，以同时协调多个攻击元素，例如管理基于群体的攻击所需的计算能力。

五、群体智能

ML和AI继续推动群体智能的进步。群体智能最初是由Gerardo Beni和Jing Wang在1989年提出的，它描述了分散的、自组织的系统的集体行为，无论是自然的还是人工的。受蚂蚁、蜜蜂、白蚁、鸟群和细菌等生物系统的启发，群体智能正被用作优化复杂问题（如车辆路线、作业车间调度(JSS)或背包问题）的计算工具。群体智能最臭名昭著的应用是使用蚁群算法进行IP网络路由。

群体智能的发展在新的医药和医疗程序的开发、复杂交通环境的协调、以及军事和航天工业运行的大规模系统的各种自动化问题的解决等领域具有强大的意义。

但是，正如反复警告的那样，如果组织不更新其安全策略，则群体智能也将使对手成为游戏规则的改变者。当群体智能被网络犯罪分子使用时，基于僵尸程序的群体可快速压倒网络防御，有效查找和提取关键数据以及删除或破坏入侵证据信息。

已经看到包含多个有效载荷的恶意软件，不仅能够根据实时的侦察选择适当的工具执行任务，也可以根据它收集并与命令和控制中心共享的数据，根据指令来修改攻击方式。例如，新的HEH僵尸网络利用了一种专有的对等（P2P）协议，该协议可以跟踪受感染的节点，并使攻击者能够运行任意的shell命令。它是用Go语言编写的，因此具有跨平台的功能。它还包括一个擦除器（wiper）功能，可以通过触发自毁命令来删除受损设备中的所有数据。HEH僵尸网络和类似的新出现的威胁是一个很好的例子来说明恶意软件开发者是怎样从编译本地二进制文件（例如，使用C）向跨平台工具（如Go）转移的。

最终，这种攻击将由数千甚至数百万个特殊的机器人组成，通过将攻击期间的实时情报进行关联，能够更快、更有效地攻破目标，包括攻破主动防御系统。

对抗这种终极攻击系统的唯一防御手段是人工智能增强技术，它可以看到、预测和反击这种攻击。未来的网络战争将在微秒内发生。人类的主要作用将是确保安全系统得到足够的情报，不仅能够积极地反击实时攻击，而且能够实际地预测到这些攻击，这样这些攻击就不会在第一时间发生。

六、未来威胁

一个重要的教训是，被攻击后再亡羊补牢，没有提前部署防御快速有效。一个主要的问题是，我们越来越依赖通过先进的卫星系统（如Starlink）所实现的数据和互联网连接。当然，卫星安全系统只是名义上的，主要是因为它们太远了，因为它们运行在定制的硬件上，而且只使用专有的操作系统和应用程序。然而，随着基于卫星的网络激增，入侵卫星基站，然后通过基于卫星的网络传播恶意软件，使攻击者能够以潜在的数百万连接的用户为目标。

随着计算能力的提高，仅仅加密这些卫星网络之间的通信流量将不再是一种有效的防御机制。从历史上看，航空公司、游轮和军事系统是最依赖卫星数据的。但是，随着复杂系统（无论是公司拥有的还是与关键基础设施相连的）开始依赖卫星系统网络，当网络犯罪分子开始瞄准它们时，意味着什么呢？最初可能是一个工控设备遭到攻击，或是从分布式拒绝服务（DDoS）攻击之类的事情开始。但随着与卫星系统的通信变得越来越普遍，预计更先进的攻击将很快出现。

七、量子威胁

最具前瞻性的威胁预测围绕着量子计算。许多人认为量子计算的本质使他们天生就不受攻击。但是，如果基于量子的设备的目标是破坏加密密钥和算法，会发生什么呢？

量子计算机使用一种不同的方法来表示和计算信息，这使得它能够以比现在的计算机快得多的速度运行。这不仅仅是进化，而是革命。量子比特利用了电子在磁场中悬浮时的行为，使器件的计算能力得到指数放大。在经典系统中，比特（bit）是一维的。它要么处于一种状态，要么处于另一种状态（开或关）。最简单的量子力学是二维的。这允许量子比特同时处于两个状态的相干叠加。简单地说，由于传统计算机使用只能表示两种状态的比特执行计算，可用于计算的状态数只能线性展开（三比特有六种状态[2+ 2+2] ，四比特有八种状态，等等）。但是量子计算机可用的状态数呈指数增长（三个量子比特有2^3，八个状态，四个量子比特有2^4，16个状态，等等）。

而这仅仅是个开始。Qudits （“d”表示维度的可变数量）将这个概念进一步推广。例如，在2017年，美国国家科学研究院的科学家们构建了一对量子图，每个量子图有10个不同的状态，提供了比6个量子比特更多的计算能力。由数百万量子比特组成的复合体以及量子计算机潜在的计算能力似乎是无限的。

从网络安全的角度来看，量子计算机将在破坏数据加密等技术的有效性方面有着潜在的破坏性作用。量子计算机将很快使非对称加密算法过时（这些算法用“签名”信息以确保数据完整性，执行密钥交换以使加密算法能够对数据进行置乱，并验证人或数据的真实性）。事实上，人们预测量子计算机将在2027年打破椭圆曲线密码。

当然，量子计算机目前还没有商业化，至少对大多数组织所关注的网络犯罪分子来说是不可能使用的。然而，他们可能仍然存在着一个巨大的捐助方。现在有许多国家要么拥有量子计算机，要么正在开发量子计算机。虽然这些技术中的大多数都是为了大众利益，比如医学研究、天气预报和解决复杂的数学问题，但从来没有一种先进的技术不被专门从事间谍活动的政府部门所觊觎。许多政府长期以来一直在进行一种被称为“数据采集”的行动，即从与国家经济利益相关的国家和行业收集大量加密数据。但由于技术等限制，这些信息尚未有方法能够进行解密。

因此，无论在何处使用密码学对信息进行“签名”，为通信建立加密密钥，并保护信息的完整性，组织将需要转向对抗量子计算算法。大学、政府机构和专门的安全组织现在正花费大量资源，围绕加密灵活性原则开发先进的加密工具。根据美国国家标准与技术研究所（NIST）的指导方针，在为量子计算时代做准备时，“保持密码灵活性是必不可少的”。一旦发现漏洞，硬编码的加密系统将无法提供保护或提高效率。相反，技术敏捷性需要依赖新的开发框架和服务软件，以一致和无缝地保护依赖于强大加密技术的应用程序和数据。

组织需要将“安全敏捷性”作为其操作安全原则的一部分。这包括确保安全解决方案能够无缝地过渡到抗量子的非对称加密算法和量子密钥交换。NIST目前正在开发“后量子密码”标准。理想情况下，组织应该在量子计算机普及前几年，特别是那些可能成为国家资助的间谍活动目标之前，实现一种对抗量子算法。

八、组织需要做什么

一些组织正在觉醒，因为这个新的网络威胁世界是真实且不会改变的。他们意识到，不需要再考虑自己是否会被攻击（因为这几乎是肯定的），而是应该关注什么时候会被攻击。这意味着他们的资源不仅需要集中在主动防御上，而且还需要集中在有效的事件响应上。这是因为他们明白入侵是不可避免的，保护网络取决于知道下一步该怎么做，才能阻止攻击。

一个有效和集成的下一代人工智能系统提供了在攻击者实现目标之前防御网络和应对攻击的最佳机会。它的功能需要类似于适应性免疫系统——保护我们的身体免受疾病的侵袭，一旦我们的身体受到威胁，就会抵抗感染，并修改免疫系统，以在未来击退同样的病毒。

与公共部门更紧密地融合

不能指望组织独自完成所有这些对抗威胁的工作。他们需要订阅威胁情报，加入相关联盟，并主动与所在地区或行业的其他人共享数据和战略。他们还需要和与公共机构（如执法和教育）有着密切伙伴关系的供应商合作。

在教育领域建立公-私联盟，不仅有助于教育未来公民更好地保护自己，参与尊重和保护社会的安全网络行为，还将有助于填补日益严重的网络安全技能缺口，这一缺口有可能摧毁新兴的数字经济。这不应该局限于专业培训，而应该从基础教育阶段开始，鼓励学生加入“好的一面”。

网络安全供应商、威胁研究人员和行业领袖需要和执法部门合作，尤其是在执法部门开始改变其工作范围和规模的今天。执法部门面临的最大挑战之一是网络犯罪不尊重政治边界。事实上，许多犯罪行为都隐藏在国际边界的保护之下，从骚扰外国呼叫中心的电话诈骗到软件盗版，再到窃取数据或财产。因此，执法机构建立了与私营部门紧密联系的全球指挥中心，使他们能够实时看到并应对网络犯罪。

需要通过执法部门与公共和私营部门组织之间的关系中得到的威胁情报和解决办法中设计一个安全方案。这包括订阅专门的威胁源，以使团队成员能够及时了解新出现的威胁。这将有助于公司更有效地识别和应对网络犯罪，并使他们能够创建和部署更有效的playbooks，以更好地阻止网络犯罪，识别犯罪分子和犯罪行为。在未来几年，我们将看到更多旨在促进国际和地方执法机构、政府、企业和安全专家之间更统一的方法的倡议。加上网络安全技术的不断进步，他们将能够加快安全交换信息并及时作出反应，以保护关键的基础设施和打击网络犯罪，使网络犯罪分子停止活动。

原文标题：Cyber Threat Predictions for 2021

原文链接：https://www.fortinet.com/content/dam/maindam/PUBLIC/02_MARKETING/02_Collateral/WhitePaper/wp-cyber-threat-predictions-for-2021.pdf

本文为CNTIC编译，不代表本公众号观点，转载请保留出处和链接。

联系信息进入公众号后点击“论坛信息”可见。