2025 年网络威胁趋势预测报告

2025 年网络威胁趋势预测报告 FortiGuard Labs 年度展望 目录 经典攻击手段的持续演进. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . ..3.3.3. . . . . . . . . . . . . . . . . . . . . . . . . ..4.6.7高级持续性网络犯罪数量加速增长 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .攻击者大肆收揽新颖 TTP 工具 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .人工智能为网络犯罪分子提供“快捷”攻击工具勒索软件攻击再升级. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .擦除恶意软件助攻击者进一步拓宽攻击范围 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .重大事件为网络犯罪创造可乘之机. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..72025年及未来值得关注的新兴攻击趋势. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..8.8.8.9. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..9.9攻击链专业化趋势显现. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .云环境或将成为网络攻击的重灾区 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .添加至购物车：暗网上兜售的自动化黑客工具 . . . . . . . . . . . . . . . . . . . . . . . . . . . .攻击剧本扩展至真实世界：结合线下威胁携手组建自动化反攻击者框架，共同打击网络犯罪. . . . . . . . . . . . . . . . . . . . . .打赢平均响应时间攻坚战 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 10. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 10增强集体弹性，共同应对瞬息万变的威胁态势FortiGuard Labs 简介 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 2025 年网络威胁趋势预测报告：FortiGuard Labs 年度展望 尽管威胁行为者依然沿用许多已经存在了数十年的“经典”战术，但我们的年度威胁预测主要集中在那些网络犯罪分子采取更大胆、更具破坏性，并且他们认为更有效的攻击上。本年度网络威胁趋势预测报告，针对长期网络攻击的演进趋势展开了深入研究与剖析，并重点分享了 2025 年亟需关注的新兴威胁等关键资讯。接下来，我们将根据研究成果，详细阐述 2025 年及未来威胁演进趋势预测，并就这些变化对组织及其安全团队产生的影响进行深入剖析。 经典攻击手段的持续演进 多年来，我们已就众多攻击趋势进行了持续深入探讨与分析，并在往期威胁发展趋势预测报告中予以着重强调。我们持续关注深受攻击者追捧的网络犯罪手段，并预测其未来数月和数年内的演进趋势。过去一年间，我们见证了APT组织积极开发并利用新颖战术、技术和程序（TTP）的种种攻击实例，以及攻击者利用人工智能技术大幅提升攻击数量与速度，更大规模、更具破坏性的勒索软件部署层出不穷等不断加剧的威胁趋势。以下是针对 2024 年部分关键预测的回顾，以及我们对这些长期趋势在 2025 年将如何持续演进的前瞻性分析。 高级持续性网络犯罪数量加速增长 APT 组织因其高度的环境适应性而众所周知，这早已是业内公认的事实。例如，2010 年世界首个网络“超级破坏性武器”震网（Stuxnet）病毒问世，其发起的蠕虫攻击全面昭示网络战自此开始面临网络空间意义上的严峻复杂性挑战。这些攻击实例无不揭示，APT 组织正不断推陈出新，积极挖掘并利用各类新发现漏洞，即便在安全防护措施日益严密的今天，也依然能够保持猖獗的活跃度。另外，据 MITRE 最新追踪数据显示，约三分之一的 APT 组织至今仍保持高度活跃状态。据FortiRecon 威胁情报显示，2023 下半年，MITRE 跟踪的 143个APT组织中约有 38 个（约 27%）在此期间处于活跃状态，包括 LazarusGroup、Kimusky、APT28、APT29、Andariel 和 OilRig。1 去年，我们预测了一些 APT 组织将采用更加隐蔽和创新的方法来发起攻击的趋势，而这一预测如今已成为现实。随着与网络犯罪分子的勾结日益加深，APT 组织正以创纪录的速度采纳新的战术、技术和程序（TTP）。例如，2024 年夏天，我们观察到 GrimResource攻击技术与远程 AppDomain 注入相结合的攻击实例，这种新颖的技术组合，支持攻击者将恶意代码轻松注入隔离环境中的应用程序域，显著增加了传统终端安全工具的检测难度。APT29 和APT41 等组织，更是企图通过为每个攻击活动量身定制独特的有效载荷，不断挑战安全防御的极限。例如，APT29 一直在秘密部署高级内存驻留恶意软件，以避免在磁盘上留下任何蛛丝马迹。与此同时，以活跃于间谍活动和经济利益驱动的入侵而臭名昭著的 APT41，则不断调整其有效载荷，企图成功绕过每个目标组织的特定检测方法。这些自适应技术的频繁运用，充分揭露了 APT 组织如何不断保持攻击敏捷性和创新性。这一发现无疑给全球网络安全防御者带来持续且严峻的安全挑战。 攻击者大肆收揽新颖 TTP 工具 多年来，攻击者持续依赖少数久经实战的战术、技术和程序（TTP）工具集成功执行攻击。在《2023年威胁趋势发展预测报告》中，我们便已预见攻击者将进一步拓展 TTP 工具集范围，特别是借助 AI和其他新兴技术的力量增强目标攻击能力。正如我们所预测，如今 TTP 竞争环境已显著扩大，攻击者正持续利用新的程序级技术，并不断推出更多新颖的技术手段。 我们还观察到攻击者正迅速部署新方法，以对抗许多组织为特定技术实施的保护措施。鉴于攻击者用以绕过标准防御工具的攻击方法正不断演进，安全专业人员应： 主动开展威胁狩猎 防御者不应坐以待毙等待告警，而应主动开展威胁狩猎，利用高级数据分析、行为分析和假设检验等主动防御技术，以识别自动化系统可能遗漏的潜在入侵迹象。 基于自身安全态势构建多层防御体系 实施深度防御策略，意味着安全团队需灵活运用网络监控、终端安全和异常检测等多重安全机制，构建起层层递进的防御体系。如此一来，即便某个防御环节被威胁所突破，其他防御层也能如一张张紧密编织的安全网，继续发挥效用。最为理想的状态是，这些安全解决方案能够全面集成至统一平台，并跨安全与组网系统实现分层检查的无缝协同运行。 采用零信任原则 即便在网络边界内，也应持续验证用户和设备的身份和信任级别。部署零信任模型后，即便攻击者非法获得网络访问权限，也能帮助组织最大限度降低可能造成的损害。 集成前沿威胁情报 掌握并善用最前沿威胁情报，时刻保持对新兴 TTP 的敏锐洞察，确保威胁防御剧本始终与时俱进，有助于防御者预判攻击者的新兴战术，并按需灵活调整现有保护措施，高效应对瞬息万变的威胁态势。 开展常规红队演习 定期开展红队和蓝队模拟演练，可精准识别组织防御体系中的漏洞或薄弱环节，并为攻击者可能使用的潜在绕过策略提供切实有效可操作应对方案。 这种高适应性的多层防御策略，犹如一把锐利的“矛”，以持续学习为锋，不断磨砺；同时，又像一面坚固的“盾”，以新兴安全技术为基，筑起铜墙铁壁。这种双重保障，助力组织面对威胁态势的不断演进，始终保持高度的弹性和坚不可摧的防御能力。 人工智能为网络犯罪分子提供“快捷”攻击工具 网络犯罪分子继续探索 AI 武器化并用于不法目的。恶意行为者日益利用 AI 提升攻击部署效率。从更高效地收集数据，到利用大型语言模型（LLM）制作较以往更加逼真的网络钓鱼通信，无论是经验老道的攻击者还是零基础新手小白均能够将 AI 视为“快捷”工具，快速简化攻击流程。 2023 年，我们预测，无论是执行生成式分析还是增强密码喷洒等密码暴力破除攻击，攻击者将以各种方式更加频繁地利用 AI 技术。以下为攻击者利用 AI 开展攻击操作的一些示例： 自动化网络钓鱼活动 n示例：攻击者正利用大型语言模型（LLM）精心打造极具迷惑性的网络钓鱼电子邮件，不仅语法无可挑剔，更具备出色的上下文感知个性化内容。通过 AI 之手，这些邮件能够精准模仿已知联系人的独特写作风格，足以以假乱真，令收件人难以将其与正常通信进行有效区分。 n影响：这种战术能够显著提高鱼叉式网络钓鱼攻击的成功概率，令以往用来提醒用户防范欺诈性电子邮件的传统告警措施，毫无用武之地。 针对社交工程的生成式分析 n示例：攻击者利用大型语言模型（LLM）深入分析目标人物在社交媒体上发布的帖子、公开的数据信息以及其他各类在线内容，进而精心构建出详尽的社交工程档案。通过对这些数据进行综合汇总和深度挖掘，量身定制出与目标人物兴趣相合、工作关系吻合，甚至是与其近期活动轨迹高度匹配的通信内容。n影响：这种经 AI 技术优化的精准配置文件，显著增强了目标人物对攻击者的信赖感，巧妙诱导受害者在无意识中与攻击者展开互动，导致凭据窃取或未经授权的数据访问攻击的成功概率显著上升。 AI 驱动的密码喷洒攻击技术 n示例：AI 能够从大量的历史密码数据中学习并提取密码的统计特征和模式，从而预测可能的密码组合，提高破解效率。在包含泄露凭据的大型数据集上训练的大型语言模型（LLM），能够自动生成与目标组织用户群高度匹配且极为真实的密码列表。n影响：这些经 AI 优化的密码攻击技术，通过将密码攻击尝试分散至多个目标账户并微调攻击手段，成功绕过传统的账户登录次数限制和锁定机制，从而使传统安全工具更难以检测。 基于深度伪造技术（Deepfake）的语音网络钓鱼（Vishing） n示例：攻击者利用深度学习模型创建合成语音，以模仿特定目标的语气和语音模式。例如，攻击者可能运用该手段冒充公司高管，诱导员工泄露敏感信息或执行未经授权的财务交易。n影响：Deepfake 语音合成技术的运用，令员工难以辨识欺诈性请求，可能给组织造成不可估量的财务和声誉损失。 恶意软件创建能力显著增强 n示例：攻击者可利用大型语言模型（LLM）生成多态恶意软件，这些恶意软件可保留原有功能的同时改变其代码n结构，成功逃避基于签名的威胁检测。攻击者还可利用这些模型，编写新的代码片段或优化现有恶意软件，提高攻击效率并成功逃避防御工具的检测。影响：这一技术不仅加速了高级恶意软件变体的开发，还降低了攻击技术门槛，令恶意软件传播数量