文章总结： 文档预测2026年国家网络威胁将加剧，混合威胁模糊了犯罪与政治动机界限。AI降低攻击门槛，关键基础设施面临长期潜伏风险。建议政府与企业加强合作，提升对隐蔽威胁的侦测能力与系统韧性，私营企业应专注防御以应对复杂的网络战环境。 综合评分： 80 文章分类： 威胁情报,网络安全,安全大事件

2026年网络安全洞察：网络战与日益增长的国家威胁

原创

铸盾安全 铸盾安全

河南等级保护测评

2026年2月6日 00:31 河南

到2026年，网络战和网络暴力都将加剧，但网络暴力的加剧幅度可能会更大。我们希望它永远不会失控，但我们应该意识到这种可能性及其后果。

进入网络世界就如同踏入战场。

网络空间被视为战区，那里发生的一切都被称为网络战。但事情并非如此简单。战争是由国家（政治）发起的，而非犯罪分子（金融）所为。在我们称之为网络空间的这片战区，政治和金融活动都在加剧，但政治威胁的增长速度更快。

网络战是一个复杂的问题，很难给出正式的定义。对于普通网络犯罪分子和国家级网络侵略之间是否存在实质性区别，以及如果存在区别，防御者是否需要理解或根据这种区别采取行动，各方意见不一。

人们普遍认为，进入网络世界就如同进入战区，无论对手是谁，这种看法加剧了这种复杂性。

我们将尝试了解网络战——它是什么，它在 2026 年是否会恶化，以及我们应该如何应对它。

为了帮助我们理解其中的复杂性，我们将首先给出一个任意的定义，该定义除本文外并无其他出处。我们认为，“网络战”指的是犯罪分子与企业之间的冲突，而“网络战争”指的是国家之间的冲突。（请注意，这是我们提出的区分，并非普遍接受的区分。本文引用的专家未必也持有这种区分。）

但这很重要。虽然网络战和网络战争都会在2026年之前加剧，但网络战争的加剧幅度可能会更大。

区分二者不应以损害程度为标准，而应以主要意图为标准。这一区别至关重要，因为犯罪活动可能损害企业或行业，而国家行为则可能损害整个国家。二者之间的根本区别在于主要意图或动机。

网络战的主要动机是经济利益。网络战的主要动机是政治利益，这意味着发动网络战的可以是国家，也可以是受意识形态驱动的团体。这种定义与通常的国家界定相悖：一个国家只有在网络攻击造成人员伤亡的情况下才会将其视为战争行为。然而，仅凭这一点仍然存在问题，因为以经济利益为目的的犯罪活动也可能造成人员伤亡。动机仍然是最可靠的判断标准。

将特意将“先窃取后解密”的问题排除在讨论之外。犯罪分子和国家都出于各自的动机参与其中，但由于这可以被归类为网络间谍活动，而根据《塔林手册》的定义，网络间谍活动在国际法中并不属于严格意义上的违法行为，因此我们在此不做讨论。可以参考本系列中关于量子计算的文章。

网络战和网络战争的区别

很多人认为，网络安全防御者无需担心网络犯罪活动与国家行为之间的区别。Kiteworks公司副总裁兼欧洲业务总经理Dario Perfettibile表示：“网络战的正式定义仍然难以捉摸，而且对于在CMMC（网络安全成熟度模型认证）等框架下管理私有数据交换的组织而言，这种定义在很大程度上无关紧要。在实践中，国家级攻击和犯罪活动之间的区别已经消失。”

他继续说道：“获得国家默许的勒索软件团伙可以同时追求利润和地缘政治目标，例如俄罗斯团伙针对国防承包商的攻击。对于在国防供应链中处理受控非密信息 (CUI) 的符合CMMC标准的组织而言，威胁行为者的动机远不如他们的能力和自身的防御态势重要。”

Bugcrowd创始人凯西·埃利斯（Casey Ellis）这样描述当前形势：“国家行为体与网络犯罪活动之间的界限日益模糊，导致威胁形势更加难以预测和复杂。当国家利用网络犯罪工具、收买犯罪团伙或允许犯罪分子兼职时，就会形成一种混合威胁模式，其动机和策略可能迅速转变。”

他表示，这使得预测攻击者的行为更加困难，并增加了附带损害的风险。“例如，勒索软件攻击最初可能看似出于经济动机，但之后可能会暴露出地缘政治意图。首席信息安全官（CISO）现在必须应对更广泛的对手，每个对手的复杂程度、资源和目标各不相同。此外，网络犯罪集团和政府打击小组在行动选择上也存在很大差异，这进一步增加了整体的不可预测性。”

但我们确实对网络战有一个定义。“《塔林手册》对网络空间中的侵略行为给出了一个很好的定义，解释了哪些行为是被允许的，哪些行为是不被允许的，并阐述了先发制人的措施以及对国家行为体在网络空间中的侵略行为的回应，”Immuniweb首席执行官兼Platt Law LLP网络安全合伙人Ilia Kolochenko解释道。

他认为，问题在于许多国家选择无视国际法，导致国际法效力遭到削弱。“虽然法学学者和法学教授可以对国家在网络空间发起的进攻或反击活动及行为的合法性做出明确而精确的评估，但关键问题是：接下来该怎么办？”

要回答这个问题，我们需要了解攻击的实施者和目的——是网络犯罪分子还是国家行为体。迄今为止，国家行为体造成的损失甚微。针对关键行业的犯罪勒索软件攻击造成的危害更大。但世界瞬息万变。全球地缘政治紧张局势加剧，动能战争的威胁也在不断增长。

国家网络战的最终目的是为实际战争做好准备。我们在2022年入侵乌克兰前夕俄罗斯加强对乌克兰的网络活动就看到了这一点。其他国家目前（至少我们希望如此）尚未普遍利用网络力量来准备战场，但它们正越来越多地在关键行业预先部署，以便能够做到这一点。

这种地缘政治动机，加上先进人工智能带来的网络攻击和网络隐蔽能力，表明未来几年国家预置攻击将大幅增加。预置攻击并非新鲜事物，但其发生频率将会上升。

SentinelOne威胁发现与响应高级副总裁史蒂夫·斯通警告说：“到2026年，世界将看到过去十年预先部署的后果：一个网络战场已经在全球基础设施内部形成。通信中断、半导体冲击和人工智能驱动的虚假信息将构成任何冲突的第一阶段。对于政府和企业而言，必须在风暴来临之前建立韧性，而不是在风暴开始之后。”

网络犯罪分子和国家行为体之间一个显著的区别在于他们对投资回报率（ROI）的需求。犯罪分子希望立即获得经济回报。而国家行为体则可以而且确实会采取低调而缓慢的策略，花费更多的时间和精力悄悄潜入，并隐藏数年，直到战场准备迫在眉睫。

我们需要提高探测隐形目标的能力。

“到2026年，我们将看到更多国家级网络攻击针对关键基础设施，攻击者会将自身长时间（可能长达数月甚至数年）植入系统，”OPSWAT首席战略官斯蒂芬·戈勒姆解释道。“与以勒索赎金或制造混乱为目标的犯罪集团不同，国家级网络攻击旨在保持隐蔽，收集情报，并为未来的行动做好准备。”

由此可见，为了国家安全，各国政府需要提高侦测和了解国家级攻击者动机的能力。然而，各国长期以来利用本国人员进行网络间谍活动的做法（尽管这种做法在技术上并不违法）使问题变得更加复杂。

意图的归因和分配

“在传统战争中，士兵和平民之间的界限相对清晰，但在网络空间，这些界限却日益模糊，”Intel 471高级情报分析师阿什利·杰斯表示。“网络攻击可能是国家支持的，也可能是出于经济利益驱动的犯罪分子所为；但两者之间的重叠现象越来越普遍。这就引出了一个问题：我们能否将网络犯罪与网络战明确区分开来？答案并非一成不变。”这个问题错综复杂，原因有很多，通常都围绕着“似是而非的否认”这一概念展开。敌对国家不断地混淆视听，将它们使用的手段，甚至将犯罪分子与犯罪团伙混为一谈。

“到2026年，网络冲突将成为一个持续且混合的领域。国家将越来越多地利用犯罪集团实施勒索软件攻击、数据窃取和破坏活动，在实现战略目标的同时，还能保持可信的否认性。传统的‘网络战’定义将过时，”Claroty公司欧洲、中东和非洲区总经理Andrew Lintell表示。

中看出。如果这是俄罗斯国家行为体代表俄罗斯政府实施的，那么它就属于网络战行为，需要政府做出回应。但这次攻击涉及勒索软件，而且是由一个臭名昭著的勒索软件团伙“黑暗面”（Darkside）实施的。这使得普京能够否认任何国家参与，甚至向NBC新闻暗示，这次攻击可能是出于爱国俄罗斯公民的个人政治信仰，与俄罗斯政府没有任何关联。

无论俄罗斯政府是否知情或参与，这种“似是而非的否认”策略都奏效了。美国情报机构或许知道真相，但普通民众却一无所知。Darkside随后不久便突然关闭，声称其基础设施已被不明第三方控制，资金也无法动用。同样，除了俄罗斯或美国政府机构之外，没有人知道究竟发生了什么。

Toro Solutions首席执行官兼创始人彼得·康诺利表示：“归因调查既困难又耗时。企业或许能够发现犯罪活动，但要证明幕后黑手往往需要机密情报以及其他来源的佐证，而这些是私营企业根本无法获取的。这种信息不透明加剧了应对措施和责任认定方面的诸多不确定性。”

Binalyze市场战略副总裁玛丽·威尔科克斯补充道：“令人困惑的是，我们无法确定攻击者是谁，以及他们的攻击目标是什么。对捷豹路虎（JLR）的攻击导致英国经济损失数十亿英镑，这显然是由私人机构实施的，但它更符合网络战的特征，而不是朝鲜黑客通过勒索企业筹集资金。”

SOCRadar首席信息安全官恩萨尔·塞克尔指出，网络战不再是理论上的升级，而是暗流涌动、分散且不对称的现实。“国家代理人如今与以经济利益为驱动的高级持续性威胁（APT）组织混杂在一起，模糊了间谍活动、破坏活动和牟利之间的界限。归因分析已成为一种外交工具，其重要性不亚于取证工具；而包括虚假信息和供应链操纵在内的软实力，其威力往往超过武力打击。到2026年，我们无需等待‘第一次’网络战的爆发——我们已经身处一个永无休止的网络冲突之中。”

一般企业可能永远无法分辨网络攻击是纯粹的犯罪行为还是国家支持的犯罪行为。在这种情况下，企业或许无需了解真相，网络防御将成为公司应对网络攻击的标准措施。但一般企业可能永远无法识别或应对纯粹的国家支持型攻击，这对公司、行业乃至国家本身都是巨大的隐患。国家安全部门必须了解并能够探测网络战，才能评估应对攻击者的正确措施。

评估应对网络战的正确措施

毫无疑问，国家间的网络战如今已然发生，并将于2026年及以后愈演愈烈。“抛开地缘政治因素不谈，我们可以预见，未来几年网络战的发生率将大幅上升，这在很大程度上要归功于人工智能，”Delinea首席执行官Art Gilliand表示。“总的来说，人工智能使得任何人都能以更少的资源发动复杂的网络攻击。对于那些此前无法与强国抗衡的小型国家而言，人工智能有效地改变了竞争格局，使它们能够在更大的地缘政治网络空间中发挥重要作用。”

·伊兹拉尔补充道：“业界需要做好准备，应对超大规模的国家和非国家行为体部署自主人工智能代理进行混合战争的情况，这种战争将网络攻击、虚假信息和动能效应相结合。这种战争相对容易实施，无需耗费大量资源，却能造成最大的破坏和混乱。例如，人工智能可以远程瘫痪运输物流，同时引发电网故障，并发布协调一致的虚假信息宣传活动，在民众中制造混乱。”

与吉利安德一样，他也不认为威胁仅限于超级大国或来自超级大国。“任何略懂技术且能上网的实体，都可能对民用系统、政府机构和军事后勤部门施加同步压力。”

CyXcel首席产品官兼地缘政治风险主管梅加·库马尔提醒大家：“要记住乌克兰的例子。复杂的网络攻击正在直接支持军事目标，它们通过准备战场和支持军事行动来达到目的，例如针对乌克兰政府系统的破坏性恶意软件攻击和篡改网站，这些攻击会造成混乱和不信任；还有Viasat遭入侵，试图切断乌克兰的通信网络并拖延决策。”

面积小得多的乌克兰对俄罗斯发动了一些相当有效的报复性网络攻击。

RunSafe Security创始人兼首席执行官乔·桑德斯表示：“俄罗斯2022年入侵乌克兰的行动始于一系列精心策划的网络攻击，旨在破坏指挥控制系统，切断基辅与外界的联系。台湾每天也面临数百万次针对其基础设施和政府的网络攻击。”

俄罗斯几乎肯定参与了围绕美国大选的虚假信息宣传活动，并且据信正在欧洲各地开展多起网络攻击，旨在破坏社会稳定，展现自身实力，并削弱西方对乌克兰的支持。这属于网络战，但目前来看，其规模还不足以引发公开支持的军事回应。我们尚不清楚俄罗斯是否在美国或欧洲境内进行了任何单独的预先部署。

Armis公司总裁兼首席营收官亚历克斯·莫舍警告说：“大规模的‘黑天鹅’网络事件可能导致多个关键系统同时遭受攻击。试想一下，如果针对一个国家或地区的电网、电信和供水基础设施发动协同攻击，将会造成怎样的后果？这将导致连锁反应，使经济瘫痪、应急服务中断，并危及生命。无论是由国家行为体还是受意识形态驱动的团体发起，此类攻击都可能将网络战和实体战结合起来，造成大规模的现实世界危害。”

然而，政府很少直接归因于明确的网络战攻击。原因很简单：承认攻击就意味着要做出回应。而这种回应必须适度，并且基于百分之百的归因确定——我们已经看到，这很难做到。

错误的应对措施可能导致报复行动，进而升级，最终演变为全面网络战。鉴于多年来持续进行的隐蔽网络战旨在为战场做准备，网络战很容易迅速升级为实战——如果交战双方是两个拥有核武器的超级大国，那么除了核冲突之外，很难看到其他结局。

因此，我们必须做到归因完全准确，应对措施也要适度。

网络战最终走向武力打击并非天方夜谭。“应对措施已经很明确，因此各方已达成共识，采取措施限制破坏性行动的规模。美国的应对措施将是美军采取武力行动，” SCYTHE首席执行官兼创始人解释道。

早在2018年，英国就明确表示，对于造成人员伤亡的网络战行为，采取武力回应是合法的。将“人员伤亡”作为最终的底线，似乎表明这主要是一种对潜在侵略者的口头威慑；但值得注意的是，英国国防部最近宣布将于2025年9月1日对其网络与特种作战司令部（CSOC）进行重组。

英国国防部宣布：“这一变化体现了2025年战略防务评估的雄心壮志，该评估提出了一个大胆的愿景，即让英国在国内更安全、在国外更强大。联合特种作战司令部（CSOC）是这一愿景的核心，它推动了威慑力量的里程碑式转变，并支持武装部队向作战准备状态迈进。”

合规平台IO的首席产品官Sam Peters表示，英国国防部“已成立一个新的网络战司令部，负责保护英国军事网络免受日益增多的网络攻击，并协调进攻性网络行动”。

美国和英国都已做好准备，能够利用自身的网络进攻能力和/或军事行动来应对网络战。

顺便一提，这就是为什么私营企业不应该也绝不应该被允许或尝试进行黑客攻击的原因。一个普通公民的失误就可能引发失控的后果。

最后想说的

真正的网络战是我们很少谈及的现实。我们知道它已经发生，但我们希望它能被控制住。我们把它比作多年前的西方/苏联冷战。“我会把我们称为网络冷战，”SCYTHE 的Bort说。“对手们小心翼翼地逼近冲突边缘，却又不敢冒着爆发战争的风险。”

这让人感到些许安慰——最初的冷战从未演变成热战。

Illumio公共部门首席技术官Gary Barlet补充道：“网络战的定义现在已经没有定论了。它更像是冷战——持续不断、未宣战，而且各方对其解读各不相同。行动和应对措施悄无声息地发生，国家参与程度往往不明朗，而且没有既定的规则或缓和机制。”

他补充道：“网络战是当今地缘政治的核心要素。到2026年，随着各国对数字系统的依赖程度日益加深，网络冲突的影响将愈发显著。数字基础设施为国家带来的机遇也为那些企图作恶者创造了重要的目标。”

随着地缘政治局势恶化，网络战也将愈演愈烈。我们希望它永远不会爆发，但我们应该意识到这种可能性及其后果。企业网络安全防御人员虽然不直接参与其中，但却是其中至关重要的一环。我们系统的安全防护越完善，敌对国家就越不可能利用我们对网络的依赖来对付我们。

对抗网络战需要所有人的参与：政府机构和私营企业——以及两者之间日益加强的合作。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 铸盾安全 铸盾安全《2026年网络安全洞察：网络战与日益增长的国家威胁》