節日季不僅是慶祝和回顧過去的一年,也是展望未來 12 個月以及未來 12 個月可能發生的事情的時候。做出預測總是一件冒險的事情,尤其是在網絡安全這樣一個不斷發展的行業,它就像貓捉老鼠一樣,安全專家會對新的不法分子所做的事情做出反應,反之亦然。
盡管如此,根據已知的趨勢,有些主題有望成為現實,并將塑造 2025 年的網絡格局,該領域的專家在過去幾周里一直在討論他們的預期。毫不奇怪,生成式人工智能——其觸角正在迅速擴展到生活和商業的各個領域——預計將在威脅行為者磨練攻擊和威脅情報專家加強保護方面發揮重要作用。
正如休斯網絡系統公司( MSSP Alert MSSP 250 榜單上的一家公司)企業部高級副總裁兼總經理 Dan Rasmussen所說,“隨著人工智能驅動的網絡威脅成為主流,網絡安全將成為各行各業的首要任務。網絡安全將迅速轉變為‘機器對抗機器’,因為人工智能將不再僅僅幫助人類,還將幫助自己。”
網絡安全領域充滿了擔憂和可能性,但以下是網絡安全專家在 2024 年邁向 2025 年之際提到的一些重要主題。
1. 生成式人工智能的崛起:朋友與敵人
黑客和防御者都在瘋狂地將生成式人工智能用于自己的目的,希望能夠互相制衡。對于不法分子來說,人工智能將使他們能夠擴大威脅武器庫。Zscaler 的首席戰略官 Deepen Desai 表示,生成式人工智能將推動更有效、更逼真的語音網絡釣魚攻擊,并導致更多的身份泄露、勒索軟件和數據泄露,而 Proofpoint 預測人工智能代理的興起將使黑客能夠更好地在人工智能模型中操縱私人數據。RSA 大會 (RSAC) 首席戰略官 Darren Shou 預計,數字信任將受到更大的威脅,因為生成式人工智能“通過輕松創建令人信服的個人資料(其中包含可繞過 KYC [了解你的客戶] 和生物識別檢查的虛假個人信息)”導致“虛假數字身份數量驚人增加”。Shou 以朝鮮備受矚目的假 IT 工作者詐騙案為例。
盡管如此,人工智能也能提高防御能力。Menlo Ventures 投資者 Feyza Haskaraman 表示,組織需要將先進的人工智能工具與熟練的安全團隊結合起來。此外,“SOC [安全運營中心] 團隊將在人工智能中找到他們完美的盟友,從最初的威脅調查到一級事件解決,人工智能將徹底改變一切。”
Hughes 的 Rasmussen 表示,MSSP 將發揮關鍵作用,并補充說:“GenAI 的激增、對技術支持的需求不斷增加以及相關人才的缺乏為自助 IT 創造了一場完美風暴。自助 IT 解決方案將有助于簡化業務功能,同時為組織創造競爭優勢。”網絡初創公司 DataTribe 的董事總經理 John Funge 表示,人工智能還在增強軟件測試能力和流程,使開發人員能夠發布更安全、安全漏洞更少的應用程序。
2.勒索軟件將繼續存在
在人工智能的幫助下,勒索軟件這一組織禍害只會變得更加精細。身份安全提供商 Permiso 的副威脅研究員 Art Ukshini 表示,人工智能將使組織能夠更好地分析大量公開和被盜數據,自動化攻擊步驟,在攻擊期間做出決策,并制作“量身定制的勒索軟件”以確定最合適的勒索軟件金額。
Zscaler 的 Desai 表示,值得關注的一個趨勢是,勒索軟件團體的攻擊破壞性越來越小,他們竊取數據并將其用于勒索軟件,但不會通過加密數據造成重大業務中斷。這些無加密攻擊使犯罪分子能夠繼續向受害者勒索錢財,同時保持低調,這意味著媒體和執法部門的審查更少。
3. 醫療保健仍是焦點
Desai 表示,醫院、診所和其他醫療機構與制造業、教育和能源組織一樣,是勒索軟件的主要目標——正如 2024 年針對Change Healthcare和Ascension等公司的高調攻擊,這些攻擊竊取了大量個人數據——而且這種趨勢將持續到 2025 年。RSAC 研究副總裁 Petros Efstathopoulos 表示,這將推動醫療機構使用人工智能和去中心化身份來現代化其身份安全協議。
“隨著人工智能工具成為醫療保健的核心,人工智能驅動的身份和訪問管理對于安全管理人類和機器身份至關重要,”Efstathopoulos 說。“雖然分散的數字身份方法仍處于早期階段,但它們為該行業提供了一個更安全、可互操作的未來。”
4.地緣政治的作用
Proofpoint 寫道:“2024 年表明,與國家結盟的網絡間諜活動與地緣政治動態緊密交織在一起。”“2025 年,APT [高級持續威脅] 行動將繼續反映全球和地區沖突。”在重大沖突前夕,大多數網絡間諜活動都集中在俄羅斯、中國和伊朗等已知的國家支持者身上。然而,各種以地區沖突為重點的不良行為者將在來年加快他們的行動,因為他們尋求“網絡提供的不對稱優勢”。
與此同時,Radware 威脅情報總監 Pascal Geenens 表示,預計黑客行動主義將有所增加,“其政治和宗教意識形態已成為全球惡意攻擊活動激增的驅動力”。Geenens 補充說,防范此類團體的關鍵是了解他們的情報,以創建有助于優先分配資源和預算的預警系統。
5. 更多監管=更多合規機會
拜登政府一直積極推行網絡安全法規和標準,但預計特朗普總統將撤回許多努力。BreachRx 首席執行官安迪·倫斯福德 (Andy Lunsford) 表示,這將導致各州采取他們過去在這種情況下所做的事情:用自己的法律填補空白,公司將需要更加積極主動。
“目前有 50 多項州級法律適用于數據隱私和安全,企業面臨著分散的合規環境,隨著各州頒布自己的措施,合規環境可能會變得更加復雜和昂貴,”Lunsford 表示。“公司必須為這種不斷演變的復雜性做好準備,加強事件響應能力,確保他們有能力應對各種要求。”
數據擦除軟件制造商 Blancco 的美洲區副總裁兼總經理兼安全策略師 Maurice Uenuma 表示,“數據隱私法規五花八門”——超過 20 個州都有此類法律——將使組織面臨的合規問題更加嚴重。加強治理流程是必要的。
6. CISO 的性質正在發生變化
近年來,首席信息安全官備受關注,部分原因是聯邦政府試圖將數據泄露的個人責任與首席信息安全官掛鉤。然而,7 月份聯邦法院法官決定駁回對 SolarWinds 首席信息安全官 Timothy Brown的大部分指控,這減輕了部分壓力。Exabeam 首席信息安全官 Kevin Kirkwood 表示,他認為到 2025 年,首席信息安全官的角色將從指責對象轉變為管理和解釋數據泄露的關鍵合作伙伴。
柯克蘭說:“這個職位不應該為違規行為承擔責任,而應該闡明違規行為的細微差別和復雜性,以及圍繞風險管理的防御策略和決策。”
然而,壓力依然存在。Cloudflare 首席安全官 Grant Bourzikas 表示,在 10 年內,每家公司都將在其業務中使用人工智能,否則就會消失。首席信息安全官必須弄清楚如何啟用人工智能,而不僅僅是阻止它。但圍繞新興技術的創新發展如此之快,以至于很少有首席信息安全官了解它或隨之而來的風險,這意味著許多公司沒有做好準備,這給了威脅行為者優勢。
一些供應商還預計,隨著監管領域變得復雜,對虛擬 CISO (vCISO)的威脅將會增加。MSP ECI 信息安全副總裁 Chad Fullerton 表示,法規將推動合規工作量,“企業將尋求 vCISO 服務來幫助他們解決數百小時的新合規義務。”
7.保護供應鏈
2020 年對軟件制造商 SolarWinds 的攻擊是一個慘痛的教訓,它告訴我們,對軟件供應鏈的攻擊會造成多大的破壞,而對 Okta 和 Progress 等供應商及其MOVEit 傳輸工具的攻擊也進一步證明了這一點。Permiso 威脅研究經理 Isuf Deliu 表示,隨著威脅行為者利用第三方軟件、云服務和關鍵供應商的漏洞,此類攻擊將在 2025 年增加。
Deliu 表示:“通過攻擊大型供應商,攻擊者將能夠訪問更廣泛的受害者網絡,從而擴大其活動的規模和影響力。”
Exabeam 首席產品官史蒂夫·威爾遜 (Steve Wilson) 表示,這種擔憂也會影響到人工智能。人們對人工智能的擔憂主要集中在數據、工作和安全方面,而這些數據方面的擔憂可能會導致使用機器學習物料清單 (ML-BOM),類似于其他軟件的物料清單。
Wilson 表示:“組織需要披露其模型所用的數據,確保其來源和安全性的透明度。”“法規可能會要求公司證明他們合法擁有并負責任地獲取了訓練數據,以降低未經授權或低質量來源的風險。這種轉變可能會導致擴展的 ML-BOM 框架,該框架不僅列出組件,還提供有關 AI 模型中使用的每個數據源的來源、質量和合規性的全面文檔。”
8. API 成為日益增長的目標
Radware 高級解決方案主管 Uri Dorot 表示,針對 API 的攻擊將繼續增加,API 是軟件中越來越重要的部分,已成為現代商業世界的連接紐帶。這并不奇怪:隨著應用程序變得越來越相互關聯和復雜,API 的數量及其交互將會增加,這為攻擊者利用安全漏洞創造了機會,Dorot 說。
然而,AI 有望通過實時檢測和阻止惡意活動并確保僅應用可靠的策略來提高 API 安全性。此外,“將 Gen AI 集成到 SOC 管理中不僅有助于處理大量流量和數據以及日益復雜的 API 攻擊,而且還通過提供快速的即時根本原因分析、見解和建議,大大縮短了平均解決時間,”他說。
這些只是對 2025 年網絡安全的眾多期望中的一小部分。安全專家還警告稱,隨著人工智能使網絡釣魚功能普及,內部和中間人 (AiTM) 攻擊將增多,中端市場和中小企業將面臨更大威脅,互聯網服務提供商將看到更多由人工智能生成的攻擊活動。基本主題是人工智能將在發起和防御攻擊方面發揮核心作用,企業需要做好準備,而 MSSP 可以發揮核心作用。
