盡管在2021年至2022年間，網(wǎng)絡(luò)安全預(yù)算有所增長，但近幾年的增長勢頭已明顯放緩。這意味著，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者在采購決策時(shí)，必須更加審慎地考慮如何改善當(dāng)前的安全和合規(guī)狀況，以確保每一分投入都能帶來實(shí)實(shí)在在的效益。

那么，如何在2025年優(yōu)化企業(yè)的網(wǎng)絡(luò)安全預(yù)算，以有效應(yīng)對不斷演變的威脅呢?領(lǐng)導(dǎo)層需要深入了解當(dāng)前的網(wǎng)絡(luò)安全格局，并明確哪些舉措能夠幫助他們恰當(dāng)?shù)鼐徑怙L(fēng)險(xiǎn)。

AI：憑證安全的“隱形殺手”

雖然現(xiàn)在的AI模型不會像科幻電影中的終結(jié)者那樣，用深沉且?guī)Э谝舻穆曇粽f出“我會回來的”，但它們正以更加隱蔽的方式威脅著我們的網(wǎng)絡(luò)安全。不法分子越來越頻繁地利用ChatGPT等AI模型創(chuàng)建深度偽造內(nèi)容，以改進(jìn)他們的社會工程攻擊。

過去，零信任的口號是“信任但驗(yàn)證”，而如今，這一格言已演變?yōu)?ldquo;不信任任何事物和任何人”。隨著惡意行為者利用AI和大型語言模型(LLM)，社會工程攻擊變得愈發(fā)逼真，攻擊者能夠輕松模仿現(xiàn)實(shí)世界中人們的物理和數(shù)字存在。例如，網(wǎng)絡(luò)犯罪分子只需將CEO社交媒體個(gè)人資料中的內(nèi)容輸入AI，然后使用“以該個(gè)人的風(fēng)格撰寫”的提示，就能生成看似合法的釣魚郵件。這使得人們難以區(qū)分真假信息，從而增加了憑證被盜用的風(fēng)險(xiǎn)。

為了應(yīng)對這一挑戰(zhàn)，企業(yè)需要制定全面的身份策略，以識別所有用戶并了解他們的正常行為。如果沒有這些能力，幾乎無法識別因憑證被盜用而產(chǎn)生的異常活動。

初始訪問方法的“商品化”擴(kuò)大了攻擊面

惡意行為者繼續(xù)將漏洞利用作為獲取初始訪問權(quán)限的主要方法。一旦他們識別出可利用的漏洞，就會使用略有不同的攻擊路徑來入侵系統(tǒng)。當(dāng)我們將視角放大，審視整個(gè)網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)時(shí)，初始訪問問題就顯得更加有意義了。

在暗網(wǎng)上，網(wǎng)絡(luò)犯罪分子越來越專注于自己的細(xì)分專業(yè)領(lǐng)域。例如，初始訪問中介(IAB)專注于獲取目標(biāo)系統(tǒng)的訪問權(quán)限，然后在暗網(wǎng)或Telegram頻道上出售這些訪問權(quán)限。無論他們出售的是與漏洞相關(guān)的訪問權(quán)限還是被盜的憑證，這一生態(tài)系統(tǒng)都使得不那么老練的網(wǎng)絡(luò)犯罪分子能夠部署更復(fù)雜的攻擊。

對于中型和大型企業(yè)而言，由于它們更可能成為攻擊者的目標(biāo)，因此風(fēng)險(xiǎn)緩解策略可能包括更頻繁、更廣泛地輪換密碼，以降低憑證被盜用的風(fēng)險(xiǎn)。

身份管理：安全的核心與挑戰(zhàn)

身份一直是安全的核心，并且這一地位將不會改變。雖然企業(yè)可能對其人類用戶和身份有深入的了解和管理，但在管理非人類身份(如服務(wù)賬戶)方面卻越來越吃力。

隨著機(jī)器與機(jī)器之間的通信以及跨應(yīng)用程序使用的身份數(shù)量爆炸式增長，惡意行為者越來越多地將機(jī)器對機(jī)器和應(yīng)用程序?qū)C(jī)器的身份作為攻擊向量。技術(shù)債務(wù)、混亂和不明確的訪問路線為攻擊者創(chuàng)造了額外的機(jī)會。特別是在多云和混合基礎(chǔ)設(shè)施中，惡意行為者可以利用多條訪問路線來入侵系統(tǒng)。

服務(wù)賬戶可能帶來的風(fēng)險(xiǎn)包括開發(fā)人員創(chuàng)建的安全變通方法、第三方供應(yīng)商的系統(tǒng)以及密碼策略未更新的舊設(shè)備、賬戶和權(quán)限等。因此，識別和管理服務(wù)賬戶將是關(guān)鍵的安全風(fēng)險(xiǎn)緩解策略。企業(yè)需要明確定義這些賬戶可以做什么和不可以做什么，并像對人類管理員賬戶一樣嚴(yán)格執(zhí)行這些策略。

合規(guī)：不可或缺的一環(huán)

本杰明·富蘭克林曾斷言：“世界上除了死亡和稅收之外，沒有什么是確定的。”如果他今天還在世，他可能會加上“還有數(shù)據(jù)保護(hù)法規(guī)”。盡管全球范圍內(nèi)出現(xiàn)了一些放松管制的舉措，但網(wǎng)絡(luò)安全卻是個(gè)例外。立法和監(jiān)管機(jī)構(gòu)將繼續(xù)加倍努力，確保公司保護(hù)消費(fèi)者和員工的信息。

企業(yè)應(yīng)投資于能夠生成強(qiáng)大合規(guī)文檔的解決方案，并能夠跨多個(gè)法律、法規(guī)和框架進(jìn)行映射。這將有助于企業(yè)滿足不斷變化的合規(guī)要求，并證明其已采取了適當(dāng)?shù)陌踩胧?/p>

網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)：更嚴(yán)格的審查與監(jiān)控

在商業(yè)世界中，網(wǎng)絡(luò)保險(xiǎn)被視為一種轉(zhuǎn)移安全事件成本的方式。然而，近年來網(wǎng)絡(luò)保險(xiǎn)提供商對于應(yīng)該賠付公司哪些費(fèi)用變得越來越謹(jǐn)慎，并更新了他們的保險(xiǎn)范圍和除外條款以變得更加嚴(yán)格。甚至最初獲得保險(xiǎn)的要求也變得顯著更加苛刻。

為了獲得網(wǎng)絡(luò)責(zé)任保險(xiǎn)的批準(zhǔn)，企業(yè)需要回答保險(xiǎn)承保人提出的越來越具體的問題，并提供持續(xù)的控制監(jiān)測來支持這些回答。這意味著企業(yè)需要更有效地實(shí)施、維護(hù)和監(jiān)控安全控制，以滿足保險(xiǎn)公司的要求。

減少用戶摩擦：提高安全采用率的關(guān)鍵

企業(yè)需要部署更多的安全產(chǎn)品、制定更深入的安全策略，并以更嚴(yán)格的方式監(jiān)控其環(huán)境。然而，每次添加新的控制措施時(shí)，都會給最終用戶帶來額外的摩擦。例如，企業(yè)在允許用戶登錄公司設(shè)備、網(wǎng)絡(luò)和應(yīng)用程序之前，會添加新的身份驗(yàn)證因素。這增加了登錄步驟和時(shí)間，對于用戶來說是一種負(fù)擔(dān)。

為了減輕這種負(fù)擔(dān)并提高安全的采用率，企業(yè)需要尋找減少摩擦的解決方案。隨著消費(fèi)者和客戶要求企業(yè)對他們的敏感信息負(fù)責(zé)，公司需要實(shí)施能夠幫助他們在安全性和可用性之間找到微妙平衡的解決方案。

展望未來：以身份為基礎(chǔ)的水晶球

雖然無人能真正預(yù)測未來，但過去幾年基于身份的攻擊在統(tǒng)計(jì)上的增加表明，威脅行為者將繼續(xù)部署這些方法。因此，當(dāng)企業(yè)在2025年選擇其網(wǎng)絡(luò)安全投資時(shí)，他們應(yīng)該重點(diǎn)考慮如何實(shí)施身份衛(wèi)生、在復(fù)雜環(huán)境中(包括由相互連接的應(yīng)用程序和大量難以管理的用戶如服務(wù)賬戶組成的環(huán)境)實(shí)施、維護(hù)和監(jiān)控用戶訪問的流程。

通過加強(qiáng)身份管理、提高合規(guī)性、優(yōu)化網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)策略以及減少用戶摩擦，企業(yè)可以更好地應(yīng)對不斷演變的網(wǎng)絡(luò)安全威脅，并保護(hù)其敏感信息和資產(chǎn)免受攻擊。