人工智能在2025年仍將是一個熱門話題，但不要錯過其他趨勢，包括初始訪問代理的增長、首席信息安全官(vCISO)的崛起、技術合理化等等。

　　每年這個時候，行業(yè)專家和分析師都會關注明年的網(wǎng)絡安全趨勢、預測和挑戰(zhàn)。

　　專家預測，到2024年，生成式人工智能(GenAI)和大型語言模型將會增加，勒索軟件攻擊和第三方供應鏈挑戰(zhàn)也將持續(xù)。這些趨勢是真實的，因為威脅參與者使用GenAI創(chuàng)建了更有說服力的社會工程攻擊，數(shù)據(jù)存儲供應商Snowflake的客戶遭受了破壞，Change Healthcare遭受了破壞性的勒索軟件攻擊。

　　以下了解網(wǎng)絡安全行業(yè)專家對2025年的預測。

　　1.首席信息安全官退出人工智能應用

　　人工智能在2024年風靡一時，但不要指望2025年人工智能的采用率會如此之高——至少安全團隊不會這么做。事實上，F(xiàn)orrester Research公司預計，在未來一年，GenAI在安全用例中的應用將減少10%。

　　該分析公司的客戶群指出，采用該技術的一個障礙是預算不足。Forrester公司分析師Cody Scott表示，首席信息安全官不重視采用率的另一個原因是，客戶沒有看到安全帶來的好處，對目前的人工智能體驗感到沮喪。

　　Scott說，GenAI和AI模型因其自動化安全領域機械生產(chǎn)力任務的能力而受到吹捧，例如報告和分析，但它們還沒有提供太多的事件響應。

　　2.在GenAI和人工智能模型周圍設置護欄的壓力

　　Informa TechTarget企業(yè)戰(zhàn)略集團網(wǎng)絡安全實踐總監(jiān)Melinda Marks表示，整個企業(yè)對人工智能的持續(xù)采用將導致行業(yè)推動制定有關人工智能安全使用的法規(guī)。

　　Marks說：“安全團隊希望積極主動，領先于人工智能的使用，因為像任何創(chuàng)新技術一樣，人工智能很容易失控。”

　　保護使用GenAI開發(fā)的代碼對于保護應用程序和敏感數(shù)據(jù)至關重要。馬克斯補充說，安全團隊知道這一點，并希望確保他們盡早設置護欄。

　　3.為初始訪問代理的興起做好準備

　　德勤網(wǎng)絡威脅情報團隊表示，首次訪問經(jīng)紀人的數(shù)量有所增加，預計這一趨勢將在2025年持續(xù)下去。

　　內部攻擊者是威脅行為者或威脅組織，他們將進入受害組織網(wǎng)絡的權限出售給惡意的第三方客戶。iab專門負責闖入網(wǎng)絡，而不是自己進行最終攻擊——勒索軟件、數(shù)據(jù)泄露或其他攻擊。購買進入組織的訪問權限降低了威脅行為者的進入門檻，因為它使他們無需技術知識就可以進行攻擊。

　　德勤(Deloitte)美國網(wǎng)絡情報主管Clare Mohr表示，僅在2024年10月，就有近400起IABs在地下論壇上列出了非法訪問公司的情況。預計未來會有更多的攻擊活動使用IAB產(chǎn)品。

　　4.對托管安全服務提供商(msp)的依賴增加

　　Informa TechTarget旗下Omdia的網(wǎng)絡安全研究總監(jiān)Maxine Holt表示，到2025年，企業(yè)將加大對托管安全服務提供商的投資，以提高安全彈性。

　　Holt說：“企業(yè)沒有內部資源、技能或專業(yè)知識。她希望托管安全服務提供商的能夠特別幫助管理非人類身份，包括服務器、移動設備、微服務和物聯(lián)網(wǎng)設備等。

　　非人類身份的增長擴大了身份格局。Omdia發(fā)現(xiàn)，目前非人類身份的數(shù)量是人類身份的50比1.Holt說：“對于大多數(shù)組織來說，不可能在內部完成所有事情。

　　5.是時候進行技術合理化了

　　根據(jù)帕洛阿爾托網(wǎng)絡公司(Palo Alto Networks)的數(shù)據(jù)，安全團隊正面臨著工具過載的問題大多數(shù)團隊平均擁有超過30個工具，這可能是一種阻礙，而不是幫助。

　　管理服務商Optiv公司的首席信息安全官Max Shier表示，他預計到2025年，首席信息安全官將進行安全技術合理化，即評估組織的安全堆棧，以實現(xiàn)價值最大化，消除冗余和低效率。技術合理化可以幫助組織解決工具蔓延和削減成本。

　　首先，Shier建議公司確定他們的用例，并檢查產(chǎn)品路線圖，作為提案流程請求的一部分，無論是作為新工具還是簽署續(xù)簽許可協(xié)議。

　　組織需要回答的幾個問題包括：

　　這些工具或平臺是否以與組織相關的方式協(xié)助數(shù)據(jù)安全?

　　組織需要的功能是在不久的將來出現(xiàn)在路線圖上，還是還很遙遠?

　　當前的安全堆棧有多成熟，這些工具會鞏固它嗎?

　　Shier補充說，不要指望會有快速的轉變。根據(jù)許可協(xié)議，可能需要三到五年的時間才能看到工具數(shù)量的差異。

　　6.網(wǎng)絡攻擊者在攻擊前表現(xiàn)得更有耐心

　　網(wǎng)絡攻擊者并不總是為了快速攻擊。有些攻擊是醞釀已久的，比如2024年發(fā)現(xiàn)的Volt Typhoon網(wǎng)絡攻擊。這個國家威脅組織至少在5年的時間里一直可以持續(xù)訪問關鍵的基礎設施目標，而沒有采取任何行動。

　　網(wǎng)絡安全供應商Titania的市場戰(zhàn)略和發(fā)展高級副總裁Phil Lewis預測，2025年及以后，這些先進的持續(xù)威脅將會更多。攻擊者將攻擊目標，并在很長一段時間內保持休眠狀態(tài)，不被發(fā)現(xiàn)，直到攻擊時機成熟。

　　這些復雜的攻擊很難檢測和緩解。Lewis說，組織應該把重點放在網(wǎng)絡彈性上，而不是預防上，因為歷史表明，攻擊者不會一直被阻止。他還建議組織實施微分段和宏分段，以使對手更難以進行橫向移動和數(shù)據(jù)泄露。

　　7.開源軟件攻擊和立法增多

　　開源軟件攻擊的數(shù)量迅速增長，自從2023年11月以來，供應鏈管理供應商Sonatype跟蹤了超過50萬個新的惡意軟件包。

　　開源安全基金會(OpenSSF)是一個由軟件和安全工程師組成的社區(qū)，預測2025年開源軟件攻擊將繼續(xù)上升。

　　OpenSSF的首席安全架構師Christopher Robinson表示，部分挑戰(zhàn)在于開發(fā)人員并不總是接受過安全方面的培訓。他補充說，許多組織沒有對他們的申請進行適當?shù)膶彶椤Ｏ喾矗麄冎皇?ldquo;盲目地接受組件”，這可能會使他們自己和他們的客戶受到漏洞的影響。

　　為了緩解問題，Robinson建議要求供應商提供軟件材料清單，以了解其軟件的組件，并進行模糊測試、源代碼分析和漏洞掃描，以評估軟件安全性。他補充說，公司和供應商也應該報告和分享潛在的安全問題，讓其他人和開源社區(qū)了解情況。

　　隨著開源供應鏈攻擊數(shù)量的增加，預計相關法規(guī)也會隨之出臺。Robinson表示，OpenSSF已經(jīng)在與歐盟委員會合作制定開源法規(guī)，并聽說日本和印度政府也在考慮類似的立法。

　　8.缺乏跨云的可見性會損害組織

　　云計算在當今的組織中是司空見慣的。MSPDirectDefense首席技術官兼總裁JimBroome表示：“我敢說，很多客戶已經(jīng)遷移到云計算，只是為了從資本支出過渡到運營支出，以更好地負擔他們的基礎設施。”

　　向云的遷移給企業(yè)帶來了可見性方面的挑戰(zhàn)，這些挑戰(zhàn)可能會在2025年對企業(yè)造成傷害，尤其是在多云環(huán)境中。Broome說，“不幸的是，99%的情況下，組織沒有正確地將數(shù)據(jù)從本地遷移到云端，尤其是在疫情期間。”當新冠疫情襲來時，員工被允許訪問和使用敏感數(shù)據(jù)，而他們的組織卻沒有太多的可見性和監(jiān)督，這個問題從未得到解決。

　　組織應該將云安全態(tài)勢管理納入預算，以確保跨多個云的敏感數(shù)據(jù)的安全。他補充說，利益相關者還應該檢查云中的數(shù)據(jù)的安全性，并考慮采用現(xiàn)有工具或平臺或新工具的可見性和響應能力。

　　9.虛擬首席信息安全官和CSO顧問人數(shù)增加

　　2025年可能是首席信息安全官選擇虛擬首席信息安全官(vCISO)或首席信息安全官顧問角色而不是全職內部角色的一年。

　　“我們一直聽說首席信息安全官是‘首席替罪羊官’，對吧?”風險管理供應商BlackKite的高級副總裁兼網(wǎng)絡風險策略師Jeffrey Wheatman說。例如，SolarWinds的首席信息安全官Tim Brown在最近美國證券交易委員會對該供應商提起的訴訟中被點名。

　　他說，“他們覺得自己沒有得到支持，或者在違約后要自己承擔后果。突然之間，他們不再想要全職合同了。”

　　Wheatman說，他的許多首席信息安全官和前首席信息安全官朋友最近都開始考慮擔任首席信息安全官和首席信息安全官顧問。

　　對于沒有資源聘請全職首席信息安全官的組織來說，首席信息安全官(vCISO)是一個受歡迎的選擇。有些組織可能只需要按需提供幫助，比如在年初提供年度戰(zhàn)略，每季度根據(jù)需要提供幫助——這是惠特曼的一位首席戰(zhàn)略官顧問朋友目前正在做的事情。

　　10.人工智能代理成為妥協(xié)的目標

　　人工智能代理是一種支持人工智能的軟件，可以執(zhí)行自主決策和行動。作為先進的聊天機器人，這些代理可以幫助客戶獲得他們之前向客戶服務或服務臺員工提出的問題的答案，或者他們可以管理工作流程并進行研究以創(chuàng)建假設和分析。

　　實時風險檢測供應商Dataminr的產(chǎn)品管理副總裁Shimon Modi表示，隨著越來越多的組織實施人工智能代理，預計威脅行為者也會將其作為目標。

　　事實上，一些攻擊者已經(jīng)在使用人工智能代理來攻擊部署它們的公司，通常是以快速注入攻擊的形式。例如，一個人工智能代理被騙為一輛雪佛蘭卡車報價低得離譜，另一個被騙轉移了4.7萬美元的加密貨幣。2025年，威脅行為者可能會欺騙人工智能代理泄露敏感數(shù)據(jù)或重置用戶密碼。

　　為了保護人工智能代理免受此類攻擊，莫迪表示，組織應該應用傳統(tǒng)的安全和治理原則，并調整現(xiàn)有的劇本，以納入人工智能安全。例如，組織可以對人工智能代理應用漏洞評估和測試，以及使用數(shù)據(jù)分類來控制人工智能代理可以訪問哪些數(shù)據(jù)，從而控制它們可以執(zhí)行哪些請求。