“危“”機“并存,五位網絡安全大咖預警2025年安全態勢
責編:gltian |2024-12-06 16:59:51在數字技術快速迭代的今天,網絡安全的威脅與挑戰也在不斷升級。隨著2025年的腳步臨近,人工智能、量子計算等新興技術正在重塑網絡安全的未來。面對這場數字化轉型浪潮,企業該如何構筑更堅實的安全防線?
為洞悉2025年網絡安全發展趨勢,本文分享了來自F5、CM Alliance、Black Kite等全球知名安全企業的五位專家對未來網絡安全格局的獨到見解。
F5公司杰出工程師 Lori MacVittie:
零信任將在網絡安全中占據C位
2025年的零信任不僅關乎到保護資產,它還將重新思考安全框架,以跟上正在改變企業格局的快速技術進步。
2025年,零信任將在網絡安全中占據中心位置,以應對生成式AI的崛起和數字生態系統架構的變化。雖然生成式AI提高了對安全訪問控制和數字資產保護的需求,但推動零信任采用的真正動力將是AI集成帶來的結構性轉變。
隨著企業快速采用AI即服務,他們迫切需要確保入站和出站數據請求的安全,有效地拆除傳統”數據中心邊界”的最后殘余。此外,檢索增強生成(RAG)模式的日益普及引入了向量數據庫,需要在傳統網絡安全框架之外進行更細粒度的數據訪問控制。
零信任為保護生成式AI創造的擴大攻擊面提供了強大方案。然而,實施這一框架還需要投資自適應安全技術,如基于身份的訪問控制、持續監控和情境感知授權。隨著零信任的發展,企業必須采用能與AI工作負載無縫集成的解決方案,確保安全策略具有動態性、數據中心性和抵御AI驅動威脅的韌性。
CM Alliance CEO Amar Singh:
融入AI技術的勒索軟件攻擊將加劇
犯罪分子依然是犯罪分子。隨著比特幣價格上漲,勒索軟件也將增加,這將為現有和潛在的犯罪分子帶來更多利潤和收入。
攻擊者越來越多地利用人工智能。到2025年,預計AI將更深入地融入犯罪活動。AI在網絡攻擊中的使用可能性正在上升,這可能導致嚴重且令人擔憂的后果。由于AI系統可能更加不加區別地運作,且不完全理解其行為的后果,造成大規模破壞的潛在可能性會急劇增加。同時,我們也期待看到打擊網絡威脅的技術進步和AI應用。
此外,完全自主的黑客攻擊可能會成為主流,并可能被潛在犯罪分子所利用,這將帶來嚴重后果。
諸如DORA等新的監管法規和合規要求即將出臺。雖然我基本支持這些舉措,但受監管組織已經承擔了巨大的合規負擔。2025年這些負擔不會減輕,實際上還會加大壓力。在資源有限的情況下,這往往會使重點從韌性轉移到合規性上。
Fortra全球AWS技術聯盟總監 Nick Franklin:
?恢復能力比任何時候都更重要
到2025年,首席信息官將深入評估安全和可觀察性工具對其組織的影響。
2024年7月,全球第二大網絡安全ISV(獨立軟件供應商)因其代理程序更新中的一個缺陷導致全球大部分地區陷入停頓。這向全世界清楚地表明,從幾乎不會使用智能手機的普通人,到CEO,再到世界領導人,系統韌性比以往任何時候都更加重要。首席信息官們不能再僅僅滿足于安全產品提供的功能和優勢。他們將需要更大的保證,確保不會被用于保護和監控環境的工具意外造成災難。
我們將看到這一點體現在法律和合同條款及服務水平協議的討論中,對第三方工具與自有系統和應用程序之間交互的加強審查,以及供應商必須準備應對的更深入技術評估、安全性和可觀察性。你的終端代理是否有內核訪問權限?你的SaaS應用程序的跨賬戶IAM角色是否在沒有業務需求的情況下授予員工過度訪問權限來獲取工具捕獲的終端客戶信息?這些都是我看到越來越頻繁出現的非常基本但真實的場景。這只是組織努力降低第三方風險時即將面臨的嚴格審查的冰山一角。
巨型云服務商將繼續積極爭取新客戶。但我預測,我們將看到這些云服務提供商開發和發布更多原生網絡安全功能,以獲取更多客戶收入。我們已經超越了云計算作為新鮮事物而人人趨之若鶩的階段。云供應商現在為客戶提供數百種原生服務和解決方案,包括安全服務。然而,在2025年及以后,為了滿足利益相關者的收入需求,這些云計算巨頭很可能會開發和推出大量原生安全工具和功能,承諾客戶能夠在云控制平面內安全地管理其數據和應用程序。其次,我們可能會看到這些巨型云服務商戰略性收購一些前沿安全公司。
Black Kite首席安全官Bob Maley:
安全自動化將填補資源缺口
隨著生成式AI的進步,預測模型可能會更深入地整合AI。與其說是“AI接管“,不如說我們將看到它將支持人類做出更快速、更明智的安全決策。安全自動化將幫助填補資源缺口,而不是完全取代人才。
到2025年,我們預計將出現大量行業特定的AI保證框架,用于驗證AI的可靠性、偏差緩解和安全性。這些標準將從”可有可無”的指導原則,轉變為在金融、醫療保健和關鍵基礎設施等受監管行業運營的組織的關鍵要求。監管環境將推動公司建立正式的AI治理計劃,提供可驗證的公平、安全和透明AI運營證據,強調從設計到部署的問責制。
具體而言,組織將面臨壓力,需要采用獨立的第三方審計來驗證AI系統是否符合新興法規。可以將其視為AI版的SOC 2——標準化審計將涵蓋安全性、偏差、道德和運營透明度,創建一個新的合規驅動的”AI保證”分支,供應商必須在其第三方風險評估中展示這一點。這種標準化推動將解決AI信任赤字問題,使”AI保證”成為董事會級別的討論話題。
Myriad360公司現場CTO Karan Bhagat:
網絡安全將更加重視保護關鍵業務資產
隨著企業構建和擴展其數據湖(海量原始非結構化數據存儲庫),管理和保護這些資產的復雜性也將增加。
高性能計算(HPC)和GPU集群的高速網絡基礎設施發展將強勁增長,特別是隨著AI”工廠”在私有和公共云環境中的發展。
對AI等數據驅動技術的依賴增加將促使網絡安全更加重視保護關鍵業務資產。AI將幫助組織從數據湖中提取價值,但AI系統易受操縱和利用,使網絡安全成為更緊迫的問題。
在數據治理方面,確保數據的可訪問性、可用性和安全性將成為管理大規模數據湖的基本要素,而管理訪問、使用和合規性的安全策略將變得更加復雜。
我們將看到新技術存儲供應商開發面向私有和公共云的高級存儲架構,以解決低延遲、負載均衡和異步數據流等問題。模型應該能夠快速獲取所需數據以避免瓶頸。數據服務的任何延遲都可能降低整個訓練過程的速度,因此低延遲數據管道和緩存系統至關重要。此外,隨著來自GPU的請求規模擴大,數據檢索系統必須有效平衡負載以避免特定節點過載,而在訓練過程中,模型通常需要持續的數據流以避免等待。
編者的話
展望2025年,網絡安全形勢將更加復雜多變。從專家們的觀點可以看出,人工智能將在網絡安全領域扮演雙刃劍的角色:一方面可以增強防御能力,提供更智能的安全解決方案;另一方面也可能被攻擊者利用,帶來新的安全威脅。
組織機構需要持續優化零信任架構、加強安全自動化建設、提升數據保護能力、增強系統韌性、培養專業安全人才,才能在瞬息萬變的網絡安全領域立于不敗之地。