“危“”机“并存,五位网络安全大咖预警2025年安全态势
日期:2024年12月04日 阅:111
在数字技术快速迭代的今天,网络安全的威胁与挑战也在不断升级。随着2025年的脚步临近,人工智能、量子计算等新兴技术正在重塑网络安全的未来。面对这场数字化转型浪潮,企业该如何构筑更坚实的安全防线?
为洞悉2025年网络安全发展趋势,本文分享了来自F5、CM Alliance、Black Kite等全球知名安全企业的五位专家对未来网络安全格局的独到见解。
F5公司杰出工程师 Lori MacVittie:
零信任将在网络安全中占据C位
2025年的零信任不仅关乎到保护资产,它还将重新思考安全框架,以跟上正在改变企业格局的快速技术进步。
2025年,零信任将在网络安全中占据中心位置,以应对生成式AI的崛起和数字生态系统架构的变化。虽然生成式AI提高了对安全访问控制和数字资产保护的需求,但推动零信任采用的真正动力将是AI集成带来的结构性转变。
随着企业快速采用AI即服务,他们迫切需要确保入站和出站数据请求的安全,有效地拆除传统”数据中心边界”的最后残余。此外,检索增强生成(RAG)模式的日益普及引入了向量数据库,需要在传统网络安全框架之外进行更细粒度的数据访问控制。
零信任为保护生成式AI创造的扩大攻击面提供了强大方案。然而,实施这一框架还需要投资自适应安全技术,如基于身份的访问控制、持续监控和情境感知授权。随着零信任的发展,企业必须采用能与AI工作负载无缝集成的解决方案,确保安全策略具有动态性、数据中心性和抵御AI驱动威胁的韧性。
CM Alliance CEO Amar Singh:
融入AI技术的勒索软件攻击将加剧
犯罪分子依然是犯罪分子。随着比特币价格上涨,勒索软件也将增加,这将为现有和潜在的犯罪分子带来更多利润和收入。
攻击者越来越多地利用人工智能。到2025年,预计AI将更深入地融入犯罪活动。AI在网络攻击中的使用可能性正在上升,这可能导致严重且令人担忧的后果。由于AI系统可能更加不加区别地运作,且不完全理解其行为的后果,造成大规模破坏的潜在可能性会急剧增加。同时,我们也期待看到打击网络威胁的技术进步和AI应用。
此外,完全自主的黑客攻击可能会成为主流,并可能被潜在犯罪分子所利用,这将带来严重后果。
诸如DORA等新的监管法规和合规要求即将出台。虽然我基本支持这些举措,但受监管组织已经承担了巨大的合规负担。2025年这些负担不会减轻,实际上还会加大压力。在资源有限的情况下,这往往会使重点从韧性转移到合规性上。
Fortra全球AWS技术联盟总监 Nick Franklin:
恢复能力比任何时候都更重要
到2025年,首席信息官将深入评估安全和可观察性工具对其组织的影响。
2024年7月,全球第二大网络安全ISV(独立软件供应商)因其代理程序更新中的一个缺陷导致全球大部分地区陷入停顿。这向全世界清楚地表明,从几乎不会使用智能手机的普通人,到CEO,再到世界领导人,系统韧性比以往任何时候都更加重要。首席信息官们不能再仅仅满足于安全产品提供的功能和优势。他们将需要更大的保证,确保不会被用于保护和监控环境的工具意外造成灾难。
我们将看到这一点体现在法律和合同条款及服务水平协议的讨论中,对第三方工具与自有系统和应用程序之间交互的加强审查,以及供应商必须准备应对的更深入技术评估、安全性和可观察性。你的终端代理是否有内核访问权限?你的SaaS应用程序的跨账户IAM角色是否在没有业务需求的情况下授予员工过度访问权限来获取工具捕获的终端客户信息?这些都是我看到越来越频繁出现的非常基本但真实的场景。这只是组织努力降低第三方风险时即将面临的严格审查的冰山一角。
巨型云服务商将继续积极争取新客户。但我预测,我们将看到这些云服务提供商开发和发布更多原生网络安全功能,以获取更多客户收入。我们已经超越了云计算作为新鲜事物而人人趋之若鹜的阶段。云供应商现在为客户提供数百种原生服务和解决方案,包括安全服务。然而,在2025年及以后,为了满足利益相关者的收入需求,这些云计算巨头很可能会开发和推出大量原生安全工具和功能,承诺客户能够在云控制平面内安全地管理其数据和应用程序。其次,我们可能会看到这些巨型云服务商战略性收购一些前沿安全公司。
Black Kite首席安全官Bob Maley:
安全自动化将填补资源缺口
随着生成式AI的进步,预测模型可能会更深入地整合AI。与其说是“AI接管“,不如说我们将看到它将支持人类做出更快速、更明智的安全决策。安全自动化将帮助填补资源缺口,而不是完全取代人才。
到2025年,我们预计将出现大量行业特定的AI保证框架,用于验证AI的可靠性、偏差缓解和安全性。这些标准将从”可有可无”的指导原则,转变为在金融、医疗保健和关键基础设施等受监管行业运营的组织的关键要求。监管环境将推动公司建立正式的AI治理计划,提供可验证的公平、安全和透明AI运营证据,强调从设计到部署的问责制。
具体而言,组织将面临压力,需要采用独立的第三方审计来验证AI系统是否符合新兴法规。可以将其视为AI版的SOC 2——标准化审计将涵盖安全性、偏差、道德和运营透明度,创建一个新的合规驱动的”AI保证”分支,供应商必须在其第三方风险评估中展示这一点。这种标准化推动将解决AI信任赤字问题,使”AI保证”成为董事会级别的讨论话题。
Myriad360公司现场CTO Karan Bhagat:
网络安全将更加重视保护关键业务资产
随着企业构建和扩展其数据湖(海量原始非结构化数据存储库),管理和保护这些资产的复杂性也将增加。
高性能计算(HPC)和GPU集群的高速网络基础设施发展将强劲增长,特别是随着AI”工厂”在私有和公共云环境中的发展。
对AI等数据驱动技术的依赖增加将促使网络安全更加重视保护关键业务资产。AI将帮助组织从数据湖中提取价值,但AI系统易受操纵和利用,使网络安全成为更紧迫的问题。
在数据治理方面,确保数据的可访问性、可用性和安全性将成为管理大规模数据湖的基本要素,而管理访问、使用和合规性的安全策略将变得更加复杂。
我们将看到新技术存储供应商开发面向私有和公共云的高级存储架构,以解决低延迟、负载均衡和异步数据流等问题。模型应该能够快速获取所需数据以避免瓶颈。数据服务的任何延迟都可能降低整个训练过程的速度,因此低延迟数据管道和缓存系统至关重要。此外,随着来自GPU的请求规模扩大,数据检索系统必须有效平衡负载以避免特定节点过载,而在训练过程中,模型通常需要持续的数据流以避免等待。
编者的话
展望2025年,网络安全形势将更加复杂多变。从专家们的观点可以看出,人工智能将在网络安全领域扮演双刃剑的角色:一方面可以增强防御能力,提供更智能的安全解决方案;另一方面也可能被攻击者利用,带来新的安全威胁。
组织机构需要持续优化零信任架构、加强安全自动化建设、提升数据保护能力、增强系统韧性、培养专业安全人才,才能在瞬息万变的网络安全领域立于不败之地。
参考链接