人工智能在2025年仍將是一個熱門話題，但不要錯過其他趨勢，包括初始訪問代理的增長、首席信息安全官(vCISO)的崛起、技術合理化等等。

　　每年這個時候，行業專家和分析師都會關注明年的網絡安全趨勢、預測和挑戰。

　　專家預測，到2024年，生成式人工智能(GenAI)和大型語言模型將會增加，勒索軟件攻擊和第三方供應鏈挑戰也將持續。這些趨勢是真實的，因為威脅參與者使用GenAI創建了更有說服力的社會工程攻擊，數據存儲供應商Snowflake的客戶遭受了破壞，Change Healthcare遭受了破壞性的勒索軟件攻擊。

　　以下了解網絡安全行業專家對2025年的預測。

　　1.首席信息安全官退出人工智能應用

　　人工智能在2024年風靡一時，但不要指望2025年人工智能的采用率會如此之高——至少安全團隊不會這么做。事實上，Forrester Research公司預計，在未來一年，GenAI在安全用例中的應用將減少10%。

　　該分析公司的客戶群指出，采用該技術的一個障礙是預算不足。Forrester公司分析師Cody Scott表示，首席信息安全官不重視采用率的另一個原因是，客戶沒有看到安全帶來的好處，對目前的人工智能體驗感到沮喪。

　　Scott說，GenAI和AI模型因其自動化安全領域機械生產力任務的能力而受到吹捧，例如報告和分析，但它們還沒有提供太多的事件響應。

　　2.在GenAI和人工智能模型周圍設置護欄的壓力

　　Informa TechTarget企業戰略集團網絡安全實踐總監Melinda Marks表示，整個企業對人工智能的持續采用將導致行業推動制定有關人工智能安全使用的法規。

　　Marks說：“安全團隊希望積極主動，領先于人工智能的使用，因為像任何創新技術一樣，人工智能很容易失控。”

　　保護使用GenAI開發的代碼對于保護應用程序和敏感數據至關重要。馬克斯補充說，安全團隊知道這一點，并希望確保他們盡早設置護欄。

　　3.為初始訪問代理的興起做好準備

　　德勤網絡威脅情報團隊表示，首次訪問經紀人的數量有所增加，預計這一趨勢將在2025年持續下去。

　　內部攻擊者是威脅行為者或威脅組織，他們將進入受害組織網絡的權限出售給惡意的第三方客戶。iab專門負責闖入網絡，而不是自己進行最終攻擊——勒索軟件、數據泄露或其他攻擊。購買進入組織的訪問權限降低了威脅行為者的進入門檻，因為它使他們無需技術知識就可以進行攻擊。

　　德勤(Deloitte)美國網絡情報主管Clare Mohr表示，僅在2024年10月，就有近400起IABs在地下論壇上列出了非法訪問公司的情況。預計未來會有更多的攻擊活動使用IAB產品。

　　4.對托管安全服務提供商(msp)的依賴增加

　　Informa TechTarget旗下Omdia的網絡安全研究總監Maxine Holt表示，到2025年，企業將加大對托管安全服務提供商的投資，以提高安全彈性。

　　Holt說：“企業沒有內部資源、技能或專業知識。她希望托管安全服務提供商的能夠特別幫助管理非人類身份，包括服務器、移動設備、微服務和物聯網設備等。

　　非人類身份的增長擴大了身份格局。Omdia發現，目前非人類身份的數量是人類身份的50比1.Holt說：“對于大多數組織來說，不可能在內部完成所有事情。

　　5.是時候進行技術合理化了

　　根據帕洛阿爾托網絡公司(Palo Alto Networks)的數據，安全團隊正面臨著工具過載的問題大多數團隊平均擁有超過30個工具，這可能是一種阻礙，而不是幫助。

　　管理服務商Optiv公司的首席信息安全官Max Shier表示，他預計到2025年，首席信息安全官將進行安全技術合理化，即評估組織的安全堆棧，以實現價值最大化，消除冗余和低效率。技術合理化可以幫助組織解決工具蔓延和削減成本。

　　首先，Shier建議公司確定他們的用例，并檢查產品路線圖，作為提案流程請求的一部分，無論是作為新工具還是簽署續簽許可協議。

　　組織需要回答的幾個問題包括：

　　這些工具或平臺是否以與組織相關的方式協助數據安全?

　　組織需要的功能是在不久的將來出現在路線圖上，還是還很遙遠?

　　當前的安全堆棧有多成熟，這些工具會鞏固它嗎?

　　Shier補充說，不要指望會有快速的轉變。根據許可協議，可能需要三到五年的時間才能看到工具數量的差異。

　　6.網絡攻擊者在攻擊前表現得更有耐心

　　網絡攻擊者并不總是為了快速攻擊。有些攻擊是醞釀已久的，比如2024年發現的Volt Typhoon網絡攻擊。這個國家威脅組織至少在5年的時間里一直可以持續訪問關鍵的基礎設施目標，而沒有采取任何行動。

　　網絡安全供應商Titania的市場戰略和發展高級副總裁Phil Lewis預測，2025年及以后，這些先進的持續威脅將會更多。攻擊者將攻擊目標，并在很長一段時間內保持休眠狀態，不被發現，直到攻擊時機成熟。

　　這些復雜的攻擊很難檢測和緩解。Lewis說，組織應該把重點放在網絡彈性上，而不是預防上，因為歷史表明，攻擊者不會一直被阻止。他還建議組織實施微分段和宏分段，以使對手更難以進行橫向移動和數據泄露。

　　7.開源軟件攻擊和立法增多

　　開源軟件攻擊的數量迅速增長，自從2023年11月以來，供應鏈管理供應商Sonatype跟蹤了超過50萬個新的惡意軟件包。

　　開源安全基金會(OpenSSF)是一個由軟件和安全工程師組成的社區，預測2025年開源軟件攻擊將繼續上升。

　　OpenSSF的首席安全架構師Christopher Robinson表示，部分挑戰在于開發人員并不總是接受過安全方面的培訓。他補充說，許多組織沒有對他們的申請進行適當的審查。相反，他們只是“盲目地接受組件”，這可能會使他們自己和他們的客戶受到漏洞的影響。

　　為了緩解問題，Robinson建議要求供應商提供軟件材料清單，以了解其軟件的組件，并進行模糊測試、源代碼分析和漏洞掃描，以評估軟件安全性。他補充說，公司和供應商也應該報告和分享潛在的安全問題，讓其他人和開源社區了解情況。

　　隨著開源供應鏈攻擊數量的增加，預計相關法規也會隨之出臺。Robinson表示，OpenSSF已經在與歐盟委員會合作制定開源法規，并聽說日本和印度政府也在考慮類似的立法。

　　8.缺乏跨云的可見性會損害組織

　　云計算在當今的組織中是司空見慣的。MSPDirectDefense首席技術官兼總裁JimBroome表示：“我敢說，很多客戶已經遷移到云計算，只是為了從資本支出過渡到運營支出，以更好地負擔他們的基礎設施。”

　　向云的遷移給企業帶來了可見性方面的挑戰，這些挑戰可能會在2025年對企業造成傷害，尤其是在多云環境中。Broome說，“不幸的是，99%的情況下，組織沒有正確地將數據從本地遷移到云端，尤其是在疫情期間。”當新冠疫情襲來時，員工被允許訪問和使用敏感數據，而他們的組織卻沒有太多的可見性和監督，這個問題從未得到解決。

　　組織應該將云安全態勢管理納入預算，以確保跨多個云的敏感數據的安全。他補充說，利益相關者還應該檢查云中的數據的安全性，并考慮采用現有工具或平臺或新工具的可見性和響應能力。

　　9.虛擬首席信息安全官和CSO顧問人數增加

　　2025年可能是首席信息安全官選擇虛擬首席信息安全官(vCISO)或首席信息安全官顧問角色而不是全職內部角色的一年。

　　“我們一直聽說首席信息安全官是‘首席替罪羊官’，對吧?”風險管理供應商BlackKite的高級副總裁兼網絡風險策略師Jeffrey Wheatman說。例如，SolarWinds的首席信息安全官Tim Brown在最近美國證券交易委員會對該供應商提起的訴訟中被點名。

　　他說，“他們覺得自己沒有得到支持，或者在違約后要自己承擔后果。突然之間，他們不再想要全職合同了。”

　　Wheatman說，他的許多首席信息安全官和前首席信息安全官朋友最近都開始考慮擔任首席信息安全官和首席信息安全官顧問。

　　對于沒有資源聘請全職首席信息安全官的組織來說，首席信息安全官(vCISO)是一個受歡迎的選擇。有些組織可能只需要按需提供幫助，比如在年初提供年度戰略，每季度根據需要提供幫助——這是惠特曼的一位首席戰略官顧問朋友目前正在做的事情。

　　10.人工智能代理成為妥協的目標

　　人工智能代理是一種支持人工智能的軟件，可以執行自主決策和行動。作為先進的聊天機器人，這些代理可以幫助客戶獲得他們之前向客戶服務或服務臺員工提出的問題的答案，或者他們可以管理工作流程并進行研究以創建假設和分析。

　　實時風險檢測供應商Dataminr的產品管理副總裁Shimon Modi表示，隨著越來越多的組織實施人工智能代理，預計威脅行為者也會將其作為目標。

　　事實上，一些攻擊者已經在使用人工智能代理來攻擊部署它們的公司，通常是以快速注入攻擊的形式。例如，一個人工智能代理被騙為一輛雪佛蘭卡車報價低得離譜，另一個被騙轉移了4.7萬美元的加密貨幣。2025年，威脅行為者可能會欺騙人工智能代理泄露敏感數據或重置用戶密碼。

　　為了保護人工智能代理免受此類攻擊，莫迪表示，組織應該應用傳統的安全和治理原則，并調整現有的劇本，以納入人工智能安全。例如，組織可以對人工智能代理應用漏洞評估和測試，以及使用數據分類來控制人工智能代理可以訪問哪些數據，從而控制它們可以執行哪些請求。