随着无边界的威胁生态系统给全球企业和政府带来新挑战,CISA的《2025-2026年国际计划》旨在解决这一问题,该计划呼吁跨国界开展综合网络防御,以应对企业、政府和消费者面临的复杂全球网络安全挑战。
这将需要多个领域的国际合作,同样,企业必须保持韧性,随时准备在来年应对新的威胁和挑战。以下是对2025年的三个预测,让我们一窥未来:
AI、“Q日”与合规挑战
2025年,CISO的关键优先事项将包括整合新技术、适应新趋势,同时加强企业的安全态势。不法分子不断在软件供应链、网络和终端中寻找漏洞或过时代码,以图利用这些弱点。与此同时,AI的普及势必将加速网络钓鱼诈骗、利用深度伪造技术进行社交攻击,以及自动化更具破坏性的恶意软件攻击:
• 不法分子将利用个人数据和AI发动更有效的攻击:2024年发生的国家公共数据和MC2泄露事件将使网络犯罪分子能够利用更多的个人数据,结合AI生成的“深度伪造”,在2025年发动更逼真、更有效的网络钓鱼和鱼叉式网络钓鱼攻击。
由于人为因素仍然是最“易被攻破”的环节,这些攻击可能会导致更多的数据泄露和/或控制系统遭破坏。鉴于员工通常对敏感数据、金融交易和物理控制系统拥有特权访问权限,鱼叉式网络钓鱼攻击一旦成功,可能会带来毁灭性的后果。
与此同时,CISO还必须考虑其他新兴挑战,包括随着量子计算的发展,加密可能不再提供目前所提供的保护层:
• 随着“Q日”的临近,企业应开始做准备:随着美国国家标准与技术研究院(NIST)于8月发布后量子密码学标准,尚未开始实施新标准的企业现在必须行动起来了。全面部署需要时间,而据一些估计,“Q日”(即量子计算机能够破解当前加密标准)可能在未来十年内到来,因此企业需要积极准备,以避免措手不及。
此外,企业和个人需要预见一些对手和敌对国家基于“现在收集,以后解密”策略的数据泄露风险。我们尚不清楚这种情况的全部影响,但它可能导致勒索软件、敲诈、鱼叉式网络钓鱼和其他攻击激增。仅仅因为以往事件中的敏感信息没有公开泄露,并不意味着未来也不会发生。正因如此,CISO应将2025年对“Q日”的准备作为首要任务。
最后,在2025年,由于数据保护和隐私法律日益复杂且不一致,各国之间以及美国各州之间各不相同,CISO将继续在合规方面面临挑战:
• 美国数据隐私法律的不断增加将带来新的合规负担:2025年,美国各地不断出台的数据隐私法规(其中许多相似且重叠)将继续增加对创建、处理、存储和传输敏感数据的组织的合规负担。
自加利福尼亚州通过《加利福尼亚州消费者保护法》(后来被《加利福尼亚州隐私权法》取代)以来,已有20多个州通过了全面的隐私法律,其中许多已经通过成为法律,但将在2026年及以后陆续生效。
为了克服合规僵局,企业需要高度组织化和高效。成熟的治理(从董事会到下层)、可重复的过程和工具(包括治理、风险与合规平台)对于最小化合规相关风险至关重要。
以史为鉴,面向未来
组织2025年的战略网络安全计划应通过整合主动风险管理、高级威胁检测和自适应响应机制来应对AI驱动的传统威胁和新威胁。随着企业和公共部门组织为更复杂、更具破坏性的网络攻击和数据泄露做准备,他们应利用AI和机器学习工具来监测异常行为,从而采用最强大的工具。
企业必须优先培养网络安全意识文化,确保员工了解自己在保护资产方面的作用。CISO还应继续利用外部专家来确保企业遵守相关的数据隐私法律和法规,同时创建一个事件响应框架,这对于制定全面、未来具有韧性的网络安全战略至关重要。