网络安全的未来仍然是安全专业人员和组织领导者持续关注的问题。即使组织现在受到保护,几天、几周或几个月后,哪些新的威胁和事件可能会使组织陷入困境?毕竟,技术的快速进步也意味着漏洞的快速发展。
虽然没有水晶球可以预测未来,但组织可以对来年的网络安全做出明智的预测。有几种趋势可能会影响2025年的网络格局,希望保持领先地位的组织应该做好相应的准备。
更复杂的勒索软件
由于高达20%的违规行为都是勒索软件攻击,因此这一安全挑战十多年来一直是一个普遍存在的风险,而且其威胁潜力在不久的将来可能会变得更大。目前有超过150个勒索软件家族,这表明这种攻击媒介正在激增,并且越来越复杂。
组织可能需要增强其现有工具并引入更新的人工智能系统来识别和阻止更复杂的威胁。
此外,人工智能 (AI) 也助长了这种增长,使勒索软件变得越来越复杂,越来越难以检测——这也意味着它更加危险。以前,恶意软件扫描程序在检测勒索软件方面已被证明非常有效,但随着技术的发展,它们的有效性正在下降。
组织可以做些什么呢?首先,他们必须重新思考如何检测勒索软件。组织可能需要增强现有工具,并引入更新的、由人工智能驱动的系统来识别和阻止更复杂的威胁。其次,投资员工培训,特别是针对网络钓鱼攻击,因为这些仍然是勒索软件部署的主要手段。
为此,最有效的培训包括提供网络钓鱼模拟和网络钓鱼材料,以教育员工如何在将来发现网络钓鱼。下一步是等待员工上当受骗,或将他们的凭证输入到网络钓鱼网站(他们会这样做)。此时,应立即向他们提供安全意识指导,让他们了解什么是网络钓鱼以及如何避免将来遭受网络钓鱼。在他们成为网络钓鱼受害者的那一刻做出反应是提高意识和防止将来发生类似情况的关键。
云计算需要更高的安全性
根据G2的调查,到2025年,85%的组织将“优先采用云”。虽然这对于我们以数字为中心的社会来说是一个令人兴奋的消息,但缺点是云采用的速度比云安全措施的速度要快。
随着许多组织转向远程或混合环境,员工已从在办公室使用 IT 配置的设备转变为几乎在任何地方使用远程设备。这自然使得拥有远程和/或混合劳动力的组织必须专注于实施强大的云安全框架。两个示例包括零信任架构,它假设默认情况下不信任任何用户或设备,以及云安全态势管理 (CSPM),它包括持续监控云基础设施以识别和补救安全风险和错误配置。员工教育和明确的云使用政策与实施适用于云环境的工具一样重要。
人工智能继续改变网络安全
网络犯罪分子利用人工智能技术制造更复杂的黑客工具,而网络安全专业人员则依靠人工智能开发更好的威胁检测系统并预测未来的攻击。关于人工智能是帮助还是损害网络安全工作的争论仍在继续,但其影响是不可否认的。事实上,它已经变得更加复杂,因为双方都在接受它。随着2025年的临近,保护者和攻击者都将继续求助于人工智能来智胜对方。
在威胁和防御领域之外,人工智能治理也发挥着关键作用。虽然国际标准化组织 (ISO) 和国际电工委员会 (IEC) 制定的 ISO/IEC 42001:2023信息技术 — 人工智能 — 管理系统标准代表了在建立人工智能系统治理和负责任管理方面取得的进展,但仅靠这一点是不够的。组织必须实施额外的保障措施和策略,以充分保护其人工智能运营。
表现最佳的组织将实施人工智能增强型安全工具,例如人工智能驱动的威胁检测、自动化合规性监控和/或行为分析。掌握监管发展和合规性也至关重要。
网络战
在数字环境中,网络战已成为选举的新常态,黑客试图操纵选举结果并传播虚假信息。鉴于世界各地经常举行的备受瞩目的选举,网络犯罪分子预计会将目标对准政治竞选活动和关键基础设施。
通常情况下,预防胜于治疗。组织和政府都应为重要选举前夕的攻击高峰做好准备,现在就花点时间主动保护关键系统并实施计划以打击虚假信息活动。
留住并吸引网络安全专家
一半的网络安全专业人士预计,由于工作压力,他们将在未来 12 个月内感到倦怠。该领域的专业人士在面临前所未有的压力并被追究违规责任后,会感到倦怠。考虑到已经存在的人才缺口,这无异于一场危机。
为了留住经验丰富的网络安全专家,组织必须避免将网络攻击的责任归咎于首席信息安全官 (CISO)。尽管担任此角色的个人负责监督组织的安全措施,并且是该部门中最引人注目的人,但他们不应为违规行为承担个人责任。这种情况通常是由于对网络安全缺乏了解,以及人类本能地想为问题找人或事来负责。但这些情况通常非常复杂,将攻击归咎于 CISO 的唯一结果是他们更有可能精疲力竭和/或离开组织。
同样,组织的安全团队是企业的骨干,应该得到良好的支持,尤其是那些处于高压力岗位的团队。因此,组织应该提供支持和赞赏安全团队的机制,确保有计划的休息时间,并分配员工的工作量。在做到这一点的同时,还应该认可他们的成就。组织可以通过投资强大的安全措施来提高安全团队的效率,即使投资回报不是立即显现的。这一承诺表明了致力于通过为组织及其安全部门配备最好的工具,让每个人都获得成功。
最后,重新考虑如何教育和认证网络安全专家。例如,认证信息系统安全专家 (CISSP) 认证仍然经常使用,但基于 2000年代初期的技术。相反,认证应该与当今的网络安全形势相关,行业需要反映这一点。例如,CompTIA 的认证、美国联邦调查局 (FBI) 的刑事司法信息服务 (CJIS) 认证和认证道德黑客 (CEH) 认证在今天都备受推崇和适用。
展望未来
2025 年,组织可以期待许多技术进步。但这些进步将伴随着更多的勒索软件、安全攻击者和防御者的人工智能、网络战、员工短缺等。因此,组织必须比以往任何时候都更加警惕和积极主动地投资安全措施并将保障措施放在首位。
