随着网络攻击手段的不断演变,2025年的网络安全形势将更加严峻。CISO们需要紧跟时代步伐,了解最新的网络安全威胁和防御策略。以下是CISO在2025年必须掌握的五大网络安全见解,帮助企业有效应对不断变化的威胁环境。
勒索软件攻击仍然是企业和网络安全领导者面临的最重大的网络安全威胁之一。攻击会导致大规模中断、大量数据泄露、巨额赔付以及企业数百万美元的损失。
为此,大型、协调一致的执法行动已瞄准主要勒索软件团伙,并扰乱了其运作,拆除了数据泄露网站,并发布了解密密钥。
然而,攻击数量有所上升,报告的受害者数量持续增长,就像长出新头的九头蛇一样,勒索软件生态系统已经改革并继续运作,尽管一些策略正在改变。
以下是CISO在2025年需要了解的五个关键见解。
过度关注GenAI风险会低估已知威胁
ChatGPT等GenAI工具继续在组织内部引起轰动,并引发了一系列安全担忧。然而,一些事件数据和威胁分析表明,安全领导者需要保持警惕,关注传统勒索软件策略的演变。
Verizon的《2024年数据泄露调查报告》发现,在过去两年中,犯罪论坛上使用“GenAI(GenAI)”一词以及勒索软件、恶意软件和漏洞等搜索词的数量并没有太大变化。报告指出,虽然GenAI可能会放大现有威胁,但由于社会攻击和钓鱼等相对简单的威胁向量仍然有效,它可能并未对勒索软件攻击产生显著影响。
Sophos亚太区现场首席技术官Aaron Bugal表示,GenAI威胁确实存在,然而,对新技术的关注可能会掩盖网络安全卫生实践的重要性,尤其是在资源有限的领域,如公共医疗保健领域。“这可能会以牺牲解决更基本的网络安全基础问题为代价,而这些问题正是导致勒索软件漏洞的原因。”
Sophos《2024年勒索软件状况报告》中的勒索软件攻击数据显示,漏洞管理、凭证泄露、恶意电子邮件和钓鱼是最常见的起点。这些风险因素需要通过常规流程进行管理。Bugal告诉记者:“我们今天看到的许多攻击,攻击者都是利用管理不善或管理不当的环境中的缺陷入侵的,这无异于为他们开了绿灯。”
如果过度关注GenAI,就可能会忽视或忘记保护凭证、缺乏多因素身份验证、未修补已知漏洞、未及时更新老旧设备和用户账户以及忽视配置等问题。“有些事情发现和缓解起来可能很简单,但如果组织忽视了它们,就会使自己容易受到攻击。”他说。
中型企业高度脆弱
行业数据显示,中型企业仍然极易受到勒索软件攻击。“CISO需要意识到,勒索软件不再只针对大公司,现在甚至中型企业也面临风险。这种意识至关重要。”Rapid7威胁分析高级总监Christiaan Beek表示。
根据Rapid7的《2024年勒索软件报告》,年收入约为500万美元的公司遭受勒索软件攻击的频率是年收入在3000万至5000万美元范围内公司的两倍,是年收入1亿美元公司的五倍。
Beek表示,在2025年,这一威胁仍然存在,由于许多中型企业没有专门的CISO,它们更容易受到勒索软件中断的影响。大型企业准备更充分,因为它们有中央高级人员以及相应的资源。“CISO通常拥有更大的安全团队和更好的工具来防御攻击。”他说。
网络犯罪分子盯上这些公司,认为它们规模足够大,拥有有价值的数据,但缺乏大型企业的保护。同时,大型企业需要考虑,供应链和第三方合作伙伴中包括没有专门安全领导者的较小、中型企业,这可能会增加它们的风险暴露。
Check Point的网络安全布道师Ashwin Ram表示,在遭受攻击的情况下,中型市场组织可能缺乏成熟企业所具备的数据泄露可见性和取证工具,无法有效验证勒索软件声明。“这些企业中的许多企业在外部攻击面管理和暗网监控方面的投入程度远不及更先进的企业。”
Beek建议CISO每年至少进行两次勒索软件攻击模拟演练,以全面评估其事件响应准备工作的各个方面。“这有助于发现漏洞,并确保他们已准备好有效应对,”他说。
数据泄露攻击需要安全优先级的重大转变
CheckPoint的Ram表示,近年来,勒索软件攻击者已经从基于加密的勒索转向数据泄露以及双重、三重甚至四重勒索,目标包括企业和个人,并帮助发动分布式拒绝服务(DDoS)攻击。
根据Coveware的数据,2024年最后一季度观察到的87%的案件涉及数据泄露,要么导致基于加密的攻击,要么是攻击的主要目标。
Ram表示:“威胁行为者正在窃取敏感数据,并利用公开曝光的威胁迫使受害者支付赎金,这在医疗行业和金融行业最为有效,因为医疗记录和个人身份信息(PII)可能促成金融诈骗和身份欺诈。”
这正在改变勒索软件生态系统。CheckPoint的《2025年网络安全状况报告》指出,许多成熟的网络犯罪团伙,如BianLian和Meow,已经采用了数据泄露技术,而新进入者如Bashe则涌现出来,提供“数据销售平台”。
攻击性质发生变化的原因有很多。报告指出,随着企业改进了其备份和恢复能力,以及执法行动扰乱了攻击,不法分子将重点转向数据泄露,以简化操作、规避检测,并寻找其他有利可图的攻击途径。
然而,在没有明显的数据被锁定迹象的情况下,安全从业人员面临着快速确定组织数据是否已被窃取以及验证任何声明的挑战。在某些情况下,不法分子可能会通过重复利用已公开的信息来声称数据泄露。“攻击者可能掌握了一些账户,但他们并没有整个企业的凭证,或者他们只有一两个客户数据库或特定客户的数据库。”Ram告诉记者。
Ram建议CISO审查和加强其企业在数据保护、监控和快速威胁检测方面的防御。这需要采取多层次的方法,最重要的是,企业的“皇冠之宝”或最关键的数据资产需要最高优先级。“CISO将不得不重写他们的一些事件响应策略手册,其中验证部分将发挥关键作用。”他说。
关键基础设施风险加剧
对关键基础设施的攻击正在增加,能源、公用事业和电力基础设施面临的威胁不断升级,公共医疗保健组织也受到大量影响。
在公共医疗保健领域,资源通常很紧张,而在其他领域,如制造业、公用事业和电力基础设施,数字化转型正在将操作系统联网,从而产生新的漏洞。
存在一系列复杂因素,比如旧技术和生命周期结束的技术无法获得补丁。“如果攻击者找到进入传统上离线的行业的方法,那将带来更大的问题,”Sophos的Bugal表示。能源和公用事业市场的许多组织往往使用较旧的软件和技术,这些更容易出现安全漏洞。“这为攻击者提供了访问机会,然后他们可以在环境中横向移动,最终导致勒索软件事件。”Bugal告诉记者。
随着组织的发展,其IT基础设施的规模和复杂性也在增加,这可能导致攻击,特别是那些以未修补漏洞为起点的攻击。Sophos的报告指出,在遭受攻击的情况下,IT团队更难全面了解其所有暴露点,并在被利用之前进行修补。
根据Arctic Wolf Labs的《2025年预测报告》,对关键基础设施的攻击预计将持续到2025年。该报告还警告说,虽然这些勒索软件攻击可能遵循典型的策略手册,但它们可能掩盖敌对国家的入侵行为,为未来的数字冲突奠定基础。报告指出:“这些事件也可能旨在分散对在这些环境中建立隐蔽持久性的战略目标的注意力。”
边界防御失效
随着企业数字边界的扩展,攻击面也在增长,边缘服务和设备越来越多地成为威胁行为者发动勒索软件攻击的入口点。边界现在包括物联网设备、云应用程序、VPN网关、一系列互联网连接设备和其他网络访问工具,这使得确保访问控制和监控网络变得更加具有挑战性。
2024年,Palo Alto Networks和SonicWall的设备中存在的软件漏洞被利用来发动勒索软件攻击。
根据Arctic Wolf Labs的《2025年预测报告》,展望未来,企业可以预期其攻击面将面临更多威胁。边界设备仍然容易受到合法账户滥用、漏洞利用、多因素身份验证(MFA)漏洞和身份管理实践弱点的影响。
CISO面临着越来越大的压力,要求他们维护稳健的补丁管理流程,并全面加强访问配置。同时,不断扩展的数字边界带来了更多对零日漏洞的暴露。报告指出,制造业仍然特别脆弱,占实验室调查的所有案件的44%。
Beek表示,虽然先进的安全技术和工具很重要,但这并不能减少对确保企业数字前门安全的需求。然而,这一领域仍有改进空间。“我们仍然看到常见的安全疏忽,如安全设备上的弱密码或未受保护的远程访问,这可能会为攻击者提供入口点。”他告诉记者。
此外,Beek表示,了解已观察到的攻击事件有助于CISO理解事件链和它们可能在自己企业中构成的潜在风险。然后,他们可以审查自己的流程,以及是否有合适的技术和受过培训的人员来注意到同类攻击。“作为CISO,如果你能理解攻击链,你就能看出自己的企业中是否存在预警机制以及这种情况的可见性。”他说。