2025 年网络安全领袖总结的七大关键启示

新闻
1月前

近期,首席信息安全官(CISO)们回顾了2025年度塑造安全格局的关键趋势与教训——其中既有人工智能被攻守双方加速采用带来的影响,也有第三方风险激增及治理压力加剧等核心问题。

过去一年里,网络安全团队不断在快速拥抱新技术与应对由人工智能带来的复杂威胁之间走钢丝。2025 年被认为是人工智能真正主导安全领域的一年。

01

AI 显著提升防御能力


如果说 2024 年是人工智能悄然融入网络安全的一年,那么 2025 年则是 AI 完全接管的一年。Smartsheet 的首席信息安全官 Ravi Soin 称人工智能具有“变革性”特征。他指出,全球范围内没有任何公司或个人未以某种方式感受到 AI 的影响。

AI 显著减少了人工手动操作,增强了对大规模攻击面控制的能力。过去需要手动收集证据、确认系统状态的流程,现在可以更高效地通过智能自动化完成,从而大幅提升效率。

Calendly 的 CISO Yassir Abousselham 也认为,AI 为安全团队乃至整个企业带来了巨大的生产力提升,感觉就像把整个人类的知识装进了口袋里一样。

02

AI 推动企业重新调整安全战略


与此同时,Abousselham 指出,AI 的快速部署迫使企业重新分配资源,以跟上技术变革的节奏并确保产品发布的安全性。他将 2025 年称为“代理型 AI 混乱引入阶段”。

他表示,行业没有准备好面对这种快速发展,几乎所有组织都在争相做市场先行者,将大量投资用于部署和开发围绕 AI 的产品与功能,这一趋势直接影响了安全策略,使团队必须重新聚焦投资方向,并在某些情况下重新规划原有优先级。

03

AI 强化了攻击者的能力


同样的技术既增强了防守能力,也让攻击者的行动更迅速、目标更精准、攻击规模更大。过去需要人力完成的攻击活动,现在可以通过 AI 以更低成本和更高效率自动执行。

目前有些攻击可能在网络中悄无声息地潜伏数月以扩展权限和窃取数据,而另一些攻击则可以在几分钟内完成目标,甚至在安全系统发出告警之前就已经结束。

Elastic 的 CISO Mandy Andress 表示,攻击者正在利用 AI 自动化侦察、生成高度个性化的诱骗内容,并创建音频和视频深度伪造,以规模化利用人类信任机制。这导致技术攻击面和心理社会工程攻击面的融合,并快速规避传统基于签名和规则的检测体系。

这种趋势已经在最常见的入口点,如钓鱼邮件和社交工程攻击中显现出来。Soin 指出,过去能通过语法错误或不恰当的标识轻易识别钓鱼邮件,但现在这些邮件几乎完美无缺,甚至配合深度伪造技术,使得防护变得极具挑战性。

同时,HCLTech 全球网络安全与 GRC 服务负责人 Amit Jain 指出,攻击者正在提升其代码复杂性,利用生成式 AI 开发规避检测的自修改恶意代码、精准钓鱼套件和自动化漏洞利用工具,这已经成为新型威胁的重要组成部分。

04

攻击主体正在变成自动化系统


随着 AI 驱动的攻击者崛起,“黑客”的定义发生了根本变化。过去攻击多由人类主动操作,而现在则是由不断学习、永不疲倦的自动化系统主导。

Soin 指出,随着 AI 变得越来越智能,它能够了解现有防御措施、制定反制策略,重新利用过去长期未修复的漏洞以创意方式发起攻击,使网络威胁进入到一个前所未有的领域。

05

非人类身份激增带来新的管理难题


Abousselham 表示,组织在竞相部署 AI agent、自动化工作流和机器对机器的服务流程时,导致非人类身份数量爆炸式增长。每个独立的 AI agent、自动化工具或 API 集成都需要单独管理其身份、权限和生命周期,而增长速度远超大多数安全团队的管理能力。

这种机器身份的爆炸式增长推动了大量投资,不仅是在人员配置上,还包括引入可以大规模管理身份操作的新技术与解决方案。

Abousselham 强调,必须加速这些身份的注册、维护与治理,确保这些 agent 能够被有效管理、正确认证和授权,并在其生命周期结束时及时废弃。

Andress 补充道,随着身份数量暴增,产业界更加重视基础访问控制和身份治理,包括对 API 密钥、令牌和服务账户等非人类身份的保护,因为这些已经成为攻击者常用的入侵入口。

06

第三方风险持续升温


在 2025 年,随着组织扩展技术栈并采用更多 SaaS 平台、AI 工具和自动化集成,第三方攻击的重要性显著上升。Soin 提到,包括 Salesforce 等主要服务提供商的高调安全事件提醒企业,其风险面远远超出自身边界。

他指出,当企业依赖第三方软件时,就必须全面审视整个技术堆栈,确保合作的技术供应商将安全放在首位。

Jain 认为,2025 年在治理和供应商监督方面标志着一个转折点,合规、治理与韧性之间的联系更加紧密,得益于自动化、先进分析和持续的第三方保证机制。他总结道:“本质上,2025 年是网络安全从孤立的职能向成为全企业共享的业务责任的一年。”

尽管更严格的治理结构和自动化监督提供了框架支持,Jain 强调真正的安全仍然依赖于组织中每个人的日常决策。“真正的安全来自习惯、行为和文化。每一次点击、每一个配置甚至每一次第三方集成都至关重要。”

07

监管压力直达董事会


2025 年政府监管力度明显增强,要求更快的安全事件报告、更严格的控制措施以及高级领导层的责任追究。Jain 表示,董事会不再满足于合规检查表,他们期望看到可衡量的韧性、以风险优化为目标的投资回报、更明确的准备状态和持续的报告机制。这使网络安全成为战略杠杆,影响并购决策、供应链合作乃至企业市场战略。

同时,国际标准框架如 IRAP、ISO 和 NIST 的执行力度也在加强。Soin 提到,“这些标准本身可能并没有发生巨大变化,但其执行力度确实更严格。我们看到越来越多客户合同和监管要求对安全期望提出更高标准,这是有正当理由的。”