隨著無(wú)邊界的威脅生態(tài)系統(tǒng)給全球企業(yè)和政府帶來新挑戰(zhàn),CISA的《2025-2026年國(guó)際計(jì)劃》旨在解決這一問題����,該計(jì)劃呼吁跨國(guó)界開展綜合網(wǎng)絡(luò)防御,以應(yīng)對(duì)企業(yè)、政府和消費(fèi)者面臨的復(fù)雜全球網(wǎng)絡(luò)安全挑戰(zhàn)�。
這將需要多個(gè)領(lǐng)域的國(guó)際合作,同樣����,企業(yè)必須保持韌性,隨時(shí)準(zhǔn)備在來年應(yīng)對(duì)新的威脅和挑戰(zhàn)�。以下是對(duì)2025年的三個(gè)預(yù)測(cè),讓我們一窺未來:
AI�����、“Q日”與合規(guī)挑戰(zhàn)
2025年��,CISO的關(guān)鍵優(yōu)先事項(xiàng)將包括整合新技術(shù)�、適應(yīng)新趨勢(shì)�,同時(shí)加強(qiáng)企業(yè)的安全態(tài)勢(shì)。不法分子不斷在軟件供應(yīng)鏈����、網(wǎng)絡(luò)和終端中尋找漏洞或過時(shí)代碼,以圖利用這些弱點(diǎn)����。與此同時(shí),AI的普及勢(shì)必將加速網(wǎng)絡(luò)釣魚詐騙、利用深度偽造技術(shù)進(jìn)行社交攻擊���,以及自動(dòng)化更具破壞性的惡意軟件攻擊:
? 不法分子將利用個(gè)人數(shù)據(jù)和AI發(fā)動(dòng)更有效的攻擊:2024年發(fā)生的國(guó)家公共數(shù)據(jù)和MC2泄露事件將使網(wǎng)絡(luò)犯罪分子能夠利用更多的個(gè)人數(shù)據(jù)�����,結(jié)合AI生成的“深度偽造”���,在2025年發(fā)動(dòng)更逼真、更有效的網(wǎng)絡(luò)釣魚和魚叉式網(wǎng)絡(luò)釣魚攻擊�。
由于人為因素仍然是最“易被攻破”的環(huán)節(jié),這些攻擊可能會(huì)導(dǎo)致更多的數(shù)據(jù)泄露和/或控制系統(tǒng)遭破壞���。鑒于員工通常對(duì)敏感數(shù)據(jù)����、金融交易和物理控制系統(tǒng)擁有特權(quán)訪問權(quán)限���,魚叉式網(wǎng)絡(luò)釣魚攻擊一旦成功�����,可能會(huì)帶來毀滅性的后果�。
與此同時(shí),CISO還必須考慮其他新興挑戰(zhàn)�,包括隨著量子計(jì)算的發(fā)展,加密可能不再提供目前所提供的保護(hù)層:
? 隨著“Q日”的臨近����,企業(yè)應(yīng)開始做準(zhǔn)備:隨著美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)于8月發(fā)布后量子密碼學(xué)標(biāo)準(zhǔn),尚未開始實(shí)施新標(biāo)準(zhǔn)的企業(yè)現(xiàn)在必須行動(dòng)起來了��。全面部署需要時(shí)間�����,而據(jù)一些估計(jì)���,“Q日”(即量子計(jì)算機(jī)能夠破解當(dāng)前加密標(biāo)準(zhǔn))可能在未來十年內(nèi)到來�,因此企業(yè)需要積極準(zhǔn)備�����,以避免措手不及����。
此外����,企業(yè)和個(gè)人需要預(yù)見一些對(duì)手和敵對(duì)國(guó)家基于“現(xiàn)在收集����,以后解密”策略的數(shù)據(jù)泄露風(fēng)險(xiǎn)�。我們尚不清楚這種情況的全部影響,但它可能導(dǎo)致勒索軟件�����、敲詐�����、魚叉式網(wǎng)絡(luò)釣魚和其他攻擊激增����。僅僅因?yàn)橐酝录械拿舾行畔]有公開泄露,并不意味著未來也不會(huì)發(fā)生���。正因如此���,CISO應(yīng)將2025年對(duì)“Q日”的準(zhǔn)備作為首要任務(wù)。
最后���,在2025年�����,由于數(shù)據(jù)保護(hù)和隱私法律日益復(fù)雜且不一致�,各國(guó)之間以及美國(guó)各州之間各不相同,CISO將繼續(xù)在合規(guī)方面面臨挑戰(zhàn):
? 美國(guó)數(shù)據(jù)隱私法律的不斷增加將帶來新的合規(guī)負(fù)擔(dān):2025年���,美國(guó)各地不斷出臺(tái)的數(shù)據(jù)隱私法規(guī)(其中許多相似且重疊)將繼續(xù)增加對(duì)創(chuàng)建���、處理、存儲(chǔ)和傳輸敏感數(shù)據(jù)的組織的合規(guī)負(fù)擔(dān)�����。
自加利福尼亞州通過《加利福尼亞州消費(fèi)者保護(hù)法》(后來被《加利福尼亞州隱私權(quán)法》取代)以來�,已有20多個(gè)州通過了全面的隱私法律,其中許多已經(jīng)通過成為法律���,但將在2026年及以后陸續(xù)生效。
為了克服合規(guī)僵局�,企業(yè)需要高度組織化和高效。成熟的治理(從董事會(huì)到下層)�����、可重復(fù)的過程和工具(包括治理、風(fēng)險(xiǎn)與合規(guī)平臺(tái))對(duì)于最小化合規(guī)相關(guān)風(fēng)險(xiǎn)至關(guān)重要��。
以史為鑒���,面向未來
組織2025年的戰(zhàn)略網(wǎng)絡(luò)安全計(jì)劃應(yīng)通過整合主動(dòng)風(fēng)險(xiǎn)管理���、高級(jí)威脅檢測(cè)和自適應(yīng)響應(yīng)機(jī)制來應(yīng)對(duì)AI驅(qū)動(dòng)的傳統(tǒng)威脅和新威脅。隨著企業(yè)和公共部門組織為更復(fù)雜����、更具破壞性的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露做準(zhǔn)備,他們應(yīng)利用AI和機(jī)器學(xué)習(xí)工具來監(jiān)測(cè)異常行為���,從而采用最強(qiáng)大的工具��。
企業(yè)必須優(yōu)先培養(yǎng)網(wǎng)絡(luò)安全意識(shí)文化�����,確保員工了解自己在保護(hù)資產(chǎn)方面的作用���。CISO還應(yīng)繼續(xù)利用外部專家來確保企業(yè)遵守相關(guān)的數(shù)據(jù)隱私法律和法規(guī)�����,同時(shí)創(chuàng)建一個(gè)事件響應(yīng)框架����,這對(duì)于制定全面����、未來具有韌性的網(wǎng)絡(luò)安全戰(zhàn)略至關(guān)重要。
