我们向网络安全专家询问了他们对 2025 年的最重要预测

到 2024 年底，网络安全行业面临着诸多挑战。首先，据一份报告称，自 2017 年以来，网络犯罪造成的损失已翻两番，达到 25 亿美元。

大公司因勒索软件而损失数百万美元，在 T-Mobile 的案例中，因泄露客户数据而损失了 3000 万美元。一家美国网络安全公司甚至不小心雇佣了一名朝鲜黑客。

当我们进入新千年整整四分之一个世纪时，在线安全的格局将在我们共同的脚下继续发生变化。如何确保您了解最新趋势？通过浏览下面的指南，我们梳理了数十位网络安全专家的预测、警告和预测，以收集精华。

以下是新的一年对网络安全世界的期望。

2025 年最大的网络安全预测：

• 增强物联网的安全性
• 零信任架构扩展到设备之外
• 风险量化成为核心安全工具
• 关注中级网络技能差距
• 人工智能工具将进一步融入公司的安全协议
• 警惕管理不善的资产

增强物联网的安全性

“物联网”或 IoT 是指任何连接到互联网并依赖软件更新的技术设备，从智能冰箱到恒温器、门铃，甚至起搏器。如今，它们的表现都比以往任何时候都好，这让许多网络安全专家感到恐惧——因为所有这些设备现在都容易受到网络攻击。

KnownHost 首席执行官 Daniel Pearson 指出，物联网不仅仅适用于智能家居。企业内部拥有大量物联网设备：传感器、监控设备、能源管理系统以及日常办公用品，包括灯泡、门锁和闭路电视系统。

Pearson 表示，为了应对大量潜在漏洞，到 2025 年，企业必须“通过多重身份验证、定期加密和固件更新，确保其智能设备得到充分保护”。

零信任架构扩展到设备之外

零信任架构需要持续验证，通过最小化隐式信任来减轻横向攻击风险。到 2025 年，这些策略将不仅仅局限于设备安全，并开始涵盖所有用户、设备、应用程序和交互。

Faddom 首席技术官 Ofer Regev 预计零信任将超越设备。

“零信任将扩展到设备和网络之外，包括所有数字交互的身份验证框架。随着远程工作和去中心化系统的兴起，传统的身份模型将无法满足要求。这需要能够在动态 IT 环境中跟踪和验证用户和系统行为的工具。” -雷格夫

零信任扩张将会出现，因为网络安全专业人员将不断采取额外措施来确保公司的安全。

风险量化成为核心安全工具

Bitsight和Diligent的一份报告发现，尽管网络安全公司的财务业绩比同行高出四倍，但只有 5% 的公司在董事会中拥有网络专家。

IT 专业人员如何与董事会沟通？ Diligent 自己的 CISO Monica Landen 表示，风险量化将成为“到 2025 年向董事会传达网络风险的最强大、最可靠的工具”。兰登将安全部门的风险量化与保险行业的风险评估进行了比较：不断改进。

“2025 年可能是更多跨组织授粉的一年，以便向董事会正确传达网络风险。安全团队历来都是孤立的，但如果他们能够将挑战和成功与客户影响、销售渠道或产品开发联系起来，这些障碍将会恶化，而不良安全性的影响，无论是积极的还是消极的，都会引起董事会的适当共鸣。” -兰登

公司将需要一个强大的 GRC 框架，以确保网络安全仍然是其新一年整体风险管理战略的基石。到 2025 年，网络安全必须成为组织各个级别的优先事项。

关注中级网络技能差距

对于处理网络安全的白领来说，技能提升和再培训是持续存在的问题。软件更新不断推出，因此员工必须始终获得新的学位和认证才能跟上。

Infosec Institute 人工智能战略副总裁 Keatron Evans 预测，到 2025 年，技能差距以及弥补这些差距所需的学习将比以往任何时候都更加重要。而且，需要认真学习的不仅仅是入门级员工。

“当我们谈论网络安全技能差距时，人们经常犯的错误之一是他们将这种差距归因于所有入门级角色。然而，在整个行业范围内，我们已经意识到，一些最大的差距在于需要有多年工作经验的人才 [...]”-Evans

埃文斯表示，该行业可能会看到动手或可验证技能的增加，以及教授这些技能所需的沉浸式学习的增加，他补充说，“部分挑战在于行业内所需的学位和认证水平。”员工必须在倦怠风险与不断增加新认证的需要之间取得平衡。

Ofer Regev 将技能差距讨论更进一步，预测它将加速轻量级自动化工具的发展：“到 2025 年，全球熟练 IT 专业人员的短缺将更加严重，”Regev 表示，“将推动企业采用更轻量级的自动化工具。需要广泛专业知识的复杂解决方案将被无代理技术取代，这些技术可以快速简化部署并创造价值。”

当然，这远不是与人工智能技术使用相关的唯一预测。

人工智能工具将进一步融入公司的安全协议

我们在撰写本文时咨询的网络安全专家对人工智能相关的预测有很多不同的看法，但总的趋势可以概括为：人工智能将继续在整个行业中找到一席之地。长期以来，人工智能一直是寻找问题的解决方案，到 2025 年，它可能会开始发现这些问题。

正如基特伦·埃文斯 (Keatron Evans) 所说，这可能看起来像是对技术的自下而上的理解：

“认真保持网络优势的人需要让自己更接近技术，而不仅仅是消费者对技术的使用。明年将是真正倡导理解底层技术及其工作原理的一年——这将使员工的价值呈指数级增长。” -埃文斯

根据数据隐私公司 Kiteworks 的 2025 年预测报告，人工智能对数据训练的依赖可能会带来数据安全风险。

“到 2025 年，更严格的全球法规将要求人工智能数据处理的透明度和问责制，组织将因敏感内容处理不当而面临处罚。为了应对这些威胁，企业必须实施强大的人工智能治理框架，优先考虑隐私保护技术，并采用安全的模型开发实践来确保合规性和维护信任。” -风筝工厂

N2W 首席解决方案架构师 Sebastian Straub 表示，人工智能还将为备份自动化提供支持。

“到 2025 年，备份系统将开始实现近乎零的管理干预。人工智能将学习复杂的数据使用模式、合规性要求和组织需求，成为主动的数据管理专家，自主确定需要备份的内容和时间，包括遵守 GDPR、HIPAA 或 PCI DSS 等合规性标准。” -斯特劳布

然而，人工智能适应是一场艰苦的战斗。 Staub 还警告说，人工智能“不是灵丹妙药”，随着公司在 2025 年及以后努力将人工智能纳入其系统，我们仍然会看到大量“不幸的违反信任和合规违规行为”。

警惕管理不善的资产

CyCognito 首席营销官 Tim Matthews 认为，由于“未知、管理不善的资产”，我们将看到数据泄露事件的增加。 Matthews 预测，到 2025 年，70% 的违规行为将追溯到这些资产，这比许多分析师目前估计的 60% 有所增加。

“不断扩大且日益复杂的攻击面、云迁移、第三方依赖性和远程工作基础设施将推动这一趋势。组织将被迫从被动的、针对特定资产的安全性转向以发现为先的方法，重点关注已知库存之外的项目。” -马修斯

这与我们从更多行业的技术专业人士那里收集到的更广泛的技术趋势预测相吻合：2025 年将需要采取更主动的措施，而不仅仅是被动的措施。

最后，在线安全业务的情况仍然如此。无论工具和协议是人工智能功能、零风险架构还是风险量化，这都标志着不良行为者和网络安全专家之间不断进行的技能提升军备竞赛，而且看不到真正的结束。