這將需要多個領域的國際合作,同樣,企業(yè)必須保持韌性,隨時準備在來年應對新的威脅和挑戰(zhàn)。以下是對2025年的三個預測,讓我們一窺未來:
AI、“Q日”與合規(guī)挑戰(zhàn)
2025年,CISO的關鍵優(yōu)先事項將包括整合新技術、適應新趨勢,同時加強企業(yè)的安全態(tài)勢。不法分子不斷在軟件供應鏈、網絡和終端中尋找漏洞或過時代碼,以圖利用這些弱點。與此同時,AI的普及勢必將加速網絡釣魚詐騙、利用深度偽造技術進行社交攻擊,以及自動化更具破壞性的惡意軟件攻擊:
• 不法分子將利用個人數據和AI發(fā)動更有效的攻擊:2024年發(fā)生的國家公共數據和MC2泄露事件將使網絡犯罪分子能夠利用更多的個人數據,結合AI生成的“深度偽造”,在2025年發(fā)動更逼真、更有效的網絡釣魚和魚叉式網絡釣魚攻擊。
由于人為因素仍然是最“易被攻破”的環(huán)節(jié),這些攻擊可能會導致更多的數據泄露和/或控制系統(tǒng)遭破壞。鑒于員工通常對敏感數據、金融交易和物理控制系統(tǒng)擁有特權訪問權限,魚叉式網絡釣魚攻擊一旦成功,可能會帶來毀滅性的后果。
與此同時,CISO還必須考慮其他新興挑戰(zhàn),包括隨著量子計算的發(fā)展,加密可能不再提供目前所提供的保護層:
• 隨著“Q日”的臨近,企業(yè)應開始做準備:隨著美國國家標準與技術研究院(NIST)于8月發(fā)布后量子密碼學標準,尚未開始實施新標準的企業(yè)現(xiàn)在必須行動起來了。全面部署需要時間,而據一些估計,“Q日”(即量子計算機能夠破解當前加密標準)可能在未來十年內到來,因此企業(yè)需要積極準備,以避免措手不及。
此外,企業(yè)和個人需要預見一些對手和敵對國家基于“現(xiàn)在收集,以后解密”策略的數據泄露風險。我們尚不清楚這種情況的全部影響,但它可能導致勒索軟件、敲詐、魚叉式網絡釣魚和其他攻擊激增。僅僅因為以往事件中的敏感信息沒有公開泄露,并不意味著未來也不會發(fā)生。正因如此,CISO應將2025年對“Q日”的準備作為首要任務。
最后,在2025年,由于數據保護和隱私法律日益復雜且不一致,各國之間以及美國各州之間各不相同,CISO將繼續(xù)在合規(guī)方面面臨挑戰(zhàn):
• 美國數據隱私法律的不斷增加將帶來新的合規(guī)負擔:2025年,美國各地不斷出臺的數據隱私法規(guī)(其中許多相似且重疊)將繼續(xù)增加對創(chuàng)建、處理、存儲和傳輸敏感數據的組織的合規(guī)負擔。
自加利福尼亞州通過《加利福尼亞州消費者保護法》(后來被《加利福尼亞州隱私權法》取代)以來,已有20多個州通過了全面的隱私法律,其中許多已經通過成為法律,但將在2026年及以后陸續(xù)生效。
為了克服合規(guī)僵局,企業(yè)需要高度組織化和高效。成熟的治理(從董事會到下層)、可重復的過程和工具(包括治理、風險與合規(guī)平臺)對于最小化合規(guī)相關風險至關重要。
以史為鑒,面向未來
組織2025年的戰(zhàn)略網絡安全計劃應通過整合主動風險管理、高級威脅檢測和自適應響應機制來應對AI驅動的傳統(tǒng)威脅和新威脅。隨著企業(yè)和公共部門組織為更復雜、更具破壞性的網絡攻擊和數據泄露做準備,他們應利用AI和機器學習工具來監(jiān)測異常行為,從而采用最強大的工具。
企業(yè)必須優(yōu)先培養(yǎng)網絡安全意識文化,確保員工了解自己在保護資產方面的作用。CISO還應繼續(xù)利用外部專家來確保企業(yè)遵守相關的數據隱私法律和法規(guī),同時創(chuàng)建一個事件響應框架,這對于制定全面、未來具有韌性的網絡安全戰(zhàn)略至關重要。
企業(yè)網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。旗下運營19個IT行業(yè)公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業(yè)網D1Net編譯,轉載需在文章開頭注明出處為:企業(yè)網D1Net,如果不注明出處,企業(yè)網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號