隨著 2024 年接近尾聲,全球資安環境持續快速演變,2025 年將迎來更加複雜且多樣化的威脅形勢,網路攻擊的規模與精準度將進一步升級。竣盟科技針對未來趨勢進行深度分析,以下是我們對 2025 年資安發展方向的預測:
- 資安環境持續升溫:威脅行為與技能短缺雙重挑戰
根據微軟最新報告,今年勒索攻擊企圖次數增長了 2.75 倍,研究顯示,2024 年全球網路攻擊次數將比 2020 年激增 105%。
生成式人工智慧(Generative AI)降低了攻擊門檻,對資安專業技能的需求更加迫切。英國與澳洲均報告資安技能短缺,且女性僅占業界人數的四分之一,反映出行業在多元性及人力資源上的挑戰。
除此之外,企業面臨資安資源不足,無法應對威脅行為日益多樣化和複雜化的壓力。攻擊者策略的快速演進,加劇了防禦難度。
- 聚焦第三方風險管理與 AI 軟體供應鏈安全
隨著 CrowdStrike 及 MOVEit 等事件突顯第三方軟體風險,資安專家預測美國政府可能於 2025 年禁止部分高風險軟體的使用。
生成式 AI 雖為企業帶來創新機遇,但同時揭露了新的漏洞。 HackerOne 的調查顯示,48% 的資安專家認為 AI 是組織面臨的最大威脅。未來供應鏈安全需聚焦於 AI 模型與訓練數據的完整性,防範數據污染與偏差利用。此外,更多企業將採用 零信任架構 強化供應鏈存取的全方位監控。
- macOS 崛起為網路犯罪的新目標
曾被認為相對安全的 macOS,正因普及升而成為攻擊者的新興目標。根據 Moonlock 的報告,2024 年 macOS 相關惡意軟體樣本增長了 3.4 倍。
主要攻擊技術包括:
• 假 PDF 與假 Mac 應用程式;
• 濫用合法軟體;
• 利用特定系統漏洞的複合型攻擊。
企業應加速部署針對 macOS 的資安解決方案,並強化員工的使用安全意識。
- 身分管理:從 IT 過渡到資安團隊
身分攻擊成為資料洩露的首要原因,專家預測 2025 年企業將逐步將身分與存取管理(IAM)的責任從 IT 部門移交至資安團隊。
重點應對範疇包括:
• 特權帳戶的管理與審核;
• 第三方存取風險控制;
• 應用程式與服務帳戶的密鑰分布。
此轉變有助於減少攻擊面,並加強對身分相關威脅的防禦能力。
- 網路法規加速分化:全球協作挑戰升高
國際資安法規正因地緣政治壓力而加速分化。例如:
• 美國的 CHIPS 法案 著重保護關鍵技術供應鏈;
• 出口管制規範則限制敏感技術向敵對國家的流通。
專家警告,這種分化可能抑制跨國情報合作,助長漏洞的利用。各國需專注於建立更強大的情報分享與威脅獵捕機制,以減少跨境協作障礙。
- 生成式 AI 精準鎖定社交工程攻擊
生成式 AI 與社交媒體的結合使攻擊更加精準。例如:
• 香港某財務人員因 AI 模擬高層聲音而損失 2500 萬美元;
• 根據 Gartner,AI 增強的惡意攻擊已成為 2024 年前三季度的首要新興業務風險。
攻擊目標包括 CEO、高層管理人員、HR 與 IT 團隊。企業必須加強資安教育,並優化針對社交工程攻擊的防禦策略。
前瞻性應對措施
面對持續進化的資安挑戰,企業需採取前瞻性策略:
• 投資生成式 AI 資安技能,確保防禦體系穩固;
• 部署零信任架構,進一步縮小攻擊面;
• 追蹤法規動態,確保合規與風險管理同步;
• 強化資安教育,打造全面的員工防禦網絡。
這些趨勢與應對措施將成為 2025 年企業資安策略的核心要素