隨著網(wǎng)絡攻擊手段的不斷演變，2025年的網(wǎng)絡安全形勢將更加嚴峻。CISO們需要緊跟時代步伐，了解最新的網(wǎng)絡安全威脅和防御策略。以下是CISO在2025年必須掌握的五大網(wǎng)絡安全見解，幫助企業(yè)有效應對不斷變化的威脅環(huán)境。

勒索軟件攻擊仍然是企業(yè)和網(wǎng)絡安全領導者面臨的最重大的網(wǎng)絡安全威脅之一。攻擊會導致大規(guī)模中斷、大量數(shù)據(jù)泄露、巨額賠付以及企業(yè)數(shù)百萬美元的損失。

為此，大型、協(xié)調(diào)一致的執(zhí)法行動已瞄準主要勒索軟件團伙，并擾亂了其運作，拆除了數(shù)據(jù)泄露網(wǎng)站，并發(fā)布了解密密鑰。

然而，攻擊數(shù)量有所上升，報告的受害者數(shù)量持續(xù)增長，就像長出新頭的九頭蛇一樣，勒索軟件生態(tài)系統(tǒng)已經(jīng)改革并繼續(xù)運作，盡管一些策略正在改變。

以下是CISO在2025年需要了解的五個關鍵見解。

過度關注GenAI風險會低估已知威脅

ChatGPT等GenAI工具繼續(xù)在組織內(nèi)部引起轟動，并引發(fā)了一系列安全擔憂。然而，一些事件數(shù)據(jù)和威脅分析表明，安全領導者需要保持警惕，關注傳統(tǒng)勒索軟件策略的演變。

Verizon的《2024年數(shù)據(jù)泄露調(diào)查報告》發(fā)現(xiàn)，在過去兩年中，犯罪論壇上使用“GenAI(GenAI)”一詞以及勒索軟件、惡意軟件和漏洞等搜索詞的數(shù)量并沒有太大變化。報告指出，雖然GenAI可能會放大現(xiàn)有威脅，但由于社會攻擊和釣魚等相對簡單的威脅向量仍然有效，它可能并未對勒索軟件攻擊產(chǎn)生顯著影響。

Sophos亞太區(qū)現(xiàn)場首席技術官Aaron Bugal表示，GenAI威脅確實存在，然而，對新技術的關注可能會掩蓋網(wǎng)絡安全衛(wèi)生實踐的重要性，尤其是在資源有限的領域，如公共醫(yī)療保健領域?！斑@可能會以犧牲解決更基本的網(wǎng)絡安全基礎問題為代價，而這些問題正是導致勒索軟件漏洞的原因。”

Sophos《2024年勒索軟件狀況報告》中的勒索軟件攻擊數(shù)據(jù)顯示，漏洞管理、憑證泄露、惡意電子郵件和釣魚是最常見的起點。這些風險因素需要通過常規(guī)流程進行管理。Bugal告訴記者：“我們今天看到的許多攻擊，攻擊者都是利用管理不善或管理不當?shù)沫h(huán)境中的缺陷入侵的，這無異于為他們開了綠燈?！?/p>

如果過度關注GenAI，就可能會忽視或忘記保護憑證、缺乏多因素身份驗證、未修補已知漏洞、未及時更新老舊設備和用戶賬戶以及忽視配置等問題?！坝行┦虑榘l(fā)現(xiàn)和緩解起來可能很簡單，但如果組織忽視了它們，就會使自己容易受到攻擊。”他說。

中型企業(yè)高度脆弱

行業(yè)數(shù)據(jù)顯示，中型企業(yè)仍然極易受到勒索軟件攻擊?！癈ISO需要意識到，勒索軟件不再只針對大公司，現(xiàn)在甚至中型企業(yè)也面臨風險。這種意識至關重要?！盧apid7威脅分析高級總監(jiān)Christiaan Beek表示。

根據(jù)Rapid7的《2024年勒索軟件報告》，年收入約為500萬美元的公司遭受勒索軟件攻擊的頻率是年收入在3000萬至5000萬美元范圍內(nèi)公司的兩倍，是年收入1億美元公司的五倍。

Beek表示，在2025年，這一威脅仍然存在，由于許多中型企業(yè)沒有專門的CISO，它們更容易受到勒索軟件中斷的影響。大型企業(yè)準備更充分，因為它們有中央高級人員以及相應的資源?！癈ISO通常擁有更大的安全團隊和更好的工具來防御攻擊。”他說。

網(wǎng)絡犯罪分子盯上這些公司，認為它們規(guī)模足夠大，擁有有價值的數(shù)據(jù)，但缺乏大型企業(yè)的保護。同時，大型企業(yè)需要考慮，供應鏈和第三方合作伙伴中包括沒有專門安全領導者的較小、中型企業(yè)，這可能會增加它們的風險暴露。

Check Point的網(wǎng)絡安全布道師Ashwin Ram表示，在遭受攻擊的情況下，中型市場組織可能缺乏成熟企業(yè)所具備的數(shù)據(jù)泄露可見性和取證工具，無法有效驗證勒索軟件聲明?！斑@些企業(yè)中的許多企業(yè)在外部攻擊面管理和暗網(wǎng)監(jiān)控方面的投入程度遠不及更先進的企業(yè)?！?/p>

Beek建議CISO每年至少進行兩次勒索軟件攻擊模擬演練，以全面評估其事件響應準備工作的各個方面?！斑@有助于發(fā)現(xiàn)漏洞，并確保他們已準備好有效應對，”他說。

數(shù)據(jù)泄露攻擊需要安全優(yōu)先級的重大轉變

CheckPoint的Ram表示，近年來，勒索軟件攻擊者已經(jīng)從基于加密的勒索轉向數(shù)據(jù)泄露以及雙重、三重甚至四重勒索，目標包括企業(yè)和個人，并幫助發(fā)動分布式拒絕服務(DDoS)攻擊。

根據(jù)Coveware的數(shù)據(jù)，2024年最后一季度觀察到的87%的案件涉及數(shù)據(jù)泄露，要么導致基于加密的攻擊，要么是攻擊的主要目標。

Ram表示：“威脅行為者正在竊取敏感數(shù)據(jù)，并利用公開曝光的威脅迫使受害者支付贖金，這在醫(yī)療行業(yè)和金融行業(yè)最為有效，因為醫(yī)療記錄和個人身份信息(PII)可能促成金融詐騙和身份欺詐。”

這正在改變勒索軟件生態(tài)系統(tǒng)。CheckPoint的《2025年網(wǎng)絡安全狀況報告》指出，許多成熟的網(wǎng)絡犯罪團伙，如BianLian和Meow，已經(jīng)采用了數(shù)據(jù)泄露技術，而新進入者如Bashe則涌現(xiàn)出來，提供“數(shù)據(jù)銷售平臺”。

攻擊性質發(fā)生變化的原因有很多。報告指出，隨著企業(yè)改進了其備份和恢復能力，以及執(zhí)法行動擾亂了攻擊，不法分子將重點轉向數(shù)據(jù)泄露，以簡化操作、規(guī)避檢測，并尋找其他有利可圖的攻擊途徑。

然而，在沒有明顯的數(shù)據(jù)被鎖定跡象的情況下，安全從業(yè)人員面臨著快速確定組織數(shù)據(jù)是否已被竊取以及驗證任何聲明的挑戰(zhàn)。在某些情況下，不法分子可能會通過重復利用已公開的信息來聲稱數(shù)據(jù)泄露?！肮粽呖赡苷莆樟艘恍┵~戶，但他們并沒有整個企業(yè)的憑證，或者他們只有一兩個客戶數(shù)據(jù)庫或特定客戶的數(shù)據(jù)庫?！盧am告訴記者。

Ram建議CISO審查和加強其企業(yè)在數(shù)據(jù)保護、監(jiān)控和快速威脅檢測方面的防御。這需要采取多層次的方法，最重要的是，企業(yè)的“皇冠之寶”或最關鍵的數(shù)據(jù)資產(chǎn)需要最高優(yōu)先級。“CISO將不得不重寫他們的一些事件響應策略手冊，其中驗證部分將發(fā)揮關鍵作用?！彼f。

關鍵基礎設施風險加劇

對關鍵基礎設施的攻擊正在增加，能源、公用事業(yè)和電力基礎設施面臨的威脅不斷升級，公共醫(yī)療保健組織也受到大量影響。

在公共醫(yī)療保健領域，資源通常很緊張，而在其他領域，如制造業(yè)、公用事業(yè)和電力基礎設施，數(shù)字化轉型正在將操作系統(tǒng)聯(lián)網(wǎng)，從而產(chǎn)生新的漏洞。

存在一系列復雜因素，比如舊技術和生命周期結束的技術無法獲得補丁。“如果攻擊者找到進入傳統(tǒng)上離線的行業(yè)的方法，那將帶來更大的問題，”Sophos的Bugal表示。能源和公用事業(yè)市場的許多組織往往使用較舊的軟件和技術，這些更容易出現(xiàn)安全漏洞?！斑@為攻擊者提供了訪問機會，然后他們可以在環(huán)境中橫向移動，最終導致勒索軟件事件?！盉ugal告訴記者。

隨著組織的發(fā)展，其IT基礎設施的規(guī)模和復雜性也在增加，這可能導致攻擊，特別是那些以未修補漏洞為起點的攻擊。Sophos的報告指出，在遭受攻擊的情況下，IT團隊更難全面了解其所有暴露點，并在被利用之前進行修補。

根據(jù)Arctic Wolf Labs的《2025年預測報告》，對關鍵基礎設施的攻擊預計將持續(xù)到2025年。該報告還警告說，雖然這些勒索軟件攻擊可能遵循典型的策略手冊，但它們可能掩蓋敵對國家的入侵行為，為未來的數(shù)字沖突奠定基礎。報告指出：“這些事件也可能旨在分散對在這些環(huán)境中建立隱蔽持久性的戰(zhàn)略目標的注意力?！?/p>

邊界防御失效

隨著企業(yè)數(shù)字邊界的擴展，攻擊面也在增長，邊緣服務和設備越來越多地成為威脅行為者發(fā)動勒索軟件攻擊的入口點。邊界現(xiàn)在包括物聯(lián)網(wǎng)設備、云應用程序、VPN網(wǎng)關、一系列互聯(lián)網(wǎng)連接設備和其他網(wǎng)絡訪問工具，這使得確保訪問控制和監(jiān)控網(wǎng)絡變得更加具有挑戰(zhàn)性。

2024年，Palo Alto Networks和SonicWall的設備中存在的軟件漏洞被利用來發(fā)動勒索軟件攻擊。

根據(jù)Arctic Wolf Labs的《2025年預測報告》，展望未來，企業(yè)可以預期其攻擊面將面臨更多威脅。邊界設備仍然容易受到合法賬戶濫用、漏洞利用、多因素身份驗證(MFA)漏洞和身份管理實踐弱點的影響。

CISO面臨著越來越大的壓力，要求他們維護穩(wěn)健的補丁管理流程，并全面加強訪問配置。同時，不斷擴展的數(shù)字邊界帶來了更多對零日漏洞的暴露。報告指出，制造業(yè)仍然特別脆弱，占實驗室調(diào)查的所有案件的44%。

Beek表示，雖然先進的安全技術和工具很重要，但這并不能減少對確保企業(yè)數(shù)字前門安全的需求。然而，這一領域仍有改進空間?！拔覀?nèi)匀豢吹匠Ｒ姷陌踩韬觯绨踩O備上的弱密碼或未受保護的遠程訪問，這可能會為攻擊者提供入口點?！彼嬖V記者。

此外，Beek表示，了解已觀察到的攻擊事件有助于CISO理解事件鏈和它們可能在自己企業(yè)中構成的潛在風險。然后，他們可以審查自己的流程，以及是否有合適的技術和受過培訓的人員來注意到同類攻擊。“作為CISO，如果你能理解攻擊鏈，你就能看出自己的企業(yè)中是否存在預警機制以及這種情況的可見性?！彼f。