隨著無邊界的威脅生態(tài)系統(tǒng)給全球企業(yè)和政府帶來新挑戰(zhàn)，CISA的《2025-2026年國際計劃》旨在解決這一問題，該計劃呼吁跨國界開展綜合網(wǎng)絡(luò)防御，以應(yīng)對企業(yè)、政府和消費(fèi)者面臨的復(fù)雜全球網(wǎng)絡(luò)安全挑戰(zhàn)。

這將需要多個領(lǐng)域的國際合作，同樣，企業(yè)必須保持韌性，隨時準(zhǔn)備在來年應(yīng)對新的威脅和挑戰(zhàn)。以下是對2025年的三個預(yù)測，讓我們一窺未來：

AI、“Q日”與合規(guī)挑戰(zhàn)

2025年，CISO的關(guān)鍵優(yōu)先事項將包括整合新技術(shù)、適應(yīng)新趨勢，同時加強(qiáng)企業(yè)的安全態(tài)勢。不法分子不斷在軟件供應(yīng)鏈、網(wǎng)絡(luò)和終端中尋找漏洞或過時代碼，以圖利用這些弱點(diǎn)。與此同時，AI的普及勢必將加速網(wǎng)絡(luò)釣魚詐騙、利用深度偽造技術(shù)進(jìn)行社交攻擊，以及自動化更具破壞性的惡意軟件攻擊：

? 不法分子將利用個人數(shù)據(jù)和AI發(fā)動更有效的攻擊：2024年發(fā)生的國家公共數(shù)據(jù)和MC2泄露事件將使網(wǎng)絡(luò)犯罪分子能夠利用更多的個人數(shù)據(jù)，結(jié)合AI生成的“深度偽造”，在2025年發(fā)動更逼真、更有效的網(wǎng)絡(luò)釣魚和魚叉式網(wǎng)絡(luò)釣魚攻擊。

由于人為因素仍然是最“易被攻破”的環(huán)節(jié)，這些攻擊可能會導(dǎo)致更多的數(shù)據(jù)泄露和/或控制系統(tǒng)遭破壞。鑒于員工通常對敏感數(shù)據(jù)、金融交易和物理控制系統(tǒng)擁有特權(quán)訪問權(quán)限，魚叉式網(wǎng)絡(luò)釣魚攻擊一旦成功，可能會帶來毀滅性的后果。

與此同時，CISO還必須考慮其他新興挑戰(zhàn)，包括隨著量子計算的發(fā)展，加密可能不再提供目前所提供的保護(hù)層：

? 隨著“Q日”的臨近，企業(yè)應(yīng)開始做準(zhǔn)備：隨著美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)于8月發(fā)布后量子密碼學(xué)標(biāo)準(zhǔn)，尚未開始實施新標(biāo)準(zhǔn)的企業(yè)現(xiàn)在必須行動起來了。全面部署需要時間，而據(jù)一些估計，“Q日”(即量子計算機(jī)能夠破解當(dāng)前加密標(biāo)準(zhǔn))可能在未來十年內(nèi)到來，因此企業(yè)需要積極準(zhǔn)備，以避免措手不及。

此外，企業(yè)和個人需要預(yù)見一些對手和敵對國家基于“現(xiàn)在收集，以后解密”策略的數(shù)據(jù)泄露風(fēng)險。我們尚不清楚這種情況的全部影響，但它可能導(dǎo)致勒索軟件、敲詐、魚叉式網(wǎng)絡(luò)釣魚和其他攻擊激增。僅僅因為以往事件中的敏感信息沒有公開泄露，并不意味著未來也不會發(fā)生。正因如此，CISO應(yīng)將2025年對“Q日”的準(zhǔn)備作為首要任務(wù)。

最后，在2025年，由于數(shù)據(jù)保護(hù)和隱私法律日益復(fù)雜且不一致，各國之間以及美國各州之間各不相同，CISO將繼續(xù)在合規(guī)方面面臨挑戰(zhàn)：

? 美國數(shù)據(jù)隱私法律的不斷增加將帶來新的合規(guī)負(fù)擔(dān)：2025年，美國各地不斷出臺的數(shù)據(jù)隱私法規(guī)(其中許多相似且重疊)將繼續(xù)增加對創(chuàng)建、處理、存儲和傳輸敏感數(shù)據(jù)的組織的合規(guī)負(fù)擔(dān)。

自加利福尼亞州通過《加利福尼亞州消費(fèi)者保護(hù)法》(后來被《加利福尼亞州隱私權(quán)法》取代)以來，已有20多個州通過了全面的隱私法律，其中許多已經(jīng)通過成為法律，但將在2026年及以后陸續(xù)生效。

為了克服合規(guī)僵局，企業(yè)需要高度組織化和高效。成熟的治理(從董事會到下層)、可重復(fù)的過程和工具(包括治理、風(fēng)險與合規(guī)平臺)對于最小化合規(guī)相關(guān)風(fēng)險至關(guān)重要。

以史為鑒，面向未來

組織2025年的戰(zhàn)略網(wǎng)絡(luò)安全計劃應(yīng)通過整合主動風(fēng)險管理、高級威脅檢測和自適應(yīng)響應(yīng)機(jī)制來應(yīng)對AI驅(qū)動的傳統(tǒng)威脅和新威脅。隨著企業(yè)和公共部門組織為更復(fù)雜、更具破壞性的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露做準(zhǔn)備，他們應(yīng)利用AI和機(jī)器學(xué)習(xí)工具來監(jiān)測異常行為，從而采用最強(qiáng)大的工具。

企業(yè)必須優(yōu)先培養(yǎng)網(wǎng)絡(luò)安全意識文化，確保員工了解自己在保護(hù)資產(chǎn)方面的作用。CISO還應(yīng)繼續(xù)利用外部專家來確保企業(yè)遵守相關(guān)的數(shù)據(jù)隱私法律和法規(guī)，同時創(chuàng)建一個事件響應(yīng)框架，這對于制定全面、未來具有韌性的網(wǎng)絡(luò)安全戰(zhàn)略至關(guān)重要。