安全团队总是必须适应变化,但2025年将出现的新发展可能会使变化特别具有挑战性。AI 创新步伐的加快、日益复杂的网络威胁和新的监管政策将要求首席信息安全官 (CISO) 驾驭更复杂的环境。
供应商正在迅速将AI 功能添加到现有产品中,其使用的基础大型语言模型 (LLM) 在增强产品能力的同时也暴露了新的攻击面给攻击者,企业CISO 需要了解他们面临这些威胁的严重程度,以及如何缓解这些威胁。
同时,网络安全法规在世界一些国家的变化和发展,尤其是在欧盟和美国加州等地区,要求安全和法律团队加强协作,以确保合规性并降低风险。新技术和法律的这种融合意味着 CISO 必须在董事会层面的合规性需求与新的安全挑战之间取得平衡,以保护其企业组织持续发展。
眼下,尽管生成式 AI (GenAI) 带来了潜在的安全挑战,但它也为提高软件开发流程的安全性提供了机会。通过主动识别漏洞并实现更高的自动化程度,AI 将有助于缩小开发人员和安全团队之间的差距。
以下是 2025 年将主导企业安全格局的三个趋势。
1. 专有 LLM 中的漏洞为产生广泛影响的安全事件提供了可能性
软件供应商急于为其产品添加AI 功能,而这一过程通常是利用专有的基础 LLM。随着攻击者开始在这些模型中发现漏洞,他们开始以此为攻击媒介,产生的攻击危害危害也愈演愈烈,而行业整合会进一步增加风险。
专有模型几乎不会透露有关其来源或内部护栏的信息,这使得安全专业人员更难理解和管理它们。因此,攻击者可以在模型的特征空间中嵌入恶意软件,或利用鲜为人知的攻击面。
由于某些行业严重依赖少数专有 LLM,因此这些攻击可能会在整个软件生态系统中产生级联效应,可能导致大规模服务中断。
2. AI 和云原生工作负载将增加对高度自适应身份管理的需求
云原生和 AI 应用程序的增长为身份管理系统带来了新的挑战。2025年,访问控制必须变得更具有适应性,以应对非人类、基于服务的身份的增加。
管理身份和权限的系统已经从传统的静态状态过渡到更加短暂且适应性更强的框架,这反映了现代数字交互所需的敏捷性。这些需求在2025年将变得更加大。
特别是 AI 驱动的应用程序,需要对传递身份有深入的了解。这些应用程序需要提供安全高效的访问系统,即使角色和需求不断发展也是如此。
3. AI 将有助于在 DevOps 中扩展安全性
在最近的一项调查中,58% 的开发人员表示,他们觉得自己对应用程序安全负有某种程度的责任。然而,具备安全技能的 DevOps 专业人员仍然供不应求。
AI 将通过自动执行日常任务、提供智能编码建议和进一步弥合技能差距,继续使 DevOps 团队中的安全专业知识大众化。安全性将集成在整个构建流水线中,通过利用可集成到开发人员工作流程中的可重用安全模板,在设计阶段及早识别潜在漏洞。
身份验证和授权也将得到改进,AI 将在跨云环境部署服务时自动分配角色和权限。最终将是改善安全结果、降低风险并增强开发人员与其安全同行之间的协作。
随着技术形势的不断发展和网络威胁的日益复杂,首席信息安全官必须认识到 AI 可能带来的新威胁,同时采用 AI 驱动的解决方案。通过利用 AI 自动执行安全任务、识别漏洞并实时响应威胁,企业组织可以加强其安全态势,并在快速发展的威胁形势中保持领先地位。
