2025年網絡安全預測:數據保護、應用安全與API韌性
網絡安全是一個充滿變動的行業。新趨勢、新技術以及新手法正以驚人的速度重塑著整個行業的格局,這也使得跟上時代的步伐變得極具挑戰性。邁入 2025 年,應用程式和 API 安全的重要性從未像現在這樣明顯。2024 年,API 鞏固了其作為數字創新核心支柱的地位。然而,API 採用率的激增也擴大了攻擊面,其中有 27% 的 API 攻擊針對業務邏輯漏洞,比前一年增加了 10%。作爲現代企業營運的核心驅動力之一,數據保護也將繼續成為 2025 年企業的首要關注點。
數據安全展望
全球數據隱私法規趨勢
根據聯合國貿易與發展會議(UNCTAD)的統計,目前全球 80% 的國家已經制定或正在推動數據保護與隱私相關法規。這些法規要求數據必須在特定的管轄範圍內儲存和處理,以應對與國際執法相關的風險。雲服務供應商和企業必須遵守當地的數據主權法律,同時企業必須在新系統和應用中做到「隱私保護融入設計」。比如,2024 年提出的「美國隱私權法案」(APRA)標志著該國朝著建立聯邦數據隱私法規邁出了重要一步,儘管加州等州的特定法律仍在塑造監管格局。
主動風險管理的演進
隨著人工智能驅動的網絡攻擊頻率與規模不斷增長,企業必須從單純以合規為中心的策略,轉變為更加注重風險的主動性策略。這就需要了解各關鍵維度的風險,包括企業、資産和監管風險。透過運用整個數據資産的關鍵數據風險指標,企業可以創建一個可操作的風險視圖,進而做出更有依據且高效的安全決策。持續監控和預先應對潛在威脅將成為標準作業流程,同時輔以更強大的身份驗證措施。遵守新法規,如NIS2、DORA、PCI DSS 4.0、英國《網絡韌性法案》及歐盟《人工智能法案》,將促使企業從 IT 系統的邊緣到核心采用全面的安全措施。
安全營運中的 AI 工具
人工智能(AI)和機器學習(ML ) 將在網絡安全領域中扮演越來越關鍵的角色,它們將增強威脅檢測和響應,改善威脅搜尋,並結合安全態勢管理與行為分析,幫助實時監控和保護大型數據庫。雖然網絡安全供應商正在越來越多地整合 AI 輔助工具 (如 Copilot),以應對全球 480 萬人才短缺的問題,但這些工具是對內部團隊的補充,而不是替代。安全團隊必須專注於如何有效運用 AI 工具的功能,特別是在識別數據外滲企圖或異常數據存取模式等風險方面。
關鍵基礎設施保護
針對關鍵基礎設施的攻擊呈現指數級增長,其中大多數攻擊源自內部 IT 基礎設施。IT、OT 和地緣政治問題之間的脫節,爲內部威脅在 2025 年的滋生創造了有利環境。鑒于關鍵基礎設施因其潛在的廣泛影響而成為網絡犯罪分子的首要攻擊目標,企業必須透過全面的安全措施與加強 IT 與 OT 系統之間的協作來彌補這些漏洞。此外,這一挑戰因後量子計算威脅的出現而變得更加複雜,這也驅使企業必須採用量子安全的網絡和加密敏捷的解決方案,以因應不斷演進的安全標準。而香港政府將會就保護關鍵基礎設施進行立法,條例訂明關鍵基礎設施營運者的架構責任、預防責任和事故通報及應對責任等法定要求,可見保護關鍵基礎設施是全球及本港的大趨勢。
應用與 API 安全展望
隨著我們邁入 2025 年,應用和 API 安全的重要性愈來愈顯著。2024 年,API 鞏固了其作為數字創新核心支柱的地位。然而,API 採用率的激增也擴大了攻擊面,其中有 27% 的 API 攻擊針對業務邏輯漏洞,比前一年增加了 10%。更嚴峻的挑戰是,46% 的帳戶接管(ATO)攻擊集中在 API 端點,比 2022 年的 35% 有明顯上升。
這些數據揭示了 API 驅動轉型的「雙刃劍」效應,在提升互聯性和效率的同時,也帶來了新的漏洞。隨著企業繼續將 API 作為其數字化戰略的基石,保護這些關鍵途徑安全的需求愈發迫切。2025 年的關鍵不只在抵禦 API 特定威脅,更在於主動建構一個安全、靈活的基礎設施,能夠全力以赴支持創新。
DevSecOps 與 API 增長的演進
2025 年將是 API 爆發式增長的第四年。根據 Thales(泰雷茲)旗下品牌 Imperva 的研究顯示,去年企業平均管理 613 個 API 端點,而 API 流量佔網絡流量的 71% 以上。不幸的是,API 的無縫數據集成功能使其成為攻擊者有利可圖的目標。目前,與 API 相關的安全問題每年給企業造成的損失高達 870 億美元。2025年,與 API 相關的風險將不斷增加,這將促使企業更專注從開發初期就加強其安全性。隨著越來越多企業採用 API,我們將看到 DevSecOps 實踐的轉變,將安全性嵌入到開發流程中。企業將不得不更加關注 API 的發現,透過持續可視性、分類以及對數據流的監控,來保護自身,進而降低風險。
LLM 應用與 API 安全風險
隨著企業不斷採用基於大型語言模型(LLM)的應用,如 LLM 代理等定制組件將變得越來越普遍。由於這些組件常依賴 API 來運作並與其他系統集成,因此預計到 2025 年,我們將會目睹至少一起涉及 LLM 應用的備受矚目的安全漏洞事件,特別是與其 API 連接中的漏洞相關。該漏洞將引起廣泛關注,凸顯出采取更強大的 API 安全措施的迫切性。隨著首席信息安全官(CISO)越來越關注企業內 API 的數量,並推動加強API安全的協同努力, API 安全將在 2025 年達到進一步提升的防護水準。
AI 驅動的網絡犯罪演變
生成式人工智能(Generative AI)已經降低了網絡犯罪分子的進入門檻,即使是沒有經驗的攻擊者也可以快速、輕鬆、大規模地發動相對複雜的攻擊。這個問題可能會在明年變得更加惡化。我們有可能會看到一種網絡攻擊工具,只需要企業目標的名稱即可引發一系列惡意活動。網絡犯罪分子可以使用此工具自動產生和發送網絡釣魚電子郵件。一旦進入目標網絡,他們就可以利用該技術獲得進一步的訪問權限。這些工具的易用性和有效性可能會增加網絡攻擊的總體數量和複雜性。這種演變與提示注入(prompt injection)作為新威脅媒介的出現不謀而合,而目前幾乎沒有針對這種威脅載體的安全措施。
供應鏈安全勢在必行
隨著供應鏈變得更加複雜和互相交織,我們可能會在 2025 年目睹一次重大的開源供應鏈攻擊,如 XZ Utils (SSH)攻擊,且成功的可能性更高。企業必須採用多層安全防護方法來降低這些攻擊的風險,包括實施嚴格的安全措施,例如定期代碼審計、自動漏洞掃描和強大的訪問控制,以及在網絡安全社群內共享威脅情報和最佳實踐。此外,保持所有軟件組件及其相關性的清晰清單,將有助於企業快速識別和解決漏洞。現代供應鏈的複雜性,加上攻擊的日益複雜,使其成為 2025 年安全團隊的一項關鍵工作事項。
結語
2025 年的網絡安全格局將面臨雙重挑戰:既要保護數據安全,又要透過 API 和應用促進創新。企業必須在主動風險管理與強大的技術控制之間取得平衡,同時保持營運效率和法規遵循。隨著新一年的到來,以及技術和風險的不斷演變,安全工作重點將聚焦于多個前沿領域,從數據隱私與 API 安全到新興技術與基礎設施保護。企業要想取得成功,就必須全面了解傳統和新興威脅,並具備在數字生態系統各個層面實施有效安全措施的能力。
作者:Wayne Hui,Thales 應用與數據安全業務區域副總裁(大中華區及韓國)
如欲了解更多,立即下載:
《The Economic Impact of API and Bot Attacks》
《Quantum computing & quantum-safe security – White Paper》
