安全團隊總是必須適應變化，但2025年將出現(xiàn)的新發(fā)展可能會使變化特別具有挑戰(zhàn)性。AI 創(chuàng)新步伐的加快、日益復雜的網(wǎng)絡威脅和新的監(jiān)管政策將要求首席信息安全官 （CISO） 駕馭更復雜的環(huán)境。

供應商正在迅速將AI 功能添加到現(xiàn)有產(chǎn)品中，其使用的基礎大型語言模型 （LLM） 在增強產(chǎn)品能力的同時也暴露了新的攻擊面給攻擊者，企業(yè)CISO 需要了解他們面臨這些威脅的嚴重程度，以及如何緩解這些威脅。

同時，網(wǎng)絡安全法規(guī)在世界一些國家的變化和發(fā)展，尤其是在歐盟和美國加州等地區(qū)，要求安全和法律團隊加強協(xié)作，以確保合規(guī)性并降低風險。新技術和法律的這種融合意味著 CISO 必須在董事會層面的合規(guī)性需求與新的安全挑戰(zhàn)之間取得平衡，以保護其企業(yè)組織持續(xù)發(fā)展。

眼下，盡管生成式 AI （GenAI） 帶來了潛在的安全挑戰(zhàn)，但它也為提高軟件開發(fā)流程的安全性提供了機會。通過主動識別漏洞并實現(xiàn)更高的自動化程度，AI 將有助于縮小開發(fā)人員和安全團隊之間的差距。

以下是 2025 年將主導企業(yè)安全格局的三個趨勢。

1. 專有 LLM 中的漏洞為產(chǎn)生廣泛影響的安全事件提供了可能性

軟件供應商急于為其產(chǎn)品添加AI 功能，而這一過程通常是利用專有的基礎 LLM。隨著攻擊者開始在這些模型中發(fā)現(xiàn)漏洞，他們開始以此為攻擊媒介，產(chǎn)生的攻擊危害危害也愈演愈烈，而行業(yè)整合會進一步增加風險。

專有模型幾乎不會透露有關其來源或內(nèi)部護欄的信息，這使得安全專業(yè)人員更難理解和管理它們。因此，攻擊者可以在模型的特征空間中嵌入惡意軟件，或利用鮮為人知的攻擊面。

由于某些行業(yè)嚴重依賴少數(shù)專有 LLM，因此這些攻擊可能會在整個軟件生態(tài)系統(tǒng)中產(chǎn)生級聯(lián)效應，可能導致大規(guī)模服務中斷。

2. AI 和云原生工作負載將增加對高度自適應身份管理的需求

云原生和 AI 應用程序的增長為身份管理系統(tǒng)帶來了新的挑戰(zhàn)。2025年，訪問控制必須變得更具有適應性，以應對非人類、基于服務的身份的增加。

管理身份和權限的系統(tǒng)已經(jīng)從傳統(tǒng)的靜態(tài)狀態(tài)過渡到更加短暫且適應性更強的框架，這反映了現(xiàn)代數(shù)字交互所需的敏捷性。這些需求在2025年將變得更加大。

特別是 AI 驅動的應用程序，需要對傳遞身份有深入的了解。這些應用程序需要提供安全高效的訪問系統(tǒng)，即使角色和需求不斷發(fā)展也是如此。

3. AI 將有助于在 DevOps 中擴展安全性

在最近的一項調(diào)查中，58% 的開發(fā)人員表示，他們覺得自己對應用程序安全負有某種程度的責任。然而，具備安全技能的 DevOps 專業(yè)人員仍然供不應求。

AI 將通過自動執(zhí)行日常任務、提供智能編碼建議和進一步彌合技能差距，繼續(xù)使 DevOps 團隊中的安全專業(yè)知識大眾化。安全性將集成在整個構建流水線中，通過利用可集成到開發(fā)人員工作流程中的可重用安全模板，在設計階段及早識別潛在漏洞。

身份驗證和授權也將得到改進，AI 將在跨云環(huán)境部署服務時自動分配角色和權限。最終將是改善安全結果、降低風險并增強開發(fā)人員與其安全同行之間的協(xié)作。

隨著技術形勢的不斷發(fā)展和網(wǎng)絡威脅的日益復雜，首席信息安全官必須認識到 AI 可能帶來的新威脅，同時采用 AI 驅動的解決方案。通過利用 AI 自動執(zhí)行安全任務、識別漏洞并實時響應威脅，企業(yè)組織可以加強其安全態(tài)勢，并在快速發(fā)展的威脅形勢中保持領先地位。