2024-12-20

DigiCert 2025年度安全预测:人工智能、量子和信任将以10种方式塑造新的一年

又一年即将进入尾声,现在是时候凝视水晶球来看看2025年的情况了。我们的网络安全专家团队将再次分享其对身份、技术和数字信任的预测。

去年,我们重点关注了人工智能(AI)和量子计算,以及随之而来的风险和机遇。这些技术仍在继续重塑安全格局,我们正在关注其对网络安全策略的影响。

那么2025年会发生什么?请参阅DigiCert数字信任服务高级总监Dean Coclin、工程副总裁Avesta Hojjati、行业标准副总裁Tim Hollebeek与数字信任全球副总裁Mike Nelson的深入解析

DigiCert 2025年度安全预测_副本.jpg


预测1:后量子加密将从理论走向实践和部署

DigiCert在去年的预测是,量子计算的持续进步将推动企业高管进一步了解相关风险,并加快对后量子加密(PQC)的投入。我们预测,2025年将是PQC实现重大飞跃的一年,它将从IT路线图中的抽象项目成为完成部署的运营解决方案。

我们已经注意到将PQC投入使用的第一步正在进行。预计美国国家安全局(NSA)将宣布用于重要NSS网络的CNSA 2.0算法。我们预测,随着高级加密技术在硬件安全模块(HSM)和应用程序中的普及,抗量子加密的采用将会有所增长。

而伴随这种加速,PQC也将发展成为监管合规的当务之急。全球组织已经认识到量子安全经济的必要性,而且针对金融服务组织和医疗提供商的合规标准与法规正在制定过程之中。

预测2:2025年,首席信任官的招聘将继续增加

2025年,随着组织优先考虑数字信任和透明度以应对日益复杂的监管环境和不断增加的网络安全威胁,我们将看到首席信任官(CTrO)仍将持续增加。由于信任现已成为客户关系中的关键因素,企业将认识到需要一位专职高级管理人员来监督数据隐私、伦理化的人工智能以及安全的数字体验。

CTrO将在建立和维护与客户、合作伙伴和监管机构的信任方面发挥重要作用,确保企业不仅能符合合规标准,而且能积极培养信任并将其作为核心业务资产。随着数字生态系统的扩大,对于能协调技术、安全性和透明度的领导者的需求将继续增长,并且将迅速增长。

预测3:内容来源和真实性联盟(C2PA)将成为主流

对于网络安全专业人士而言,2024年美国大选将被铭记,因为这是首次发生人工智能深度伪造威胁破坏选民信心的选举。我们所使用的许多媒体都很可疑,这使得内容来源比以往任何时候都更为重要。我们预测,内容来源和真实性联盟(C2PA)的内容凭据图标将变得十分常见,以便让消费者、创作者和营销人员能更容易地识别真实的数字内容。

在Adobe、微软、尼康、徕卡等顶级品牌的支持下,C2PA标准利用PKI生成防篡改记录,帮助用户区分真实媒体和虚假媒体。若内容被操纵或编辑,则相关更改会被记录,从而更容易识别深度伪造和其他被更改的内容。不久之后,大家就会在网络中的许多图片上看到内容凭据。

预测4:随着证书的不断发展变化,加密敏捷性将变得比以往任何时候都更为重要

在最近一次的CA/浏览器(CA/B)论坛会议上,苹果公司提议至2027年将公共SSL/TLS证书的最长有效期逐步缩短到45天。该提议体现了缩短证书有效期这一日益显著的趋势,旨在通过降低与较长的证书有效期相关的风险来提高互联网安全性。为了满足更频繁的续订需求,我们预测组织将需要为Web PKI实现更大程度的自动化。

长期以来证书自动化一直是加密敏捷性的根本方面之一,而对于那些没有将其融入流程的组织而言,即将到来的证书有效期变化将推动其适应这一情况。

预测5:组织将要求恢复能力和零中断

今年夏天发生的大规模CrowdStrike宕机事件不但表明需要更好地大规模测试自动化软件更新,还凸显出数字信任的重要性。我们预测,大家会提高期望值,并将要求更多的证据来证明其软件和更新不仅是安全可靠的——而且是安全且充分受到信任的。

在您的人身安全可能受到威胁的情况下尤其如此。随着物联网(IoT)的不断成熟,我们注意到了各种用例中的空中下载式(OTA)软件更新——但大家怎么知道这些更新是否合法?

不难想象,有缺陷或恶意的更新会对自动驾驶车队造成多大的破坏。我们预计,汽车制造商在不久之后就将采取更透明的方式来分享其安全措施的成果,以便让车主放心。

事实上,我们相信欧盟的新规将在全球范围内加速这一趋势。该地区最近通过了一套针对硬件和软件设计与生产的网络安全要求。《网络恢复能力法案》将于2027年生效,这是首部用于确保数字产品采用更全面的IoT安全方法的法规。

预测6:由人工智能驱动的网络钓鱼攻击将激增

2025年,人工智能的大量涌现将推动复杂的网络钓鱼攻击空前激增,使其更难以被发现。攻击者将利用人工智能制作高度个性化和令人信服的网络钓鱼活动,使用先进的语言模型以近乎完美的准确性来模拟真人交流。自动化工具将能让网络犯罪分子以惊人的速度扩展攻击,精准定位个人和组织。由于传统防御难以跟上步伐,因此组织将需要采用新的机制来应对这一不断升级的威胁。

预测7:ASC X9等新兴的专用PKI标准将获得发展势头

ASC X9等新兴的专用PKI标准至关重要。为什么?因为它们实现了组织之间的互操作性和信任,而不依赖于浏览器驱动的、一刀切的要求,能允许采用定制的方法来满足特定的业务需求。ASC X9由认证标准委员会X9制定,专注于为金融行业量身定制的安全标准,解决数据完整性和身份验证等关键领域的问题。

与规定由浏览器生态系统所驱动的统一要求的公共PKI不同,专用PKI在定义安全策略与合规措施方面提供了更大的灵活性。这对于金融行业、医疗行业和其他具有严格监管要求或独特运营需求的行业尤其重要。通过建立安全、可扩展和量身定制的信任框架,这些标准将能让组织以公共PKI无法实现的方式来增强安全性并简化协作。

预测8:将有更多的人要求加密物料清单(CBOM)以增强信任

随着网络攻击和人工智能等新兴潜在恶意技术的不断发展,我们将看到系统、设备和流程所面临的威胁级别会越来越高。我们预测,大家将更频繁地对更多事物进行数字签名,而且大家会要求加密物料清单(CBOM)来增强数字信任。

CBOM对加密资产及其依赖关系进行说明。CBOM能让大家更好地了解加密资产以何种方式、在何处被使用,并帮助组织促进对其风险的评估。它们非常有价值,而且在2025年,它们的使用将变得更加普遍。

预测9:使用电子表格管理证书的做法将终结于2028年

尽管近25%的企业*手动管理数千个(有时甚至是数万个)证书,但使用手动工具管理证书的时代即将结束。我们预测,随着企业采用越来越严格的安全标准和有效期更短的证书,过时的流程和老旧的应用程序将无法持续。

这一转变将推动组织采用现代化的自动化管理解决方案,这类方案提供跟上不断变化的行业需求所需要的敏捷性、可扩展性和效率。优先考虑自动化和简化工作流程的企业将能更好地应对这些挑战并保持竞争力。

*2024年世界量子准备日调查;23.53%的受访者表示通过“手动操作”(如电子表格)管理证书

预测10:组织将继续优先考虑减少供应商数量,以简化其技术栈

尽管今年夏天的CrowdStrike事件引发了人们对过度依赖单一供应商的担忧,但我们预测企业将继续整合其对供应商的选择。管理数千个供应商关系与合同是大型企业IT团队面临的常见挑战,而简化这些合作关系会带来许多优势。与提供各类解决方案的供应商合作,不仅能创造规模效应,还能简化整个技术栈的集成和互操作性,并减少系统碎片化。

整合可以通过在实践中提供更好的可见性和一致性来增强安全性,同时降低与管理多个平台相关的风险。它能减少与合同谈判、续约和供应商评估相关的复杂性和所耗费的时间,使IT团队能够专注于战略性举措。而且它还能促进更强大、更具协作性的供应商关系,更快地解决问题、提供更好的支持以及与企业需求相一致的定制化解决方案。

简而言之,优先考虑减少供应商能提高整个组织的效率、实现成本节约和敏捷性——我们预计不会看到这种变化。

本文转载自DigiCert官方公众号:DigiCert 迪杰斯特