各大網路業者發布2025年的網路安全趨勢預測中,除了最大交集AI之外,雲端平台安全、APT進階攻擊、供應鏈攻擊,皆榜上有名。
雲端平台稍稍比AI發展得更早一點,已經突破快速膨脹期,但先前成長時帶來的不穩定及不熟悉,依舊有著許多已知風險與隱患;而針對性極強攻擊的APT攻擊,不只針對了特定目標,也著手往上下游供應鏈進行滲透,讓風險的幅度更加擴大。
之所以把雲端平台、APT與供應鏈攻擊放在一起討論,最主要是因為信任邊界的原因,現今的網路環境複雜,不可同日而語。萬物聯網及雲端的趨勢下,聯網設備的數量往往容易被忽略、漏算,這些無數的小門小窗,就成了網路環境複雜下弱點,不僅容易被忽視也更容易被入侵。當然除了小門小窗外,企業或許開了一條專用道路給上下游廠商使用,但誰又能知曉專用道路上的人,是真的上下游廠商呢?
雲化的威脅依舊顯著,除了企業本身與雲端的道路外,與其他端點設備甚至是上下游廠商的橋樑,亦是攻擊重點,這就是為什麼2025年攻擊趨勢除AI之外,雲端平台與APT供應鏈攻擊依舊榜上有名的原因。
模糊的設備邊界,防護該從何著手。
組織的防護安全架構脆弱,是因為設備邊界變得模糊,加上雲端化企業轉型的弱點跟著暴露,攻擊面開始擴大。由於端點的增加,防護需要更加細碎的部屬,檢驗的關卡需要層層把關,因此零信任油然而生,成為新的防護模式,亦是現階段最佳的防護措施。
從不信任,總是驗證。在端點與資料之間持續驗證的作法,雖然在使用上變得繁雜,卻能最大程度的降低攻擊成功的機率、降低攻擊帶來的損害。獲得信任並持續維持信任之前,全都不可信。就像是家門裡面多一道上鎖房門,再多一道保險箱密碼,這麼一想,多次驗證就不只是一種繁雜也是一種保護。
零信任已經是老生常談,更是資安共識,組織應該持續往零信任方向靠近,維持生產力與資安兼顧的狀況。定義零信任使用情境,分階段推展架構跟管理方式,強化身分驗證、裝置驗證、在服務及網路上進行切割分段、有條件的存取,並透過合適工具、技術來逐一實現零信任架構。持續推動資訊安全政策,才能確保組織的資訊安全。
