行業新聞與部落格

今年的歐洲資訊保安 2025 峰會匯聚了眾多行業專家，共同探討該領域的最新趨勢、挑戰和成功。

以下是《資訊保安雜誌》在與展會現場專家的對話中發現的六大關鍵趨勢。

在重大技術進步的背景下，一個重要主題是需要繼續關注基礎技術，例如人類行為和身份控制。

安全領導者應該意識到這些趨勢，並確保他們考慮他們的策略是否充分優先考慮這些領域。

攻擊者利用電話發起攻擊

社會工程學的性質在不斷演變，威脅行為者轉向單獨使用電話或結合電子信箱來發起攻擊。

這些都是為了獲取受害者的憑證，以獲得對目標組織網路的初步訪問許可權。

Fleet Mortgages 的技術與安全總監 Erhan Temurkan 告訴Infosecurity ，他特別擔心冒充 IT 部門的電話，要求員工重置密碼。

隨著深度偽造技術的進步，這些騙局變得更加猖獗，詐騙者聽起來就像是他們團隊中認識的某個人。

與傳統的電子信箱釣魚資訊相比，此類惡意電話很難阻止。

Temurkan 解釋道：“我們可以設定電子信箱閘道器來阻止那些網路釣魚攻擊，但對於阻止電話攻擊卻無能為力，因為你不想阻止合法客戶。”

至關重要的是，組織必須實施額外的防禦層來減輕這些基於電子信箱的詐騙，這本質上是他們自己的多因素身份驗證 (MFA)。

Temurkan 指出，這可能包括與企業個人預先商定的短語或密碼。

身份認同仍然是重要的戰場

研究表明，憑證洩露仍然是攻擊者滲透組織的主要方式。

Rapid7 在 Infosecurity Europe 期間釋出的研究發現，2025 年第一季度所有入侵事件中有 56%是由於有效帳戶憑證被盜而導致的，且沒有實施多因素身份驗證 (MFA)。

Rapid7 歐洲、中東和非洲地區首席技術官 Thom Langford 指出：“歸根結底還是基礎問題。最初的訪問通常是透過使用者名稱和密碼攻擊。他們只是簡單地誘騙人們提供這些資訊。”

這在雲端尤為常見。Darktrace 產品總監 Beverly McCann 博士解釋說：“入侵組織的一個有效途徑是入侵 SaaS 賬戶，提升許可權以獲得管理員角色，從而訪問敏感資料。”

在這種環境下，部署 MFA 不僅很重要，而且要確保它是正確型別的 MFA。

Temurkan 表示，他擔心 SIM 卡交換攻擊的增多，攻擊者可以利用被盜資訊攔截基於簡訊的雙因素身份驗證 (2FA) 程式碼。

Temurkan 評論道：“這隻會增加企業放棄簡訊雙重身份驗證的動力。這總比沒有強，但隨著 SIM 卡交換現象的增多，這確實是一個很大的缺口。”

最強大的抗網路釣魚 MFA 技術使用快速線上身份驗證 (FIDO) 標準協議。這些選項包括生物識別技術和物理安全金鑰，近年來，這些技術變得越來越容易獲取和整合。

實現網路安全無摩擦的必要性

網路安全措施要想真正發揮作用，必須確保不會對員工的工作產生負面影響。否則，這些措施不太可能得到遵守。

蘭福德評論道：“我認為我們在安全方面面臨的最大挑戰是，我們採取的每一項保護措施都會增加員工之間的摩擦——這是有問題的。”

因此，使用者體驗應該成為安全領導者在決策時考慮的一個關鍵因素。

這方面的機會是存在的，特別是在身份識別領域，採用生物識別和單點登入等無密碼身份驗證方法。

 Temurkan 表示：“如果想要繼續引入額外的控制措施，我們作為安全行業，需要繼續努力在安全性和可用性之間取得平衡。”

防範日益增長的人工智慧風險

隨著技術的不斷進步，人工智慧給組織帶來的安全風險也越來越大。

這首先與攻擊者使用人工智慧有關。麥肯表示，由於人工智慧的發展，攻擊的規模和速度顯著增長。

她告訴 Infosecurity：“他們開始使用更多自動化工具、更多人工智慧工具並利用這些工具。”

這包括使用人工智慧工具搜尋漏洞，在修復之前尋求利用。

麥肯補充道：“你不是針對一個組織，而是針對 100 個組織，看看哪些能奏效。”

防禦者必須能夠跟上步伐，這可能需要應用他們自己的人工智慧安全工具。

另一個問題是企業越來越青睞人工智慧工具，包括代理人工智慧 (Agentic AI)。這些代理具有高度的自主性。代理系統可以選擇其使用的人工智慧模型，將資料或結果傳遞給其他人工智慧工具，甚至無需人工批准即可做出決策。

如果沒有足夠的控制和監督，這些自主工具可能會加劇人工智慧資料安全挑戰，例如即時注入、中毒、偏見和不準確性。

隨著人工智慧的快速發展，業界和政府有責任在部署之前推動人工智慧的負責任和安全使用。今年4月，歐洲標準組織 ETSI 釋出了一套新的技術規範，旨在成為保護人工智慧模型和系統安全的“國際基準”。

人工智慧風險不僅僅是企業內部的問題。企業還需要警惕第三方供應商的潛在人工智慧資料風險。

Temurkan 指出：“那些我們已經使用了 10 年、15 年的供應商呢？他們的後端是否有我們不知道的人工智慧？”

他強調，需要在供應商保證過程中發現任何新的人工智慧部署，以及這些第三方是否採用了安全的做法，例如解決開放式全球應用程式安全專案 (OWASP) 大型語言模型 (LLM) 十大列表中強調的問題。

超越意識訓練來改善行為

鑑於所採用的先進社會工程策略，專家告訴Infosecurity，僅靠意識培訓不足以確保員工有能力保護自己。

組織應該考慮諸如“提醒”之類的選項，確保實時提醒員工避免危險行為，例如將敏感資料輸入人工智慧模型。這種由智慧主導的干預措施被稱為“人力風險管理”。

此外，需要建立一種安全文化，在這種文化中，員工總是可以被信任，在培訓之外始終採取建議的行動。

SoSafe 首席安全官 Andrew Rose 倡導“公正文化”模式，鼓勵員工報告安全錯誤，無需擔心受到懲罰。相反，這種方法應該側重於將錯誤視為組織問題而非個人錯誤，並在未來採取行動改進，例如引入新的培訓或流程。

這可能包括意外點選網路釣魚連結。

羅斯評論道：“從幾乎發生的事故中吸取教訓，並形成一種‘一旦吸取教訓，就立即解決’的文化。”

漏洞利用持續爆發

專家強調，在可預見的未來，漏洞利用（尤其是邊緣裝置的漏洞利用）還會持續激增。

人工智慧等工具正在幫助威脅行為者快速發現和利用漏洞，降低這種攻擊媒介的障礙。

蘭福德指出：“將會有很多新的漏洞出現，犯罪分子現在儲存的零日漏洞數量與民族國家一樣多。”

組織必須根據業務需求來完善其補丁管理程式，並從長遠來看要求其軟體供應商提供安全的設計實踐。