2025 年資料安全預測:將「保護」與「韌性」置於核心

資安產業變化迅速,新趨勢、新技術和新方法不斷重塑市場格局,跟上這些變化成為一項挑戰。「保護資料」不僅是現代企業的驅動力,也將持續成為企業組織 2025 年的主要焦點。隨著新的一年到來,伴隨著技術和風險的變化,資安工作將聚焦在不同領域。以下是 Thales 對 2025 年資料安全的預測:

資料隱私法規成為焦點

聯合國貿易與發展會議(UNCTAD)指出,80% 的國家已經有或正在制定資料保護和隱私法規。這些法規要求資料須在特定管制範圍內儲存處理,以因應國際法規懲處的相關風險。

這些要求產生了深遠的影響,雲端服務供應商和企業必須遵守當地的資料主權法規,並在新系統和新應用程式中融入隱私設計原則。強化隱私技術將成為主要的技術措施,以降低這些風險。

美國以往在推動資料隱私相關的聯邦法規上受到較多阻礙,因此通常交由各州個別處理,像加州就推出了自己獨特的資料隱私法。然而,2024 年美國提出了《聯邦隱私權法案》(APRA),雖然目前尚未通過,但這項法案仍是建立聯邦資料隱私法規的重要一步。

儘管 APRA 的走向仍不明朗,但可以合理預期,APRA 和資料隱私將繼續成為 2025 年的討論重點。

企業主動擁抱合規

隨著網路攻擊加劇,企業正採取措施妥善監管其數位空間。他們正在調整合規框架,以協調、強化對數位資產的責任(包括工作負載、資料、身份等),同時保持業務的連續性和韌性。

面對這些變化,2025 年的資安格局將從被動防護轉為主動防護。持續監控並預防潛在威脅將成為標準實踐,同時結合更強大的身份驗證措施。遵守 NIS2DORAPCI DSS 4.0、英國網路韌性法案和歐盟 AI 法案等新法規將成為重要合規目標,因此部分企業將更多資料移轉到本地端,而這需要採取與雲端環境相同或更嚴格的安全防護。

企業轉向風險導向的策略

隨著 AI 提升網路攻擊的頻率和規模,2025 年企業將面臨資源和人力限制,無法再依賴被動防護措施來保護資料。因此,企業應尋找有效的風險排序方式,將資源和心力集中在最能發揮效益的地方。

2025 年,企業必須從單純的合規導向方式,轉為更具前瞻性的風險導向策略。這需要清楚了解各個關鍵範疇的風險,包含組織風險、資產風險與法規風險。風險可見性必須根據對業務的潛在影響進行優先排序。透過關鍵資料風險指標,企業可以產出對整體資料資產的可行視圖,藉此做出更明智、有效的決策,強化資料安全。

作為風險管理的一部分,部署零信任架構仍將成為多數企業不可或缺的資安策略。企業將採取全面性的安全措施來保護 IT 系統從邊緣到核心的資料不受侵害。

AI 工具是支援,而非取代資安人員

AI 與機器學習將在資安領域扮演的角色越來越重要,它們將加強威脅偵測與回應、優化威脅獵捕,並將安全態勢管理與行為分析結合,協助即時監控、保護大型資料集(Dataset),發現資料竊取或異常存取等風險。

越來越多資安廠商導入 AI 輔助工具來強化服務,以協助填補人才缺口。ISC2 預估,目前全球約有 480 萬的資安人力缺口,但 AI 工具並不能取代內部團隊。未來一年中,重點將不再是採用這些工具,而是資安團隊如何利用 AI 工具,將威脅調查能力提升到新的水平。

生成式 AI 帶來的攻擊激增

網路攻擊也同樣運用了 AI 技術。駭客利用 AI 來擴大攻擊規模,並透過開發自動化腳本來降低技術門檻。

隨著企業成為進階釣魚攻擊的目標,企業內部遭受攻擊的可能性達到歷史新高,Thales 預估這個趨勢在 2025 年將穩定成長。一旦憑證被竊取,企業的網路安全將全面崩潰,而生成式 AI 將加速社交工程攻擊的發展,使傳統的憑證防護措施難以跟上腳步。

重要基礎設施攻擊增多

近年來,針對重要基礎設施的攻擊急劇增長,而這些攻擊絕大多數都始於企業內部的 IT 基礎設施。由於重要基礎設施具有潛在的廣大影響力,因此始終是駭客優先攻擊的目標,且 IT、OT 與地緣政治問題所造成的脫節為內部威脅提供有利條件。2025 年這個問題將成為嚴峻挑戰,縮減這個落差將是未來一年中保護重要基礎設施的關鍵。

資料強化與供應鏈韌性加強

2025 年,確保軟體供應鏈安全將是首要任務。企業將對第三方供應商(包含雲端服務供應商)進行更深入的安全評估,確保其軟體與服務的安全性。保護資料不受第三方應用程式或服務影響將變得更加重要,企業需要對自身所依賴的服務有更高的可見度。

隨著協作平台資料的激增,企業需要聚焦於資料活動監控與資料浮水印技術,以保護機敏資訊。供應鏈安全也將成為重要議題,因為供應鏈中的漏洞可能引發大規模的安全漏洞。使用者透過各種應用程式和服務產生個人資料,將增加資料暴露的風險,需進一步強化資料保護措施。

後量子加密聚焦加密敏捷性

2024 年初, NIST 發布了第一套後量子運算加密演算法及指導方針,建議企業為 2030 年可能出現的量子運算攻擊做好準備,這個時間框架促使企業規劃並建構量子安全網路的需求。儘管某些網路協議(如 TLS 和 SSH)已經更新以符合 NIST 的新標準,但NIST 已著手準備下一套演算法,這也意味著現當量產量子電腦問世時,現在協議中所實施的演算法很可能與未來的演算法有所不同。

安全規範的不斷更新也突顯了加密敏捷性的重要。企業必須將敏捷性作為量子準備策略的核心,確保加密敏捷的解決方案能夠跟上新興的抗量子加密標準(Quantum-Resistant Methods of Encryption)。2025 年,企業需要投入時間和資源來識別自己的風險並進行資產盤點,這將促使大型企業在未來成立更多加密技術中心。

參考來源:Thales

2025 年應用程式與 API 安全預測

進一步了解

Thales Data Risk Intelligence 解決方案
Thales 後量子密碼解決方案
Thales Luna HSM 通過 PQC 等級驗證

進一步了解:

  • 2025 年應用程式與 API 安全預測:新的一年將有什麼機遇與挑戰?
  • 2025 年雲端資安趨勢預測:IT 人員必看的最新防禦策略
  • NIST 發佈三大 PQC 標準,呼籲各界加速應對量子破密風險
  • 發揮 Thales 與 Imperva 夥伴生態系統的優勢
  • 網路安全寒冬將至,鞏固後量子時代資料安全四步驟