文章总结： 2025年网络安全呈现AI双刃剑效应。AI虽提升了防御效率与证据搜集速度，但也加剧了攻击的精准性与自动化，威胁行为者逐渐转向机器化。非人类身份数量激增与第三方风险扩大了攻击面，企业需加强身份治理与供应链安全。监管压力促使董事会关注安全韧性，要求安全战略与业务深度融合，构建全链路防御体系。 综合评分： 80 文章分类： AI安全,安全建设,供应链安全,政策法规,社会工程学

2025年网络安全的7个教训

管窥蠡测

安在

2025年12月24日 17:37 上海

数字化转型的浪潮下，技术迭代与风险升级始终如影随形。在过去12个月里，网络安全团队始终行走在平衡的钢丝之上，一边是业务发展对新技术应用的迫切需求，亟需以技术创新赋能效率提升与价值创造；另一边，以人工智能技术兴起为核心驱动力的网络威胁不断迭代升级，攻击手段更趋隐蔽、精准，给安全防御体系带来了前所未有的挑战。

随着年末的脚步临近，国外的CISO们站在年度收官的节点回望，梳理出一系列重塑2025年网络安全格局的关键收获。这些收获不仅是对过去一年艰难平衡与积极应对的总结，更为未来网络安全战略的制定与实施提供了重要指引，也构成了本文深入探讨的核心基础。

01**

人工智能为防御者赋能

如果说2024年是人工智能悄然进入网络安全领域的一年，那么2025年便是它全面主导的一年。Smartsheet的CISO Ravi Soin将这项技术描述为“具有变革性的因素”。他表示：“全球范围内，没有任何一家公司、任何一位用户不被人工智能所影响。”

Soin指出，人工智能减少了人工工作，同时也加强了对大规模攻击面的管控。他进一步解释说：“人工智能帮助我们以更快的速度将安全控制措施与数据证据对应起来。过去我们需要手动收集证据，并确保系统逐一核验。而现在，我们能以极高的效率完成这一过程。”

Calendly的CISO Yassir Abousselham也提到，人工智能为安全团队乃至整个企业带来了巨大的生产力提升，从而降低了他们对外部咨询和研究公司的依赖。他表示：“我们能够完成的工作比以往多得多，人工智能就好像将人类所有知识都装进了口袋。”

02**

人工智能迫使企业重新思考安全战略

与此同时，Abousselham提到，人工智能的快速部署正在迫使企业调整资源，以跟上变化，同时还要确保产品安全发布，他甚至将2025年称为“人工智能与智能体的混乱引入期”。

对此，Abousselham解释道：“我认为行业并未做好准备，也未曾预料到这项技术的快速发展。现在，每个组织都在竭力抢占先机，基本上将全部或很大一部分投资转向了人工智能相关产品和功能的部署与开发。这一趋势对安全领域产生了直接影响。这不仅迫使我们重新调整投资重点，在部分场景下，还需重新规划诸多已确定的优先事项。”

03**

人工智能助长攻击者能力

然而，能为防御提供动力的技术，同时也能让攻击者的行动更快、目标更精准，如今攻击者已能规模化开展以往需要人力才能完成的攻击活动。因此，攻击模式之间的差异正变得日益明显：有些攻击能潜伏数月不被发现，悄悄渗透网络以扩大访问权限并窃取数据；而另一些攻击则在几分钟内即可完成，使攻击者能在警报触发前就达成目标。

Elastic的CISO Mandy Andress指出：“人工智能正使得攻击速度不断加快。威胁行为者能利用人工智能实现侦察自动化，能精心制作高度个性化的诱饵，并能生成音频和视觉深度伪造内容，从而大规模利用人类的信任。其结果是，技术攻击面与心理攻击面日益融合——攻击要么针对人为环节，要么利用人工智能快速绕过传统的基于特征的检测和基于规则的系统。”

这种融合已体现在最常见的攻击入口中。Soin观察发现，在钓鱼攻击和社会工程学攻击中，这一现象尤其直接。“过去，我们可以通过识别邮件中的语法错误或不规范的标识来检测钓鱼邮件。而现在，攻击者能制作出完美无缺的邮件，还能利用深度伪造技术。这意味着无论系统多么复杂，都可能被攻破，这确实是一片未知领域。”

HCLTech全球网络安全与GRC服务主管Amit Jain补充道，这一趋势同样体现在攻击工具的发展中，因为攻击者正在不断提升其代码的复杂程度。他表示：“由人工智能驱动的攻击者是今年最大的新兴威胁。他们利用生成式人工智能制作具有规避性的自修改恶意代码、深度伪造内容、精准钓鱼邮件，并实现了漏洞利用的自动化开发。”

04**

威胁行为者已变为机器

人工智能驱动的攻击者模式，正从根本上改变“威胁行为者”的形态。过去那些坐在键盘后的人类，如今正被不知疲倦、永不减速且能持续学习的自动化系统所取代。

Soin对此表示：“随着人工智能变得越来越智能，它们能够研究企业所部署的防御措施，从而制定出能够突破防御的反制策略。它们甚至会追溯并利用那些可能十年内都未被修复的漏洞，并以创新的方式加以利用。”

这一变化将威胁格局推向了一个全新领域。他总结道：“从网络安全的角度来看，我们正处于一片全新的未知地带——人工智能的发展，正在使威胁行为者的攻击手段变得前所未有的高明。”

05**

非人类身份数量激增

与此同时，Abousselham指出，随着企业争相部署人工智能与智能体、自动化流程以及机器对机器的工作流，非人类身份的数量正在随之激增。他解释道，无论是自主工作流工具、API驱动的集成，还是MCP客户端，每个智能体现在都需要一个专属身份，这包括相应的权限、访问级别和生命周期管理。而这一增长的速度，已远远超过了大多数安全团队的应对准备。

机器身份的崛起，已然推动了大量投资——这些投资不仅用于增加人力，也用于引进能够大规模管理身份操作的新解决方案与技术。

Abousselham强调：“我们需要加快这类身份的接入、维护和管理速度……必须确保这些智能体受到有效的治理和管控，经过适当的身份验证与授权，并能在其生命周期结束时被及时停用。”

然而，这一转变并非仅限于人工智能智能体。Andress指出，随着“身份蔓延”现象的加剧，整个行业正愈发重视基础安全建设，尤其是那些支撑人类与非人类访问的配置和控制措施。她补充道：“这包括保护API密钥、令牌和服务账户等非人类身份，它们如今已成为攻击者最常用的攻击入口之一。”

06**

第三方风险成为焦点

进入2025年，随着企业不断扩展其技术栈、采用更多SaaS平台、人工智能工具和自动化集成，源自第三方攻击所造成的影响也在急剧上升。

Soin以近期Salesforce等大型服务提供商遭遇的数据泄露事件为例，指出这些备受关注的事件提醒我们：企业的风险面已远超出自身边界。他表示：“当企业依赖第三方软件时，我们更需要对整个技术栈的安全状况进行全面考量，以确保我们所依赖的技术，在其设计和运营中始终将安全置于首位。”

Jain观察到，2025年已成为企业治理和供应商监管方式的一个转折点——在自动化、高级分析以及持续的第三方认证支持下，合规、治理与韧性之间的协同性得到了显著增强。他指出：“本质上，2025年是网络安全从一项孤立的安全职能，转变为企业共同责任的一年。”

尽管更严格的治理框架和自动化的监管工具提供了基础，但Jain强调，安全最终取决于企业中每个人的日常决策。他对此总结：“真正的安全源于习惯、行为和文化。如今，每一次点击、每一个决策、每一项配置，以及每一次第三方集成，都可能影响到全局的安全态势。”

07**

监管压力直指董事会

Jain表示，2025 年政府监管力度持续加大，法规不仅要求更快的报告速度、更严格的管控措施，也明确了高层领导层面的问责机制。他指出：“如今，董事会不再满足于简单的合规清单，而是期望看到可量化的安全韧性、风险优化层面的投资回报率、经过证实的应急准备能力以及持续的报告机制。这使得网络安全已演变为一项战略杠杆，能够切实影响并购决策、供应链合作关系，甚至是市场推广业务战略。”

与此同时，Soin指出，对于IRAP、ISO 和 NIST 等国际框架的执行力度也愈发严格。“标准本身或许并未如我们想象中那样发生重大变化，但实际执行力度正不断加强。举例来说，我们看到越来越多客户在合同中明确对企业的安全要求，相关法规也对企业的合规期望作出了更细致的规定。实际上，这背后有着充分的合理性。”

08**

结语

数字化转型的纵深推进与人工智能技术的全面渗透，正将网络安全带入一个充满变革与挑战的全新阶段。AI既是防御体系的赋能者，大幅提升了安全响应的效率与精准度，也成为了威胁升级的催化剂，让攻击手段更隐蔽、速度更快、范围更广，模糊了技术与心理攻击的边界，重塑了威胁格局的底层逻辑。

非人类身份的激增与第三方生态的持续扩张，进一步拓宽了安全风险的边界，使得身份治理、供应链安全成为不可忽视的核心议题。而监管力度的不断强化，也推动着网络安全从孤立的职能模块，转变为贯穿企业运营全流程的共同责任，要求安全战略与业务发展深度融合、协同推进。

面对这一系列深刻变化，网络安全已不再是被动防御的课题，而是需要主动适配、动态迭代的战略工程。未来，唯有以更前瞻的视野整合技术资源，强化基础安全建设与身份治理，构建覆盖内部系统与外部供应链的全链路防御体系，同时紧跟监管要求、培育全员安全文化，才能在未知的风险地带中筑牢安全韧性，在技术迭代与威胁演进的平衡中，为数字化转型保驾护航。网络安全的博弈从未停歇，唯有持续进化，方能从容应对万变的风险挑战，守护数字生态的稳定与安全。

原文地址：https://www.csoonline.com/article/4102893/cybersecurity-leaders-top-seven-takeaways-from-2025.html

作者：

Aimee Chanthadavong

Contributing Writer 特约撰稿人

加入诸子云知识星球

获取更多“安全意识资料”和“网络安全报告”

<

左滑了解更多详情

>

安在安全意识团购服务

安在新媒体面向企业用户，推出“网络安全意识团购服务”，涵盖宣传素材、培训课程、威胁体验、游戏互动等，采用线上线下融合的方式，帮助员工掌握安全要点，并提供定制化安全策略咨询。

<

左滑了解更多详情

>

**部分展示，以作参考

更多服务，详情洽谈**

Tina 诸子云群秘

END

点击这里阅读原文

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安在 管窥蠡测《2025年网络安全的7个教训》