行業新聞與部落格

Google Cloud Next 2025 活動上的專家發言人表示，網路安全團隊必須根據急劇變化的威脅形勢調整其方法。

威脅形勢的變化主要由四個因素驅動：

• 網路犯罪分子數量不斷增加
• 地緣政治緊張局勢加劇，導致民族國家惡意活動增多
• 新的網路安全和資料保護法規
• 人工智慧等新技術的快速發展

勞埃德銀行集團首席安全官馬特·羅表示，這一現實意味著“我們在安全方面所做的一切都必須改變”。

以下是安全領導者在新環境下應該關注的五個主要領域。

保護你的盲點

谷歌威脅情報副總裁桑德拉·喬伊斯 (Sandra Joyce) 解釋說，越來越多的威脅行為者瞄準組織中的“可見性差距”——那些通常不支援 EDR 等安全工具的裝置。這些裝置包括防火牆、虛擬化平臺和 VPN 解決方案。

她指出：“威脅行為者正在尋找盲點並不斷瞄準這些區域。”

行為者所採用的一種策略，他們通常利用網路和邊緣裝置的零日漏洞。

喬伊斯補充道：“這意味著安全領導者需要考慮整個技術堆疊中的零日漏洞。”

然而，直接保護這些裝置的安全非常困難。Mandiant Consulting 副總裁 Jurgen Kutscher 在接受Infosecurity採訪時表示，重點應該放在檢測這些裝置被入侵後的橫向移動。

 他解釋說：“我們在應對這些高階威脅行為者時面臨的一個挑戰是，他們使用離地攻擊技術，這意味著他們不會在環境中引入很多嘈雜的工具，他們非常安靜。”

Kutscher 建議各組織檢測使用者行為中的異常情況，例如憑證被意外使用。身份和訪問管理對於鎖定駭客對某些區域的訪問也至關重要。

此外，他還敦促各組織在零日漏洞公佈後主動聯絡 Mandiant 等專家。這可以快速評估組織是否已受到攻擊。

制定應對內部威脅的策略

谷歌觀察到的另一個值得注意的趨勢是朝鮮假冒 IT 工作者計劃的擴張。代表朝鮮工作的惡意行為者試圖在各個行業尋求 IT 工作者的就業機會。

他們使用虛假的身份來誘騙目標公司僱用他們。

一旦受僱，這些假員工就會利用進入該組織的許可權為朝鮮政權創造收入，並竊取敏感資料用於間諜活動。

還有一些犯罪分子竊取敏感資料來勒索前僱主的案例。

2025 年 4 月，谷歌威脅情報報告稱，該計劃近幾個月來已將重點從美國擴充到歐洲。

打擊內部威脅（例如朝鮮的 IT 員工計劃）不只是網路安全問題，還需要整個公司採取包括人力資源等部門在內的整體措施。

喬伊斯指出：“人力資源主管不會一覺醒來就想到他們的首要任務是朝鮮 IT 工作者。”

她說，組織必須制定全面的流程來改善其招聘實踐，例如進行嚴格的背景調查並在可能的情況下進行面對面面試。

此外，還需要制定有效的身份和訪問管理程式來限制第三方承包商的訪問。

使用人工智慧提高你的團隊效率

在 Google Cloud Next 活動期間，展示了許多新的 AI 解決方案，旨在顯著減少網路安全專業人員的工作量。

這包括一個警報分類代理，它可以對客戶的每個安全警報進行調查。

羅威強調了使用此類工具領先攻擊者一步的重要性。

對於在安全運營中心 (SOC) 工作的分析師來說，這一點尤為重要。

“傳統 SOC 的分析師被繁重的工作壓得喘不過氣來——調查那些低調的真正陽性結果。他們費盡心思卻最終陷入困境，而這些結果往往與惡意活動無關，”Rowe 解釋道。

使用自動化和人工智慧進行警報分析使勞埃德的 SOC 團隊能夠將時間集中在最複雜的威脅上，Rowe 稱之為“高保真、真正的積極因素”。

確保人工智慧的使用

各組織正在迅速部署人工智慧工具，以提高生產力和競爭力。然而，這種趨勢也帶來了巨大的資料安全挑戰。

輸入人工智慧代理的資料通常缺乏控制，導致傳統的治理策略無效。

“許多組織目前面臨的挑戰是構建整合人工智慧的資料平臺。一旦新增人工智慧服務，組織就必然面臨安全風險。”谷歌雲資料與分析總經理 Yasmeen Ahmad 指出。

此外，人工智慧正被用於釋放傳統護欄未覆蓋的“非結構化資料”的價值，例如影象、文字和影片。

此外，還存在對人工智慧工具所獲取資料的信任問題，錯誤配置和幻覺等問題普遍存在。

艾哈邁德表示，對於組織來說，建立一個所有資料都要經過的單一訪問層至關重要。

Google Cloud 副總裁兼雲 AI 總經理 Saurabh Tiwary 重點介紹了 AI 如何幫助解決資料治理技術難題，包括快速分析文件並賦予其適當的敏感度標籤。

谷歌的人工智慧代理市場允許客戶瀏覽、購買和管理被歸類為“安全”的人工智慧代理。

解決雲端憑證攻擊

近年來，組織資料向雲端轉移的趨勢發生了重大變化，這導致威脅行為者將這一環境作為目標。

洩露憑證仍然是威脅行為者用來竊取雲端資料的主要方法之一。

喬伊斯指出，憑證被盜的主要原因之一是資訊竊取者的興起，他們使用惡意軟體來獲取憑證，然後在犯罪地下市場上出售。

庫徹表示，駭客還經常透過破壞本地環境並橫向移動到雲端來竊取憑證。

他補充道：“如果您的企業不安全，您的雲環境仍然可能面臨直接的攻擊。”

因此，基本的身份驗證實踐仍然至關重要——例如不重複使用密碼和部署多因素身份驗證 (MFA)。

雲安全的另一個挑戰是組織通常不瞭解其整個雲足跡。

Kutscher 評論道：“當獲得新的 SaaS 提供商時，安全團隊很難跟上業務發展，而且企業安全部門有時不會密切關注企業資料現在可能儲存的所有位置。”

他敦促各組織使用瞭解“共享責任模型”的雲提供商，在該模型中，提供商對客戶在雲中的安全承擔部分責任，包括提供可見性工具。