行业新闻与博客

Google Cloud Next 2025 活动上的专家发言人表示，网络安全团队必须根据急剧变化的威胁形势调整其方法。

威胁形势的变化主要由四个因素驱动：

• 网络犯罪分子数量不断增加
• 地缘政治紧张局势加剧，导致民族国家恶意活动增多
• 新的网络安全和数据保护法规
• 人工智能等新技术的快速发展

劳埃德银行集团首席安全官马特·罗表示，这一现实意味着“我们在安全方面所做的一切都必须改变”。

以下是安全领导者在新环境下应该关注的五个主要领域。

保护你的盲点

谷歌威胁情报副总裁桑德拉·乔伊斯 (Sandra Joyce) 解释说，越来越多的威胁行为者瞄准组织中的“可见性差距”——那些通常不支持 EDR 等安全工具的设备。这些设备包括防火墙、虚拟化平台和 VPN 解决方案。

她指出：“威胁行为者正在寻找盲点并不断瞄准这些区域。”

行为者所采用的一种策略，他们通常利用网络和边缘设备的零日漏洞。

乔伊斯补充道：“这意味着安全领导者需要考虑整个技术堆栈中的零日漏洞。”

然而，直接保护这些设备的安全非常困难。Mandiant Consulting 副总裁 Jurgen Kutscher 在接受Infosecurity采访时表示，重点应该放在检测这些设备被入侵后的横向移动。

 他解释说：“我们在应对这些高级威胁行为者时面临的一个挑战是，他们使用离地攻击技术，这意味着他们不会在环境中引入很多嘈杂的工具，他们非常安静。”

Kutscher 建议各组织检测用户行为中的异常情况，例如凭证被意外使用。身份和访问管理对于锁定黑客对某些区域的访问也至关重要。

此外，他还敦促各组织在零日漏洞公布后主动联系 Mandiant 等专家。这可以快速评估组织是否已受到攻击。

制定应对内部威胁的策略

谷歌观察到的另一个值得注意的趋势是朝鲜假冒 IT 工作者计划的扩张。代表朝鲜工作的恶意行为者试图在各个行业寻求 IT 工作者的就业机会。

他们使用虚假的身份来诱骗目标公司雇用他们。

一旦受雇，这些假员工就会利用进入该组织的权限为朝鲜政权创造收入，并窃取敏感数据用于间谍活动。

还有一些犯罪分子窃取敏感数据来勒索前雇主的案例。

2025 年 4 月，谷歌威胁情报报告称，该计划近几个月来已将重点从美国扩展到欧洲。

打击内部威胁（例如朝鲜的 IT 员工计划）不只是网络安全问题，还需要整个公司采取包括人力资源等部门在内的整体措施。

乔伊斯指出：“人力资源主管不会一觉醒来就想到他们的首要任务是朝鲜 IT 工作者。”

她说，组织必须制定全面的流程来改善其招聘实践，例如进行严格的背景调查并在可能的情况下进行面对面面试。

此外，还需要制定有效的身份和访问管理程序来限制第三方承包商的访问。

使用人工智能提高你的团队效率

在 Google Cloud Next 活动期间，展示了许多新的 AI 解决方案，旨在显著减少网络安全专业人员的工作量。

这包括一个警报分类代理，它可以对客户的每个安全警报进行调查。

罗威强调了使用此类工具领先攻击者一步的重要性。

对于在安全运营中心 (SOC) 工作的分析师来说，这一点尤为重要。

“传统 SOC 的分析师被繁重的工作压得喘不过气来——调查那些低调的真正阳性结果。他们费尽心思却最终陷入困境，而这些结果往往与恶意活动无关，”Rowe 解释道。

使用自动化和人工智能进行警报分析使劳埃德的 SOC 团队能够将时间集中在最复杂的威胁上，Rowe 称之为“高保真、真正的积极因素”。

确保人工智能的使用

各组织正在迅速部署人工智能工具，以提高生产力和竞争力。然而，这种趋势也带来了巨大的数据安全挑战。

输入人工智能代理的数据通常缺乏控制，导致传统的治理策略无效。

“许多组织目前面临的挑战是构建集成人工智能的数据平台。一旦添加人工智能服务，组织就必然面临安全风险。”谷歌云数据与分析总经理 Yasmeen Ahmad 指出。

此外，人工智能正被用于释放传统护栏未覆盖的“非结构化数据”的价值，例如图像、文本和视频。

此外，还存在对人工智能工具所获取数据的信任问题，错误配置和幻觉等问题普遍存在。

艾哈迈德表示，对于组织来说，建立一个所有数据都要经过的单一访问层至关重要。

Google Cloud 副总裁兼云 AI 总经理 Saurabh Tiwary 重点介绍了 AI 如何帮助解决数据治理技术难题，包括快速分析文档并赋予其适当的敏感度标签。

谷歌的人工智能代理市场允许客户浏览、购买和管理被归类为“安全”的人工智能代理。

解决云端凭证攻击

近年来，组织数据向云端转移的趋势发生了重大变化，这导致威胁行为者将这一环境作为目标。

泄露凭证仍然是威胁行为者用来窃取云端数据的主要方法之一。

乔伊斯指出，凭证被盗的主要原因之一是信息窃取者的兴起，他们使用恶意软件来获取凭证，然后在犯罪地下市场上出售。

库彻表示，黑客还经常通过破坏本地环境并横向移动到云端来窃取凭证。

他补充道：“如果您的企业不安全，您的云环境仍然可能面临直接的攻击。”

因此，基本的身份验证实践仍然至关重要——例如不重复使用密码和部署多因素身份验证 (MFA)。

云安全的另一个挑战是组织通常不了解其整个云足迹。

Kutscher 评论道：“当获得新的 SaaS 提供商时，安全团队很难跟上业务发展，而且企业安全部门有时不会密切关注企业数据现在可能存储的所有位置。”

他敦促各组织使用了解“共享责任模型”的云提供商，在该模型中，提供商对客户在云中的安全承担部分责任，包括提供可见性工具。