文/Akamai
2025年,數位化轉型將邁入新階段,但隨之而來的網路安全威脅也在不斷升級,企業將面臨數位化轉型的深化與網路安全威脅的升級雙重挑戰。
Akamai近期發佈的《2025防禦者指南》報告(以下簡稱“報告”)指出未來網路安全的四大核心挑戰,並提出了一套“四步防禦體系”的方法論。這份報告的價值不僅在於其技術洞察,更在於它將安全性原則從“被動應對”推向“主動免疫”的思維轉變。
網路安全挑戰的縮影與啟示
亞太及日本地區(APJ)因其經濟增速快、數位化程度差異大,成為網路攻擊的“重災區”。根據報告資料,2023年APJ地區遭受的Web應用DDoS攻擊數量激增五倍,位居全球第二,其根本原因在於分散性監管與攻擊激增的雙重壓力。
監管分散化:從新加坡的嚴格合規到印尼等新興市場的政策空白,區域內缺乏統一的安全標準和網路安全監管機構,導致企業安全水準兩極分化。Akamai資料顯示,2023年APJ地區因監管不足導致的漏洞利用事件占比高達35%。
攻擊複雜化:2024年APJ成為全球第二大Web應用DDoS攻擊目標,攻擊量較2023年增長了五倍。有個典型的案例是,2023年某電商平臺因API介面漏洞遭受持續DDoS攻擊,導致服務癱瘓12小時,直接損失超2億美元。
企業加速採用雲計算、容器化(如Kubernetes)和API技術,但安全投入滯後,導致攻擊手段的不斷進化而造成的網路安全威脅,成為數位化轉型的“安全負債”。
報告指出,APJ地區70%的企業在容器化部署中未實施運行時保護,導致命令注入攻擊激增30%。這種“技術先行,安全後補”的模式,正在成為新型攻擊的溫床。
核心洞察:從風險管理到架構革新
- 風險管理:量化漏洞,動態決策
報告提出的風險評分模型是核心創新之一。該模型通過評估應用程式的重要性、網路複雜性和遭受入侵可能性,為企業提供量化的漏洞優先順序。
報告還提出了一些相關建議,包括端點影響分析、分段策略以及減輕內部和外部風險的方法,以及威脅的實用步驟,包括補丁管理和員工培訓。
- 網路架構:破解VPN濫用與XSS攻擊
Akamai研究發現,60%的VPN設備因未及時更新固件成為APT攻擊跳板。報告建議採用安全LDAP協議、自訂加密和固件更新,但企業需權衡成本與效益。
報告表明企業迫切需要採取分層防禦措施來解決在處理使用者輸入資訊的過程中可能存在的漏洞。
- 主機安全:容器化環境的“隱形戰場”
Kubernetes的普及帶來了效率提升,但也暴露了新的風險。報告分析的六大漏洞中,CVE-2023-2725(許可權提升漏洞)和CVE-2024-1088(命令注入漏洞)最為致命。Akamai建議:
主動補丁管理:採用自動化工具掃描鏡像漏洞,例如某雲服務商通過集成Aqua Security,將補丁部署週期從7天縮短至4小時。
運行時保護:部署RASP(運行時應用自我保護)工具,即時攔截惡意行為。
四步防禦體系:從單點防護到深度協同
報告提出了一套“基礎加固-分層防禦-重點保護-快速回應”的四步方法論,這並非簡單的技術堆砌,而是通過流程優化實現防禦效能的指數級提升。
第一步:全面夯實安全基礎
定期更新系統、強化存取控制、記錄完整日誌,並嚴格遵循安全最佳實踐。這些基礎措施是任何可靠安全性原則的核心。通過這些簡單但有效的操作,可以輕鬆“拒絕”大量網路攻擊的“邀請”,無需額外投入精力,就能阻止大部分潛在威脅。
第二步:構建多層次安全防護
在基礎安全措施之上,進一步疊加多層防護。部署 Web 應用防火牆 (WAF)、API 安全保護以及分散式拒絕服務 (DDoS) 防護等工具。將這些防護措施持續應用於各個環節,打造強大的深度防禦體系,從而抵禦並化解各種複雜的網路威脅。
第三步:聚焦關鍵業務服務
優先識別和保護企業的核心資產。這些資產一旦遭到破壞,可能對運營、聲譽或財務造成嚴重影響。確保這些關鍵系統和資料始終處於最高級別的安全防護之下,並為其分配額外的資源和保護措施。
第四步:建立應急回應團隊
確保有一支值得信賴的應急回應團隊或合作夥伴隨時待命。面對不可避免的網路安全事件時,快速回應和有效處理至關重要。這支團隊能夠幫助企業在危機中迅速恢復,儘量減少損害,並儘快恢復正常運營。
Akamai副總裁暨大中華區總經理李昇表示:以上旨在提醒 CISO 注意,將研究納入其整體網路策略非常重要。通過對攻擊進行研究並獲取先進的技術分析資料,能夠為人員、流程和技術提供指導,從而幫助企業在日益複雜的數位環境中規避風險。
2025網路安全趨勢:防禦體系的“三極進化”
通過對報告的核心觀點剖析,並結合行業趨勢,我們也對未來網路安全風險及防禦趨勢提出了一些觀點。
- 技術趨勢:AI驅動與零信任架構普及
AI與機器學習的深度應用:AI將用於威脅狩獵、行為分析和自動化回應。生成式AI(如ChatGPT)被用於製作釣魚郵件和惡意程式碼,這將迫使企業升級檢測技術。
零信任架構(ZTA)成為標配:基於“永不信任,持續驗證”的原則,企業將逐步淘汰傳統VPN,轉而採用微隔離、動態存取控制等技術。
SASE(安全訪問服務邊緣):整合SD-WAN與雲安全服務,成為分散式企業的首選架構。
雲原生安全工具爆發:隨著Kubernetes的普及,針對容器的運行時保護(RASP)和鏡像掃描工具需求激增。
- 管理趨勢:從合規驅動到風險優先
風險量化模型興起:例如Akamai提出的“風險評分模型”,動態評估應用程式的重要性與漏洞優先順序,優化資源配置。
員工培訓的常態化:針對釣魚攻擊和社會工程學,多數CISO將計畫安全意識培訓頻率從每年一次提升至每季度一次。
協力廠商風險管理(TPRM)強化:供應鏈攻擊倒逼企業加強對供應商的安全審計,例如強制要求ISO 27001認證。
- 法規趨勢:全球監管的“收緊風暴”
APJ地區:新加坡《網路安全法案》修訂、印度《個人資料保護法》生效,推動企業從合規檢查轉向持續合規。
歐盟:NIS 2指令要求關鍵行業企業實現即時威脅共用,與Akamai宣導的研究驅動策略不謀而合。
結語:從防禦者指南到防禦者行動
2025年將是網路安全的分水嶺:攻擊者利用AI和自動化工具發動更精准的打擊,而防禦者必須從“被動救火”轉向“主動免疫”。
Akamai的報告為這一轉型提供了切實可行的框架,但其真正價值在於喚醒企業,安全不是成本,而是生存與增長的基石。
未來,企業若想在這場不對稱戰爭中生存,唯有將技術、人才與流程深度協同,方能在數位化的洪流中構築起一道“攻不破、打不垮”的智能防線。
