网络安全是一个充满活力的行业。新趋势、新技术以及新工艺正以惊人的速度重塑着整个行业的格局，这也使得跟上时代的步伐变得极具挑战性。迈入2025年，应用和API安全的重要性从未像现在这样明显。2024年，API巩固了其作为数字创新核心支柱的地位。然而，API采用率的激增也扩大了攻击面，其中有27%的API攻击针对业务逻辑漏洞，比前一年增加了10%。作为现代企业营运的核心驱动力之一，数据保护也将继续成为2025年企业的首要关注点。

本文刊发于数字媒体平台Wepro180（2025年2月6日），作者：许树怀（Wayne Hui），泰雷兹应用与数据安全业务区域副总裁（大中华区及韩国）

01 数据安全展望

全球数据隐私法规趋势

根据联合国贸易与发展会议（UNCTAD）的统计，目前全球80%的国家已经制定或正在推动数据保护与隐私相关法规。这些法规要求数据必须在特定的管辖范围内储存和处理，以应对与国际执法相关的风险。云服务供应商和企业必须遵守当地的数据主权法律，同时企业必须在新系统和应用中做到“隐私保护融入设计”。比如，2024年提出的《美国隐私权法案》 (APRA) 标志着该国朝建立联邦数据隐私法规迈出了重要一步，尽管加州等州的特定法律仍在塑造监管格局。

主动风险管理的演进

随着人工智能驱动的网络攻击频率与规模不断增长，企业必须从单纯以合规为中心的策略，转变为更加注重风险的主动性策略。这就需要了解各关键维度的风险，包括企业、资产和监管风险。通过运用整个数据资产的关键数据风险指标，企业可以创建一个可操作的风险视图，进而做出更有依据且高效的安全决策。持续监控和预先应对潜在威胁将成为标准操作，同时辅以更强大的身份验证措施。遵守新法规，如NIS2、DORA、PCI DSS 4.0、英国《网络韧性法案》及欧盟《人工智能法案》，将促使企业从IT系统的边缘到核心采用全面的安全措施。

安全运营中的AI工具

人工智能（AI）和机器学习 (ML) 将在网络安全领域中扮演越来越关键的角色，它们将增强威胁检测和响应，改善威胁搜寻，并结合安全态势管理与行为分析，帮助实时监控和保护大型数据库。虽然网络安全供应商正在越来越多地整合AI辅助工具（如Copilot），以应对全球480万人才短缺的问题，但这些工具是对内部团队的补充，而不是替代。安全团队必须专注于如何有效运用AI工具的功能，特别是在识别数据外渗企图或异常数据访问模式等风险方面。

关键基础设施保护

针对关键基础设施的攻击呈现指数级增长，其中大多数攻击源自内部IT基础设施。IT、OT和地缘问题之间的脱节，为内部威胁在2025年的滋生创造了有利环境。鉴于关键基础设施因其潜在的广泛影响而成为网络犯罪分子的首要攻击目标，企业必须通过全面的安全措施与加强IT与OT系统之间的协作来弥补这些漏洞。此外，这一挑战因后量子计算威胁的出现而变得更加复杂，这也驱使企业必须采用量子安全的网络和加密敏捷的解决方案，以应对不断演进的安全标准。据悉，香港特区政府将会就保障关键基础设施进行立法，通过出台条例明确关键基础设施营运者的架构责任、预防责任和事故通报及应对责任等法定要求，由此可见保护关键基础设施正在全球范围内走实向深。

随着我们迈入2025年，应用和API安全的重要性愈来愈凸显。2024年，API巩固了其作为数字创新核心支柱的地位。然而，API采用率的激增也扩大了攻击面，其中有27%的API攻击针对业务逻辑漏洞，比前一年增加了10%。更严峻的挑战是，46%的帐户接管（ATO）攻击集中在API 端点，比2022年的35%有明显上升。

这些数据揭示了API驱动转型的“双刃剑”效应，即在提升互联性和效率的同时，也带来了新的漏洞。随着企业继续将API作为其数字化战略的基石，保护这些关键途径安全的需求愈发迫切。2025年的关键不只是抵御API特定威胁，更在于主动建构一个安全、灵活的基础设施，能够全力以赴支持创新。

DevSecOps与API增长的演进

2025年将是API爆发式增长的第四年。根据泰雷兹旗下品牌Imperva的研究显示，去年企业平均管理613个API端点，而API流量占网络流量的71%以上。但不幸的是，API的无缝数据集成功能使其成为攻击者有利可图的目标。目前，与API相关的安全问题每年给企业造成的损失高达870亿美元。2025年，与API相关的风险将不断增加，这将促使企业更专注从开发初期就加强其安全性。随着越来越多企业采用API，我们将看到DevSecOps实践的转变，将安全性嵌入到开发流程中。企业将不得不更加关注API的发现，通过持续可视性、分类以及对数据流的监控，来保护自身，进而降低风险。

LLM应用与API安全风险

随着企业不断采用基于大型语言模型 (LLM) 的应用，如LLM代理等定制组件将变得越来越普遍。由于这些组件常依赖API来运作并与其他系统集成，因此预计到2025年，我们将会目睹至少一起涉及LLM应用的备受瞩目的安全漏洞事件，特别是与其API连接中的漏洞相关。该漏洞将引起广泛关注，凸显出采取更强大的API安全措施的迫切性。随着首席信息安全官 (CISO) 越来越重视企业内部的API数量，并积极推动加强API安全的协作，预计2025年API安全防护水平将得到显著提升。

AI驱动的网络犯罪演变

生成式人工智能（Generative AI）已经降低了网络犯罪分子的准入门槛，即使是没有经验的攻击者也可以快速、轻松、大规模地发动相对复杂的攻击。这个问题可能会在明年变得更加恶化。我们有可能会看到一种网络攻击工具，只需要企业目标的名称即可发起一系列恶意活动。网络犯罪分子可以使用此工具自动生成和发送钓鱼邮件。一旦进入目标网络，他们就可以利用该技术获得进一步的访问权限。这些工具的易用性和有效性可能会增加网络攻击的总体数量和复杂性。这种演变与提示注入（ Prompt Injection）作为新威胁媒介的出现不谋而合，而目前几乎没有针对这种威胁载体的安全措施。供应链安全势在必行

随着供应链变得更加复杂和互相交织，我们可能会在2025年目睹一次重大的开源供应链攻击，如XZ Utils (SSH) 攻击，且成功的可能性极高。企业必须采用多层安全防护方法来降低这些攻击的风险，包括实施严格的安全措施，例如定期代码审计、自动漏洞扫描和强大的访问控制，以及在网络安全社群内共享威胁情报和最佳实践。此外，保持所有软件组件及其相关性的清晰清单，将有助于企业快速识别和解决漏洞。现代供应链的复杂性，加上攻击的日益复杂，使其成为2025年安全团队的一项关键工作事项。

2025年的网络安全格局将面临双重挑战：既要保护数据安全，又要通过API和应用促进创新。企业必须在主动风险管理与强大的技术控制之间取得平衡，同时保持运营效率和法规遵循。进入新的一年，随着技术和风险的不断演变，安全工作重点将聚焦于多个前沿领域，从数据隐私与API安全到新兴技术与基础设施保护。企业要想取得成功，就必须全面了解传统和新兴威胁，并具备在数字生态系统各个层面实施有效安全措施的能力。