2025 網路安全預測：資料保護、應用程式安全與 API 韌性

作者: Wayne Hui/Thales 應用與資料安全業務區域副總裁（大中華區及韓國）

網路安全是一個充滿變動的行業。新趨勢、新技術以及新手法正以驚人的速度改變這個領域。這也使得跟上腳步變得極具挑戰性。邁入 2025 年，應用程式和 API 安全的重要性從未如此明顯比以往更加明顯。 2024 年，API 已經確立它作為數位創新核心支柱的角色。然而，API 採用率的激增也帶來更大的攻擊面，其中有 27% 的 API 攻擊瞄準的是業務邏輯漏洞，比前一年增加了 10%。保護資料成為現代企業營運的核心驅動力，也將繼續成為 2025 年企業的主要關注點。

資料安全展望

全球資料隱私法規趨勢

根據聯合國貿易與發展會議（UNCTAD）的統計，目前全球80%的國家已經制定或正在推動資料保護與隱私相關法規。這些法規要求資料必須在特定司法管轄區內儲存和處理，以應對與國際執法相關的風險。雲端服務供應商和企業必須遵守當地的資料主權法律，而企業必須將「隱私內嵌」原則納入新系統與應用程式的設計中。 2024 年提出的「美國聯邦隱私權法案」 (APRA) 是邁向建立聯邦資料隱私法規的重要一步，儘管加州等州的特定法律仍在繼續整體的法規環境。

主動風險管理的演進

隨著人工智慧驅動的網路攻擊頻率與規模不斷增長，企業必須從單純以合規為導向的策略，轉變為更主動、以風險為中心的管理方法。這需要從企業風險、資產風險和監管風險等關鍵層面做全盤的風險了解。透過運用整個資料風險的關鍵指標，企業可以建立可操作的風險視圖，進而支援更有依據且高效的安全決策。持續監控和應對潛在威脅將成為標準作業流程，同時採用更強大的身份驗證措施。因應 NIS2、DORA、PCI DSS 4.0、《英國網路韌性法案》及《歐盟人工智慧法案》等新法規的要求，企業將推動並採用從邊緣到核心的全面安全措施，以強化 IT 系統的整體防護。

安全營運中的 AI 工具

人工智慧（AI）和機器學習 (ML) 將在網路安全領域中扮演越來越關鍵的角色，增強威脅偵測和回應，改善威脅搜尋，並結合安全態勢管理與行為分析，以實現即時監控和保護大型資料集。雖然網路安全供應商越來越多地整合 AI 輔助工具 （如Copilot），以應對全球 480 萬人的人才短缺問題，但這些工具是補充而不是取代內部團隊。安全團隊必須專注於如何有效運用 AI 工具的功能，特別是在識別嘗試資料外洩攻擊或異常資料存取模式等風險方面。

關鍵基礎設施保護

針對關鍵基礎架構的攻擊呈現指數級的增長，其中大多數攻擊源自內部 IT 基礎架構的不安全因素。 IT、OT 和地緣政治問題之間的隔閡，使得在 2025 年激發內部威脅爆發的環境。由於關鍵基礎設施具有潛在的廣泛影響，成為網路犯罪分子的首要目標，企業必須透過全面的安全措施與加強 IT 與 OT 系統之間的協作來彌補這些漏洞。此外，後量子運算時代的威脅更加劇這項挑戰的複雜性，這也驅使企業必須採用量子安全網路和加密敏捷解決方案，以因應不斷演進的安全標準。

應用程式與 API 安全展望

隨著我們邁入 2025 年，應用程式和 API 安全的重要性愈來愈顯著。 在 2024 年，API 已經鞏固其作為數位創新支柱的角色。然而，API 採用率的激增也擴大了攻擊面，有 27% 的 API 攻擊針對業務邏輯漏洞，比前一年增加了 10%。更具複雜挑戰的是，46% 的帳戶接管 (ATO) 攻擊集中在 API 端點，相較於 2022 年的 35%，明顯上升。

這些數據說明 API 驅動的轉型所帶來的「雙刃」效應，在實現可連接性和效率的同時，也創造了新的漏洞。隨著企業將 API 作為數位策略的核心，保護這些關鍵通路的需求愈發迫切。2025 年的關鍵不只在抵禦 API 特定威脅，更在於主動建構一個安全且具韌性的基礎架構，支持創新、不妥協於安全性。

DevSecOps 與 API 成長的演進

2025 年將是 API 爆發式增長的四年。根據 Imperva 的研究顯示，去年企業平均管理 613 個 API 端點，而 API 流量佔網路流量的 71% 以上。不幸的是，API 的無縫資料整合功能使其成為攻擊者有利可圖的目標。目前，與 API 相關的安全問題，使企業每年造成高達 870 億美元的損失。由於 API 帶來的風險日益增長，2025 年，企業將更專注從開發初期就加強其安全性。隨著越來越多企業採用 API，我們將看到相 DevSecOps 實踐的轉變，將安全性嵌入到開發流程中。企業迫使更專注於 API 的發現，透過持續可視性 、分類以及對資料流的監控，來保護自身，進而降低風險。

LLM 應用與 API 安全風險

隨著企業繼續採用基於大型語言模型 (LLM) 的應用，如 LLM 代理等自訂元件將變得越來越普遍。由於這些元件常依賴 API 來運作並與其他系統整合，因此預計到 2025 年，我們將會目睹至少一個涉及 LLM 應用程式、引人注目的安全漏洞，特別是與其 API 連接中的漏洞相關。這項漏洞將引起相當大的關注，凸顯出更強大的 API 安全措施的迫切需要。隨著資訊安全長 (CISO) 越來越意識到組織內 API 的數量，企業將推動共同保護 API 安全， API 安全在 2025 年將達到金一步提升的防護水準。

AI 驅動的網路犯罪演變

生成式人工智慧（Generative AI）已經降低了網路犯罪分子的進入門檻，即使是沒有經驗的攻擊者也可以快速、輕鬆、大規模地發動相對複雜的攻擊。這個問題可能會在明年變得更加惡化。我們有可能會看到網路攻擊工具，只需要企業目標的名稱即可引發一系列惡意活動。網路犯罪分子可以使用此工具自動產生和發送網路釣魚電子郵件。一旦進入目標網路，他們就可以利用該技術獲得進一步的存取權限。這些工具的易用性和有效性可能會增加網路攻擊的總體數量和複雜性。這種演變與提示注入（prompt injection）作為新威脅媒介的出現不謀而合，目前對此幾乎沒有安全保障。

供應鏈安全勢在必行

隨著供應鏈變得更加複雜和相互關聯，我們可能會在 2025 年目睹一次重大的開源供應鏈攻擊，如 XZ Utils (SSH) 攻擊，但成功的可能性更高。企業必須採用多層安全防護方法來降低這些攻擊的風險。包括實施嚴格的安全措施，例如定期程式碼審核、自動漏洞掃描和強大的存取控制，以及在網路安全社群內共享威脅情報和最佳實踐。此外，維護所有軟體元件及其相關性的清晰清單，將有助於企業快速識別和解決漏洞。現代供應鏈的複雜性，加上攻擊的日益進進化，將成為 2025 年安全團隊的關鍵工作事項。

結語

2025 年的網路安全格局面臨雙重挑戰：保護資料的同時，透過 API 和應用程式實現創新。企業必須在主動風險管理與強大的技術控制之間取得平衡，同時保持營運效率和法規遵循。隨著新的一年的到來，技術和風險日益發展，安全工作將集中在資料隱私、 API 安全到新興技術、基礎設施保護等不同的領域。成功關鍵是要全面了解傳統和新興威脅，並具備在數位生態系統各個層面落實有效安全措施的能力。