勒索軟件的商品化令網絡犯罪愈發猖獗,現時只需數百美元,就可以在暗網上購入攻擊工具或勒索軟體即服務( Ransomware-as-a-Service)。
根據Cloudflare 《2025 年第二季DDoS 威脅報告》顯示,DDoS 攻擊數量持續破紀錄。截至今年上半年,Cloudflare已攔截多達 2,780 萬次 DDoS 攻擊,相等於2024年全年所攔截總數的 130%。
《2024 年亞太地區網路安全準備度調查》亦指出,接近一半亞太區企業曾遭受資料外洩,當中 62% 企業更曾支付贖金。這無不反映全球企業正面對的嚴峻挑戰。
科技日新月異,隨之而來的網絡威脅亦不斷升級。AI驅動的攻擊、供應鏈漏洞,以至量子計算帶來的潛在衝擊,導致2025年的網絡安全風險環境前所未有地複雜且動盪。這種複雜性也意味著網絡韌性不再只是 IT 部門的責任,而是貫穿整個領導層的一大策略重點。
創新手法應對現代問題
遠距工作和雲端技術的普及,令企業的內部威脅攻擊面擴大,亦變得更難以察覺。惡意攻擊者不斷擴展行動規模,以自動化攻擊、規避偵測,並發掘和利用漏洞,令企業防不勝防。當中包括由機器人執行的憑證填充攻擊,以及由AI驅動的分散式阻斷服務(DDoS)攻擊等。
攻擊者利用生成式AI結合真實與虛假的資料,創造出極度逼真的假身份,從而繞過傳統驗證系統,使其難以被識別和偵測。
面對由AI 驅動的網絡威脅,企業亦需以AI 加強防禦能力。隨著生成式AI逐漸融入工作流程,企業必須結合AI增強威脅偵測、自動化防禦機制、以及完善的憑證管理,以確保能夠正面迎擊。
透過AI融入整體安全防禦策略,企業能建立更完整的安全可視度,善用AI偵測和分析龐大的數據、識別異常並即時阻截潛在威脅。此外,企業在當前的網絡安全形勢下仍面臨多重挑戰:
員工忽視管治和合規要求,使用超出安全團隊管控的AI工具,衍生出「影子AI」風險。
地緣政治緊張局勢蔓延至網路空間,許多企業低估了這些網路威脅,誤以為保持中立便可避免衝突,結果無法倖免於國家支援的網絡攻擊,導致產業受到干擾,暴露出關鍵的供應鏈漏洞。
企業採用後量子加密技術步伐不一,反映出企業準備度仍存不足。隨著量子計算有望突破傳統加密技術,企業領導者必須加快部署,以保障長遠數據安全,滿足不斷演化的監管要求。
供應鏈是網絡安全防護中最脆弱的一環,只要單一供應商遭到入侵,便足以讓攻擊者有機可乘。
面對層出不窮的新興風險,「零信任」已不再是選項,而是彌補漏洞的必要策略。
全面發揮零信任的防禦效能
會話劫持、防網絡釣魚攻擊和身份驗證繞過技術日益猖獗,靜態密碼和基本的多重身份驗證已難以應對。企業必須邁向更完善的零信任架構,實現無密碼身份驗證,並推動持續且以風險為本的存取控制機制。
目前88% 企業用戶已經或計劃投資零信任架構,但在執行上仍存在較大差距,當中只有三分之一完成全面部署。企業需要將零信任策略從零散管理,轉型統一安全架構,涵蓋整個企業上下,並從單一的安全遠端存取管理,進一步轉向至整合身份、數據及流量的安全政策,實現跨環境的一致防護。
許多領導者已選用具備韌性、可支援全球營運自動化回應,以及實時可視度的技術平台。這正是其真正價值所在:不僅降低風險,更加強企業的靈活應變能力。透過將零信任架構融入數碼基礎,領先的企業在構建、擴展與創新時,能從根本上提升安全度。
合規性、業務連續性和安全性為核心考量
合規策略必須由被動轉向主動。各地正不斷完善其監管框架,以確保能有效地預防和管理網絡安全威脅。我們正在邁向一個規範更嚴謹、加強審視、問責範圍更廣的網路安全新時代。
企業應將網絡安全視為逃避法律責任的合規手段。在風險與日俱增的環境下,建立穩健的網絡安全防禦更關乎信任、聲譽以及營運韌性。
在AI攻擊盛行、監管要求不斷提升,以及數碼相依關係日趨複雜的時代,企業已無法再以孤立、被動或事後補救的方式應對網路安全挑戰。網絡安全為當務之急。除了應對威脅外,企業更應將韌性深植於其營運、創新和發展中。在這個時代,網絡安全不再是一種選項,而是不可或缺的根基。