展望2025年，预测我们今年年底可能会回顾的内容。

1、网络安全贫困线上升。我将网络安全贫困线定义为企业为满足NIST SP 800-171中规定的网络安全要求所需的投资额。许多机构试图确定一个具体的金额来界定这条所谓的“贫困线”，但尚未达成一致。然而，各方似乎都认同，应对日益复杂的网络威胁所需的成本持续上升。中小型企业（SMB）处于明显劣势，面临的风险日益增加。

2、托管安全服务提供商（MSSP）迈向新高度。鉴于网络安全成本的不断增加，MSSP将越来越被视为一个具有吸引力且成本效益高的选择，特别是对于财政拮据且迫切希望降低网络安全风险敞口的中小型企业而言。这将推动MSSP市场的增长，但也可能掩盖一些客户的网络安全风险要素。MSSP提供的服务通常呈现为黑箱功能，其条款和条件隐瞒了传统安全控制（如独立第三方审计、渗透测试和红队测试）所提供的风险洞察。

3、网络人工智能（AI4Cyber）持续无法满足需求和期望。我并非唯一一个等待了20多年，期待圣诞老人能带来一种有效、高效、直观、安全且经济实惠的人工智能能力（即AI4Cyber），以击败网络攻击者的人。尽管市场上有人声称在某些能力方面取得了进展，但满足我标准的整体解决方案仍然出现在我2025年圣诞节的愿望清单上，而且遗憾的是，可能还会再停留几年。可悲的是，攻击者已经充分利用了人工智能，尤其是在网络钓鱼攻击中。

4、人工智能系统的网络安全（Cyber4AI）仍然不足。人工智能能力非常强大，但我发现，正在开发的大多数人工智能能力都集中在如何让它们尽快工作并进入市场。我们需要在人工智能系统的创建、运行和维护中更好地融入网络安全最 佳实践和内置安全原则。软件工程研究所的人工智能安全与事件响应团队（AISIRT）在人工智能能力中发现了许多重大弱点和缺陷，这些弱点和缺陷会导致漏洞，从而可能被敌对实体利用。人工智能漏洞就是网络安全漏洞，且已报告的漏洞数量持续增长。软件工程师接受过培训，能够在工作中融入内置安全原则。但是，包括生成式人工智能和大语言模型（LLM）在内的神经网络模型带来了多种额外的弱点和漏洞，其中许多漏洞的有效修复方法仍在艰难探索中。我认为，在人工智能领域能够开发出适合人工智能的内置安全最 佳实践，以补充软件工程师已经熟悉的内置安全实践之前，我们将看到可预防的网络安全事件影响人工智能能力，这种情况在2025年仍将持续。

5、勒索软件犯罪活动继续针对网络弱势群体肆虐。网络犯罪分子一直在针对那些处于网络安全贫困线以下的人进行攻击。我预计，在2025年，随着弱势实体（尤其是中小型企业、中小型地方政府、教育机构和非营利组织）在充满激烈竞争的网络环境中难以维持有效的安全控制，而勒索软件对攻击者来说利润丰厚、威胁巨大，这些犯罪分子将更加猖獗。

6、虚拟专用网络（VPN）仍然是国家和网络犯罪集团的诱人目标。VPN通常被视为安全远程访问的同义词，就像施乐已成为复印的同义词一样。VPN与PalmPilots（掌上电脑）几乎同时于20世纪90年代末进入市场。虽然我的办公室里有一个静态展示的PalmPilot，但我现在很少看到有人还在使用它，因为更好的产品提供了更有效、高效和安全的功能。在CERT部门，我们不断看到与受损VPN相关的众多网络事件。2025年是升级您的安全远程访问至更现代的软件定义技术（如软件定义边界）的好时机。

7、隐私法与网络安全法规的碎片化进一步推高了企业运营成本。隐私与网络安全法规的激增，导致大多数企业的法律合规成本飙升。令人恼火的是，尽管政府机构的初衷良好，却未能将这些努力整合成一部条理清晰、准确无误、权威统一的最 佳实践汇编。在国际、国家、州及地方政府达成共识之前，你的法律和合规团队很可能将继续维持较高的人员配置水平，而这将给你的利润底线带来额外的“负担”。

8、网络安全供应链的透明度仍然笼罩在一片迷雾之中。大多数公司不清楚其软件的来源或开发者，也无法量化其面临的软件风险。软件是推动我们复杂的社会、经济和国家安全基础设施运转的核心动力，然而，我们对与软件相关的网络安全风险却知之甚少。这方面的例子不胜枚举，如启动我们电脑的统一可扩展固件接口（UEFI）软件、精密的人工智能模型和系统，以及金融和医疗服务；现代社会的几乎每个方面都离不开软件，而这些软件的数据来源却日益复杂、不透明且被忽视。我们还见证了针对SolarWinds和BeyondTrust等第三方软件和软件服务提供商的网络攻击事件。我预计，到2025年，我们将看到更多的模仿攻击——也许我们足够幸运，能够及时发现并阻止它们。

9、网络安全人才短缺问题依旧严峻。多年来，ICS²一直关注全球网络安全人才缺口的不断扩大，许多政府和企业也制定了宏大的计划，旨在教育和培训更多人才以填补这些空缺。尽管这些计划不断吸引更多人从事网络安全相关职业，但我们尚未取得决定性胜利，所宣称的重大进展也至多只是表面文章。也许，如果2025年在解决人才缺口方面仍缺乏实质性进展，将促使我们重新审视当前的做法——我们是否只是在治标而非治本。解决这一棘手问题的最 佳策略似乎是优先投资于生产更安全、易于安装、配置和操作，且维护所需高技能人才更少的软件驱动产品。

10、“设计安全”是否将成为市场差异化因素？我希望到2025年，软件依赖型产品和服务的提供商及其客户能够认识到“设计安全”原则的内在价值，这一价值将由可信的独立第三方验证，并作为积极的市场差异化因素。这一需求信号持续增长，美国国防部对其供应商的网络安全成熟度模型认证（CMMC）要求便是一个例证。人无完人，但如果一家公司能够通过可信的独立第三方证明其在开发、部署和维持其产品和服务方面遵循了“设计安全”的最 佳实践，那么这将成为其强大的市场差异化因素，并可能在市场上获得回报。

11、并购市场升温。2024年下半年，随着企业急于利用人工智能能力的最新进展和预期进展来推动数字转型，各种网络安全、数据中心、数据经纪、分析和人工智能公司的并购浪潮汹涌而来。到2025年，预计并购市场将显著增长，成熟的技术公司将积极寻求收购新兴且最 佳的技术，而其他大型公司将通过有针对性的战略收购来推动业务转型。

12、地理位置将加速创造价值。房地产领域的老话“位置、位置、位置”将在当今数字环境下寻求获得并保持市场份额的公司发展中发挥强大影响力。例如，人工智能驱动能力的需求激增需要强大且现代化的数据中心。数据中心需要接入廉价且充足的水资源（用于冷却）、电力和通信，以及熟练且训练有素的信息技术技术人员和电工、物理工厂运营和安全、供暖、通风和空调等行业的高技能人才。同样，宝贵的网络安全人才（我认为包括传统信息技术、网络安全、人工智能和数据分析人员）在选择工作地点和雇主时，并非仅受金钱驱动。他们被拥有活力文化、优质生活、负担得起的高速互联网接入和低生活成本的地区所吸引。所谓“锈带”等地区可以通过明智投资来吸引公司和技术人才，从而在2025年迎来自己的复兴，推动经济和社会的转型与振兴。对这些宝贵公司和人才的竞争已经开始，行动迅速者将取得胜利。

13、远程工作（WFH/Work from Anywhere）将成为强大的招聘与留任工具。尽管远程工作并非万 能良药，也并非适合每个组织中的每个职位，但它确实是一项吸引并留住人才的诱人福利。北美、欧洲和大洋洲的一些组织，它们要求员工每年有几个月需每周到岗三到五天，但在特定期间为员工提供灵活的远程工作选项。成功的远程工作政策必须基于远超技术架构的零信任安全策略；零信任原则必须延伸至人员安全、物理安全、业务流程与文化以及技术。利用最新的软件定义技术实现安全远程访问至关重要。虚拟在场即实际缺席，因此，在招聘任何人之前，必须进行面对面面试、跟进推荐人、开展背景调查，并规定定期到办公室工作的天数作为就业要求。必须明确界定在实体公司范围外哪些工作可以完成、哪些不能，并让员工知晓，同时定期进行审计。当您为面对面工作设定明确期望，并提供慷慨且有效的远程工作选项时，您就能成为吸引并留住顶尖人才的市场领导者。