近期資安概念股受到多種題材帶動下強勢漲停,資安產業受到關注,意味著企業各種資安專案與實務工作需求不斷,持續提供成長動能。舉凡網路威脅攻擊,加上生成式AI應用逐漸普及,也引發各種安全疑慮,如AI生成程式碼的安全。以下是彙整近期報告,在2025年對網路安全產生重大影響的三大趨勢:
- AI生成程式碼不代表不用審查
根據Outsystems與KPMG合作的一項調查發現,受惠於AI自動化,超過75%的軟體主管表示整體開發時間縮短一半。Gartner的報告也指出,到了2028年超過90%的企業軟體工程師將使用AI程式碼助理。
AI雖然在軟體開發中展現提升效率的潛力,但其迅速生成程式碼卻也帶來新的安全隱憂。由於開發者常面臨快速交付的壓力,他們對AI生成程式碼的審查往往不如對自己撰寫的程式碼那樣仔細,不夠確實的程式碼審查也導致安全漏洞增加。
GitClear的研究人員曾經檢查在2020年至2023年間(已經使用AI程式碼助理)撰寫的1.53億行程式碼,他們發現在編寫後不到2週內必須修正或恢復前版本的程式碼數量有所增加。研究人員也預計,與2021年生成式AI出現之前相比,到2024年程式碼變更實例將增加一倍。或許使用AI程式碼助理所節省下來的時間,將被修正AI程式碼漏洞的時間給抵銷?
2.身分盜竊問題使資料外洩問題加劇
專門用來竊取敏感資訊,如登入憑證,而設計的資訊竊取類惡意軟體(Infostealer),已成為一種日益嚴峻的威脅。尤其是品牌或企業組織的臉書粉專更成為Infostealer的攻擊目標,透過釣魚網頁來吸引粉專管理員點擊以植入竊資軟體,使其資料洩露和帳戶被盜,並接著入侵目標企業系統,對企業的敏感數據構成重大風險。
安全專家預測,到了2025年,隨著身分基礎攻擊的日益複雜,身分與存取管理的責任將從IT部門轉移到專業的安全團隊。這種轉變反映為有效應對狡詐的身分盜竊威脅,企業需要同時從IT與程序控管等面向著手,加強身分驗證機制、提升員工的安全意識,並採取多層次的安全措施來保護關鍵資產。
3.更嚴格的網路安全法規:更高的審查與資安長角色的轉型
隨著國家級網路攻擊增多以及對數據隱私的關注日益高漲,全球網路安全法規也日趨嚴格。這些法規雖然有助於提升安全性,但也給企業帶來了更大的合規負擔,尤其是對資安長的壓力更為明顯。
Gartner報告指出,到2027年,全球前100大企業中將有2/3會為其資安長提供董事及高管責任險(D&O保險),以保護其免受因職責範圍擴大而引發的個人法律風險。這些趨勢表示,資安長需要積極適應不斷變化的法律環境,確保組織符合最新的網路安全標準。此外,他們還需釐清自己的角色、職責和法律保護範圍,以在日益複雜的環境中有效應對挑戰。
