2025年即将到来，现在是时候看看网络安全分析师对新年的预测啦。

2024年初，笔者成为Informa TechTarget企业战略小组的分析师，分析师的工作为笔者对2025年做出合理预测提供了独特的见解。笔者的观点主要来源于与供应商、有影响力的人和从业人员的定期谈话，以及阅读有关身份安全和数据安全的网络安全资讯。

以下是笔者对2025年的预测，这将影响身份安全和数据安全领域的从业人员和供应商。

非人类身份安全部署计划

身份安全对有效的网络安全至关重要，企业现在正在意识到保护非人类身份（NHI）的重要性，包括机器和工作负载身份。企业战略小组最近的研究探讨了该领域的挑战和需求，首先从这个名字开始，这应该叫做非人类身份、机器身份、工作负载身份还是其他名字？我们的研究发现，企业更喜欢使用非人类身份一词来描述攻击表面的这一部分。

NHI安全是一个总括性术语，涉及可见性、监控、修复、机密管理、工作负载访问管理、证书生命周期管理等。大多数企业正在考虑或已经部署多个产品，以解决NHI安全的各个领域。大约三分之一的企业表示，他们现在已经部署有产品，大约一半的企业表示，他们打算在未来12-24个月内部署产品。

2025年将是保护和管理NHI的一年，因此请继续关注更多NHI研究见解。

缩小IAM中的差距并改善授权管理

有效的身份和访问管理（IAM）不仅是为了更好地管理身份，还是为了使企业能够安全高效地工作。身份安全计划是商业必需品，但成熟有效的IAM计划是商业资产。

完善IAM项目需要人员、流程和技术的整体组合。人员元素包括安全和IAM团队，以及能够最好地管理特权的应用程序所有者。2025年将看到所有身份组成部分的大幅改善。

对IAM团队和应用程序所有者来说，管理授权和权限审查很痛苦。人工智能和机器学习（ML）有望减轻耗时、繁琐、手动任务的负担，主要的身份治理和管理参与者已经为各种用例添加了人工智能和机器学习功能，从身份分析到推动治理，再到指导和告知用户完成任务。目前的改进在于对申请、角色和授权建议的准确预测。

2024年出现了一波供应商公告，2025年将看到身份团队和应用程序所有者将利用这一创新，围绕授权请求和权限审查做出更快、更准确的决定。

围绕生成式AI的监管合规性要求不断变化

随着生成式AI（GenAI）项目继续在整个企业中扩散，推动这些项目的团队正在努力了解其合规影响，而监管机构则在努力跟上GenAI技术及其法规要求的步伐。大型跨国企业必须在所有不同的全球合规要求中建立基线合规立场，而小型公司可能只需要考虑少数合规要求。

AI法规的合规环境很复杂。欧盟《人工智能法案》、《欧盟数字运营弹性法案》、拟议的SEC法规以及现有和拟议的州法规都有所不同。科罗拉多州的合规要求将与纽约不同，纽约将与欧盟不同。

法规跟随创新，鉴于GenAI的快节奏，这一点尤其明显。监管方面有很多歧义，但GenAI合规性混乱应该在2025年开始解决。

DSPM和DLP在数据安全方面的融合

数据安全态势管理（DSPM）和数据丢失预防（DLP）是同一枚硬币的两面。DSPM识别和分类敏感数据，而DLP则防止数据泄露。

DSPM和DLP都有不同的目的。DSPM专注于静止数据，而DLP专注于动态数据。DSPM通常在云和本地的结构化数据存储中大放异彩，而DLP则专注于整个企业的非结构化数据。

DSPM和DLP是不同的类别，在企业内部经常有不同的组成部分，但它们开始走到一起。有些供应商收购了DSPM供应商；例如，Proofpoint收购了Normalyze，Netskope收购了Dasera。其他提供DLP产品的供应商正在添加DSPM功能——例如Zscaler和Forcepoint。有些DSPM供应商正在添加DLP来创建数据安全平台，例如Cyera收购Trail Security。

在2025年，这些合并将实现结合DLP和DSPM的单一工具。虽然这将有助于避免DLP和DSPM控制台之间的重复，但有些企业仍然会部署不同的DLP和DSPM产品来解决特定的业务挑战。在数据弹性平台与专业工具的辩论中，2024年企业战略小组的研究发现，65%的企业更喜欢与相邻区域集成的最佳工具，而33%的企业更喜欢平台。这可能会在2025年转变为50-50的分裂。

为GenAI基础设施提供数据安全

这一预测与GenAI的安全性有关系，而不是在安全产品中启用GenAI功能。

虽然在2024年影响企业的人工智能相关安全事件规模不大，但随着人工智能和GenAI企业广泛部署并开始接触更敏感的数据，这种情况将发生变化。

GenAI的安全是一个多层蛋糕。虽然很多供应商声称拥有全面的产品，但笔者看到供应商覆盖一层或多层蛋糕，而不是整个蛋糕。供应商还提供不同类别的GenAI产品，包括应用程序安全、漏洞管理和数据安全。在很多数据安全问题中，安全团队需要确保正确的数据提供给GenAI基础设施、保护GenAI模型、确保适当的护栏，并防止数据丢失，由试图操纵GenAI基础设施的不良行为者导致。这是一个复杂的GenAI生态系统，包括内部和外部模型，以及自定义模型和现成的智能助理。

数据安全技术难题的碎片已经到位。例如，DSPM帮助定位和标记通知GenAI应用程序的数据。拼图的另一块涉及解决数据泄露问题（存在于受限制和影子GenAI应用程序中），这是一项具有挑战性的任务。

在2025年，笔者预计市场将倾向于定制的以GenAI为重点的工具，以解决这一新出现的DLP问题，尽管既定的DLP工具也将发挥作用。

量子计算和量子证明加密

2025年，后量子世界的准备工作将继续向前推进。关于量子计算对现代密码学构成的加密威胁，有很多困惑——以及大量的炒作。

一台有能力的量子计算机最终可能会打破现有的密码学，但我们不知道这种威胁何时会实现。拥有资源资助和开发有能力的量子计算机的威胁者继续保持安静，以便他们能够继续收集加密数据，并随后可以解密。后量子密码学（PQC）将有助于推动研究，并鼓励开发更多量子证明算法，为未来的企业行动奠定基础。

企业了解量子计算风险，但也认识到具有量子能力的计算机构成的威胁时间的不确定性。2024年企业战略小组的研究发现，企业正在采取实际措施（例如盘点和有选择地更新基础设施）为PQC世界做准备。

在安全领域，在2025年CISO将有更多紧迫的优先事项，这些优先事项将优先于为后量子世界做准备。我预计2025年会更加相同，随着加密团队盘点其资产和算法，同时有选择地查看加密敏捷技术，以促进向抗量子基础设施的过渡，对PQC世界进行稳定的评估和准备。在PQC成为当今加密技术的更大威胁时，这种准备工作将使过渡更加顺利。

这些是我对2025年的首要预测。让我们期待看看在接下来的12个月里这些趋势会如何发展。