专家指出，随着人工智能（AI）和机器身份极大地重塑了威胁格局，身份安全将成为2025年网络安全的基石。

　　非人类身份的数量已远超人类身份，攻击者越来越多地瞄准基于身份的漏洞来突破系统、访问敏感数据，并在网络中横向移动。

　　为应对这些日益严峻的威胁，专家强调应采用无密码解决方案、多因素验证和机器身份安全计划。这些主动措施将定义数字防御的下一阶段，并确保组织在不断演变的网络安全风险时代维持信任。

　　SC Media就2025年身份安全的话题采访了众多网络安全专家。以下是关于未来一年身份安全的广泛见解。此外，SC Media的Paul Wagenseil还采访了身份与访问管理公司Okta，该公司也分享了其对2025年的安全预测。

　　美国运通数字实验室执行副总裁兼负责人Luke Gebb表示，通行密钥将推动数据隐私的未来：

　　从传统密码向通行密钥技术的过渡将在电信、金融科技到主要技术平台等各行各业加速进行。随着金融行业及其他领域的安全漏洞持续且日益产生影响，通行密钥作为保护敏感数据的安全解决方案将得到广泛应用。这一无密码的未来将提升数据隐私，成为寻求维持客户信任同时确保数据保护合规性的公司的关键优先事项。

　　IBM安全产品管理执行总监Wes Gyure表示，随着混合云和应用现代化计划的推进，企业对身份的看法将继续转变：

　　认识到身份已成为新的安全边界，企业将继续向“身份优先”战略转变，管理和保障对应用及关键数据（包括生成式人工智能模型）的访问。2025年，这一战略的一个基本组成部分是构建一个有效的身份架构，即一套与产品无关的身份工具和服务集成系统。如果构建得当，这将为安全专业人员带来极大的慰藉，从而控制多云环境激增和身份解决方案分散所造成的混乱和风险。

　　Obsidian首席产品官Glenn Chisholm表示，身份将越来越多地受到攻击：

　　历史上，攻击者通过终端获得对网络的初步访问权限；这些设备的数量和多样性使其成为首要目标。但数据已不再存储于此。随着这些威胁行为者将攻击重点和注意力转向收益最大的地方——基于云的SaaS和PaaS应用中的数据，我认为身份将成为越来越频繁的攻击点。

　　在过去六个月中发生的SaaS漏洞事件多于过去两年的总和；而这些漏洞事件通常基于身份的攻击。通过单点登录（SSO），一旦身份被盗用，攻击者便可使用该凭据及其权限横向移动，并通过连接的服务访问更多数据。这是一次大规模的收获，使得攻击者所能获得的每个身份都更具价值。

　　关键收获是，下一波威胁将针对您的SaaS身份，因为其与SSO相结合，可实现无阻碍的横向移动。

　　Lookout美国公共部门首席技术官Jim Coyle表示，各机构将承认其数据身份危机：

　　政府目前正面临身份危机。各机构在了解其所拥有的敏感数据、数据的存储位置、谁有权访问数据以及哪些安全控制措施在保护数据方面遇到困难。2025年，国防部和联邦首席信息官将发布指导意见，为各机构提供基于其掌握的新信息和安全控制措施的最 佳实践。

　　对与移动身份相关的安全风险进行持续教育也将使政府整体对此有更全面的了解。不幸的是，政府内部仍有部分人认为，如果移动工作负载被隔离，那么即使遭到入侵也不会受到任何影响。但实际上，传统的商业监控无法阻止截图、数据外泄或员工移动设备被入侵等情况。

　　AuditBoard首席信息安全官Richard Marcus表示，公司将向更多供应商施压，要求其采用无密码身份验证：

　　鉴于近期软件供应链遭到入侵，安全负责人将在2025年期间推动第三方供应商采用无密码身份验证，以降低风险。我们已在银行、社交媒体等消费者领域看到无密码身份验证的采用率不断增长，但企业尚未采取这一举措。如今，我们拥有一系列技术来使其变得简单易行——符合FIDO2标准的通行密钥、生物特征身份验证（如面部识别和指纹识别），当然，还有安全的单点登录（SSO）。这些方法将开始成为所有企业间交互的标准。这一转变将意味着密码被盗事件减少，以及与供应链和供应商生态系统中使用的工具的集成度提高。

　　Anetac联合创始人兼首席执行官蒂姆·伊兹（Tim Eades）表示，法规将重新定义身份：

　　随着身份安全领域的不断发展，监管机构将不得不放弃传统上人与机器身份之间的界限。在Anetac，我们目睹了一个严峻的现实：对于每一个人类账户，都有40个相关联的非人类账户。很快，令牌、服务账户和应用程序接口（API）都将被视为一个需要统一保护的单一身份实体的一部分。这一转变反映了汽车安全领域的演变——虽然安全带在20世纪50年代就已存在，但强制使用却是很久之后的事情。我们正处于身份安全领域的这一转折点，风险投资家也已经开始据此调整他们的投资。

　　HYPR联合创始人兼首席执行官波扬·西米奇（Bojan Simic）表示，组织需要不断推进其身份验证和安全策略，这一趋势将持续到2025年（甚至更久）：

　　随着组织面临的数字环境日益险恶，创新、适应和加强身份安全的呼声从未如此迫切。网络威胁日益复杂，需要强大而全面的身份认证解决方案，包括多因素认证、风险监控和自适应验证——这些共同构成了多因素验证（MFV）。

　　MFV的关键优势在于它能够验证人，而不仅仅是账户。作为保护组织及其客户的主要方法，MFV正迅速获得市场认可。例如，我们认为，公司将继续在招聘和雇佣过程中采用“了解你的员工”（Know Your Employee）方法，从面试阶段一直延续到入职阶段，确保新员工确为其所声称之人。

　　我们预测，随着人工智能既助力又挑战网络安全工作，凭证滥用现象增多，密码时代将进一步衰落。我们的研究表明了一个严峻的现实：69%的数据泄露源于认证方法不足，而高达78%的组织曾遭受基于身份的攻击。这一令人担忧的趋势凸显出当前基于身份的工具在防御新型复杂攻击方面的不足。整合平台并采用通行密钥和生物特征验证至关重要。

　　随着网络安全问题日益严峻，信任变得至关重要。公司必须采用多因素验证、自适应认证和身份核实方法来确保身份保护。

　　机器身份遭受攻击

　　Orca Security云威胁研究团队负责人巴尔·卡杜里（Bar Kaduri）表示，攻击者将针对非人类身份（NHI）发起攻击：

　　非人类身份在云计算中发挥着至关重要的作用。它们通过使数字身份能够在云环境中获得所需的机器对机器访问和权限，从而助力关键应用程序的高效运行。非人类身份有多种形式，包括身份与访问管理（IAM）实体、API密钥、令牌和凭证。它们支持云操作，如资源配置、访问敏感数据以及与第三方API交互。到2025年，攻击者将把非人类身份作为首要目标，寻找泄露的身份或试图操纵已知服务和供应链服务以破坏非人类身份。

　　Venafi新兴技术副总裁西塔拉姆·艾耶（Sitaram Iyer）表示，机器身份为攻击者提供了更多利用弱点的机会：

　　从物联网设备到服务器，甚至在其上运行的工作负载，所有机器都需要独特的身份。这些身份与人类凭证一样，一旦遭到黑客攻击，就会暴露关键信息。目前，机器身份的数量已是人类身份的45倍[cyberark.com]，并且这一差距预计还将扩大，很快将达到100倍。如果这些身份不能在不同环境中得到持续保护，那么被利用的风险就会增加，从而为攻击者提供更多利用弱点的机会。

　　例如，攻击者只需破坏一个依赖机器身份的服务账户，就可以直接访问敏感资源，通常还能获得特权访问权限，从而允许攻击者在云基础设施中横向移动。随着我们进入新的一年，这种利用机器身份进行未授权访问的能力将驱使对手更加专注于云原生环境。成功攻击机器身份可为攻击者提供一条通往管理员级别控制的明确路径，从而能够实施从数据盗窃到接管或关闭关键业务服务等一切行为。

　　Venafi首席创新官凯文·博塞克（Kevin Bocek）表示，到2025年，机器身份安全团队将成为前瞻性思维企业的常态：

　　明年，机器身份安全将成为一个独立的定义类别，而不是被笼统地归入更广泛的身份项目中。首席信息安全官（CISO）现在明白，需要有人类和机器身份项目，现在人们和组织都将发生变化。

　　这一转变是由多个因素推动的。攻击者越来越关注机器身份，特别是在云原生和开发环境中。例如，IntelBroker等团体最近声称正在出售从思科和诺基亚窃取的机器身份和开发人员资产。与此同时，云原生技术和人工智能的快速采用正在加剧TLS和SPIFFE等身份在关键系统中创建和部署的复杂性和速度。

　　同时，机器身份领域正在发生变化。机器身份生命周期的缩短使得管理变得更加苛刻，而量子加密的兴起正在促使组织考虑其量子后时代的准备情况。此外，数量的庞大也加剧了这一挑战：目前，机器身份的数量已是人类身份的45倍，并且这一差距预计还将扩大，很快将达到100倍。

　　为了应对这些变化，前瞻性的公司已经通过创建专门的机器身份安全计划来正式化他们的应对措施。随着这些挑战变得更加严峻，我们将看到更多公司效仿，开发全面、自动化的机器身份安全计划，以更好地应对当今和未来的挑战。而那些没有这样做的公司，将随着机器身份领域的动荡，而面临日常中断和安全事件。

　　数据保护日益重要

　　PreVeil联合创始人桑吉夫·维尔马（Sanjeev Verma）表示，供应链将遭遇未经筛选的数据访问的冲击，推动企业优先解决新旧风险：

　　供应链与未经筛选的数据访问相碰撞，推动企业优先解决新旧风险。在未来几年，我们将看到更多与关键基础设施相关的供应链泄露事件，这些事件很可能是由小型第三方IT或OT供应商产品漏洞导致的。威胁行为者正在改变其战术，从较小的合作伙伴供应商向上游渗透，企业需要关注引入更广泛攻击面的新兴杠杆和压力点。虽然数据访问看似是一个容易防御的点，但现实是风险向量在不断变化，需要正确的数据安全策略和政策来保护。到2025年及以后，数据访问将成为企业防御的首要优先级。

　　另一起重大数据泄露事件将凸显端到端加密的迫切需求：在Salt Typhoon电信泄露事件的破坏性之后，另一起重大泄露事件将暴露传统安全系统在保护受控非密级信息（CUI）方面的局限性。这一事件将使端到端加密成为政府和私营行业安全解决方案的关键选择标准，加速从传统基于边界的安全方法向其他方法的转变。

　　Rubrik联合创始人兼首席技术官（CTO）阿文德·尼斯拉卡希亚普（Arvind Nithrakashyap）表示，数据安全将是生成式人工智能（AI）采用的核心：

　　展望2025年，在关于生成式人工智能的采用和演变的讨论中，一个关键因素脱颖而出：数据安全。由于生成式AI模型需要大量数据来学习和生成内容，因此确保这些数据的隐私性、机密性和完整性变得至关重要。能够提供强大数据安全措施的公司将获得竞争优势，从而在用户和合作伙伴中建立更大的信任。这种信任会转化为市场份额，因为企业和消费者更有可能与优先考虑数据保护的AI解决方案合作，这符合欧盟人工智能法案（EU AI Act）、通用数据保护条例（GDPR）或加州消费者隐私法案（CCPA）等严格法规的要求。

　　因此，数据安全不仅是生成式AI的障碍，更是其驱动力。随着企业和消费者都对AI的能力和安全性提出更高要求，生成式AI的未来看起来与数据保护技术的进步越来越紧密相连。到2025年，我们预测数据安全不仅将成为AI行业成功的基准，还将成为行业和消费者信任及广泛采用AI的决定性因素。