Akamai《2025防御者指南》：构建未来网络安全的战略蓝图

李昇Akamai副总裁暨大中华区总经理。Akamai

2025年，数码转型将迈入新阶段，但随之而来的网络安全威胁也在不断升级，企业将面临数码转型的深化与网络安全威胁的升级双重挑战。

Akamai近期发布的《2025防御者指南》报告（以下简称「报告」）指出未来网络安全的四大核心挑战，并提出了一套「四步防御体系」的方法论。这份报告的价值不仅在于其技术洞察，更在于它将安全性原则从「被动应对」推向「主动免疫」的思维转变。
 
网络安全挑战的缩影与启示

亚太及日本地区（APJ）因其经济增速快、数码化程度差异大，成为网络攻击的“重灾区”。根据报告数据，2023年APJ地区遭受的Web应用DDoS攻击数量激增五倍，位居全球第二，其根本原因在于分散性监管与攻击激增的双重压力。

监管分散化：从新加坡的严格法遵到印尼等新兴市场的政策空白，区域内缺乏统一的安全标准和网络安全监管机构，导致企业安全水准两极分化。Akamai数据显示，2023年APJ地区因监管不足导致的漏洞利用事件占比高达35%。

攻击复杂化：2024年APJ成为全球第二大Web应用DDoS攻击目标，攻击量较2023年成长了五倍。有个典型的案例是，2023年某电商平台因API界面漏洞遭受持续DDoS攻击，导致服务瘫痪12小时，直接损失超2亿美元。

企业加速采用云端运算、容器化（如Kubernetes）和API技术，但安全投入滞后，导致攻击手段的不断进化而造成的网络安全威胁，成为数码转型的“安全负债”。

报告指出，APJ地区70%的企业在容器化部署中未实施运行时保护，导致命令注入攻击激增30%。这种「技术先行，安全后补」的模式，正在成为新型攻击的温床。
 
核心洞察：从风险管理到架构革新

风险管理：量化漏洞，动态决策：报告提出的风险评分模型是核心创新之一。该模型通过评估应用程序的重要性、网络复杂性和遭受入侵可能性，为企业提供量化的漏洞优先顺序。报告还提出了一些相关建议，包括端点影响分析、分段策略以及减轻内部和外部风险的方法，以及威胁的实用步骤，包括补丁管理和员工培训。

网络架构：破解VPN滥用与XSS攻击：Akamai研究发现，60%的VPN设备因未及时更新固件成为APT攻击跳板。报告建议采用安全LDAP协议、自订加密和固件更新，但企业需权衡成本与效益。

报告表明企业迫切需要采取分层防御措施来解决在处理使用者输入信息的过程中可能存在的漏洞。

主机安全：容器化环境的「隐形战场」

Kubernetes的普及带来了效率提升，但也暴露了新的风险。报告分析的六大漏洞中，CVE-2023-2725（权限提升漏洞）和CVE-2024-1088（命令注入漏洞）最为致命。Akamai建议：

主动补丁管理：采用自动化工具扫描镜像漏洞，例如某云服务商通过整合Aqua Security，将补丁部署周期从7天缩短至4小时。

运行时保护：部署RASP（运行时应用自我保护）工具，实时拦截恶意行为。
 
四步防御体系：从单点防护到深度协同

报告提出了一套「基础加固-分层防御-重点保护-快速回应」的四步方法论，这并非简单的技术堆砌，而是通过流程优化实现防御效能的指数级提升。

第一步：全面夯实安全基础—定期更新系统、强化存取控制、记录完整日志，并严格遵循安全最佳实践。这些基础措施是任何可靠安全性原则的核心。通过这些简单但有效的操作，可以轻松「拒绝」大量网络攻击的「邀请」，无需额外投入精力，就能阻止大部分潜在威胁。

第二步：构建多层次安全防护—在基础安全措施之上，进一步叠加多层防护。部署 Web 应用防火墙 (WAF)、API 安全保护以及分散式拒绝服务 (DDoS) 防护等工具。将这些防护措施持续应用于各个环节，打造强大的深度防御体系，从而抵御并化解各种复杂的网络威胁。

第三步：聚焦关键业务服务—优先识别和保护企业的核心资产。这些资产一旦遭到破坏，可能对营运、声誉或财务造成严重影响。确保这些关键系统和数据始终处于最高级别的安全防护之下，并为其分配额外的资源和保护措施。

第四步：建立应急回应团队—确保有一支值得信赖的应急回应团队或合作夥伴随时待命。面对不可避免的网络安全事件时，快速回应和有效处理至关重要。这支团队能够帮助企业在危机中迅速恢复，尽量减少损害，并尽快恢复正常营运。

Akamai副总裁暨大中华区总经理李昇表示：以上旨在提醒 CISO 注意，将研究纳入其整体网络策略非常重要。通过对攻击进行研究并获取先进的技术分析数据，能够为人员、流程和技术提供指导，从而帮助企业在日益复杂的数码环境中规避风险。
 
2025网络安全趋势：防御体系的「三极进化」

通过对报告的核心观点剖析，并结合产业趋势，我们也对未来网络安全风险及防御趋势提出了一些观点。

技术趋势：AI驱动与零信任架构普及。AI与机器学习的深度应用：AI将用于威胁狩猎、行为分析和自动化回应。生成式AI（如ChatGPT）被用于制作钓鱼邮件和恶意程序码，这将迫使企业升级检测技术。

零信任架构（ZTA）成为标配：基于「永不信任，持续验证」的原则，企业将逐步淘汰传统VPN，转而采用微隔离、动态存取控制等技术。SASE（安全浏览服务边缘）：整合SD-WAN与云安全服务，成为分散式企业的首选架构。

云原生安全工具爆发：随着Kubernetes的普及，针对容器的运行时保护（RASP）和镜像扫描工具需求激增。

管理趋势：从法遵驱动到风险优先—风险量化模型兴起：例如Akamai提出的「风险评分模型」，动态评估应用程序的重要性与漏洞优先顺序，优化资源配置。员工培训的常态化：针对钓鱼攻击和社会工程学，多数CISO将计划安全意识培训频率从每年一次提升至每季度一次。协力厂商风险管理（TPRM）强化：供应链攻击倒逼企业加强对供应商的安全审计，例如强制要求ISO 27001认证。

法规趋势：全球监管的「收紧风暴」—APJ地区：新加坡《网络安全法案》修订、印度《个人数据保护法》生效，推动企业从法遵检查转向持续法遵。欧盟：NIS 2指令要求关键产业企业实现实时威胁共享，与Akamai宣导的研究驱动策略不谋而合。
 
结语：从防御者指南到防御者移动

2025年将是网络安全的分水岭：攻击者利用AI和自动化工具发动更精准的打击，而防御者必须从「被动救火」转向「主动免疫」。Akamai的报告为这一转型提供了切实可行的架构，但其真正价值在于唤醒企业，安全不是成本，而是生存与成长的基石。

未来，企业若想在这场不对称战争中生存，唯有将技术、人才与流程深度协同，方能在数码化的洪流中构筑起一道“攻不破、打不垮”的智能防线。