「AI與量子威脅成企業資安首要挑戰!泰雷茲報告解析2025年關鍵風險與防禦策略」
圖靈學院
科楠
2025-5-27
引言
隨著人工智慧(AI)與量子計算技術的快速發展,企業正面臨前所未有的資安威脅。根據泰雷茲(Thales)最新發佈的《2025年數據威脅報告》,近70%的企業將AI生態系統的快速演進視為生成式AI應用的最大安全風險,而量子計算的潛在解密能力也讓60%的企業擔憂現有加密技術的未來安全性。
本篇文章將深入探討泰雷茲報告的核心發現,分析AI與量子技術如何重塑資安威脅格局,並提供企業應對這些挑戰的關鍵策略。
一、生成式AI的快速發展:機遇與風險並存
1. 企業加速採用生成式AI,但安全防護未同步
泰雷茲報告指出,生成式AI已從實驗階段進入實際業務部署,33%的企業正在積極整合該技術以優化營運。然而,這種快速採納也帶來顯著風險:
- 數據完整性與可信度問題:64%的企業擔憂AI生成內容的準確性,57%則對系統的可信度存疑。
- 安全漏洞擴大:許多企業在未完全加固系統的情況下部署AI,導致潛在攻擊面增加。
2. AI驅動的攻擊手法升級
AI不僅改變企業運營模式,也讓網路攻擊變得更智慧化:
- 惡意爬蟲流量激增:2024年,自動化惡意爬蟲流量首次超越正常流量,佔全球網路流量的51%,其中37%為惡意活動。
- AI優化攻擊策略:攻擊者利用AI分析失敗案例,改進技術以規避偵測,例如「爬蟲即服務」(BaaS)生態系統的興起。
3. 企業如何強化AI安全防護?
報告顯示,73%的企業正投資AI專用安全工具,主要策略包括:
- 採用雲端供應商的安全方案(67%)
- 與傳統資安廠商合作(60%)
- 導入新創公司的創新技術(48%)
二、量子計算威脅:加密技術的「未來定時炸彈」
1. 量子計算將如何衝擊現有加密機制?
量子計算的突破可能讓現行加密演算法(如RSA、AES)在短時間內被破解,企業最擔憂的三大風險包括:
- 未來加密機制被破解(63%)
- 金鑰分發漏洞(61%)
- 「先竊取,後解密」(HNDL)攻擊(58%)
2. 企業的後量子密碼學(PQC)準備情況
面對量子威脅,企業正積極評估應對措施:
- 60% 進行PQC原型設計或評估
- 僅33% 信任電信或雲端供應商管理轉型
然而,泰雷茲警告,由於舊系統複雜性及創新與安全的平衡挑戰,加密技術的升級進度仍落後於預期。
3. 全球政府與企業的行動
各國已開始推動後量子加密標準,例如:
- 美國NIST 於2024年正式發佈首個PQC標準。
- 英國NCSC 設定2035年為全面遷移至PQC的最後期限。
企業如HSBC、Google和Vodafone也已開始測試量子安全解決方案,例如量子安全數位簽章和通訊加密。
三、其他關鍵資安趨勢:惡意軟體、供應鏈風險與合規挑戰
1. 攻擊手法演變:惡意軟體與釣魚攻擊主導
- 惡意軟體 自2021年以來持續位居攻擊類型首位。
- 釣魚攻擊 超越勒索軟體,成為第二大威脅。
- 外部威脅來源 中,駭客行動分子(hacktivists)最受關注,其次是國家支持的攻擊者。
2. 雲端資料安全隱憂
儘管企業加速遷移至雲端,但僅40%的敏感資料有加密保護,低於2022年的50%,顯示安全管理出現倒退。泰雷茲建議企業應將資料與加密金鑰分開管理,並採用集中式金鑰管理平台(如CipherTrust)以強化防護。
3. 合規與供應鏈安全壓力增加
- 68% 企業認為「先竊取,後解密」攻擊是推動PQC採用的主因。
- FIPS 140-3 認證 成為新標準,Thales Luna HSM 成為首款通過 Level 3 驗證的硬體安全模組,支援後量子加密演算法。
四、企業應對策略:從AI防護到量子安全遷移
1. 建立AI資安治理框架
- 實施專用AI安全工具,如異常檢測與行為分析。
- 強化數據完整性監控,確保AI模型的訓練資料可信。
2. 啟動量子安全準備計畫
- 評估加密資產的「保鮮期」(shelf-life),並計算遷移所需時間。
- 優先保護高價值長期數據,如醫療紀錄、金融交易和政府機密。
3. 提升雲端與供應鏈安全
- 採用零信任架構,減少內部與外部威脅的攻擊面。
- 選擇符合FIPS 140-3 或NIST PQC標準的解決方案。
結論:資安新時代的挑戰與機會
AI與量子技術的發展為企業帶來創新動能,但也伴隨著前所未有的資安風險。泰雷茲報告強調,企業必須在快速採納新技術的同時,同步強化安全防護,並提前佈局後量子加密遷移計畫。
未來幾年,資安戰場將不再只是傳統的惡意軟體與釣魚攻擊,而是AI驅動的智慧威脅與量子計算的潛在解密能力。唯有透過技術創新、跨部門協作與全球標準的建立,企業才能在這個快速變化的數位時代中站穩腳步。
延伸閱讀:
- 《2025年泰雷茲數據威脅報告》完整內容
- 量子安全加密的全球趨勢與挑戰
