数据威胁报告：数字主权与转型的视角和路径

数字数据威胁威胁目录视角与路径报告AI，量子和向数字主权不断演变的网络数据威胁态势与转换 目录 0304060812141719212326293233引言执行摘要主要发现在人工智能时代，数据成主角数据安全趋势对‘Q’没有应用安全就没有数据安全降低数据泄露的一些进展内外威胁态势数据安全之产物：数字主权云开发运维进化为平台工程结论关于这项研究威胁现实与投资优先事项的对立，以及协调的必要性 引言来源：来自S&P全球市场智能451研究，受Thales委托的2025年数据威胁报告定制调查连续五年，泰利斯数据威胁报告分析了全球数据安全、云采用、合规和安全战略的趋势。2025年的报告继续审视内部脆弱性、外部威胁及其对企业资产的影响。数据威胁报告还评估了影响风险管理与数据安全的新兴和演变技术。鉴于不断发展的技术、行业、监管和风险格局，报告重申了核心数据安全原则，今年特别关注应用安全。一如既往，数据威胁报告鼓励并装备安全领导者建立跨越自身组织和合作伙伴生态系统的更强大的联盟，以实现更广泛的企业目标。 由赞助2025 泰莱士数据威胁报告 4* 为了数据威胁报告调查的目的，GenAI生态系统包括GenAI中所有供应商和技术。执行摘要2025 泰莱士数据威胁报告人工智能，特别是生成式人工智能（GenAI），一直是技术投资和运营变革的主要焦点。与人工智能相关的重大技术变革很大程度上是由于该技术对数据的严重依赖。可靠、高质量的数据对于训练、推理、增强和内容生成至关重要。随着智能体的出现，数据质量对于使能人工智能智能体做出明智的决策并采取相关行动同样至关重要。这些目的所使用的大多数数据对依赖它们的组织来说既敏感又不可或缺。这意味着，今天的技术颠覆的成功取决于确保关键数据资源的机密性、完整性和可用性。各种规模的企业都在拥抱GenAI。今年，三分之一受访者表示他们正在将GenAI整合到其组织或该技术已开始改变他们的运营。GenAI的影响可能会进一步影响演变的数据和隐私法规，强调保持机密性、可靠性和安全性的重要性。然而，以新基础设施、SaaS服务和日益自主的代理为特征的快速变化的GenAI生态系统*带来了重大风险。值得注意的是，69%的受访者指出这个快速变化的生态系统是GenAI采用的最令人担忧的安全风险。这些担忧之一是应用程序架构日益复杂，这需要提升应用程序安全性。超过三分之一的企业（34%）报告称其使用的应用程序编程接口（API）超过500个。这种泛滥引发了广泛的对代码漏洞（59%）和软件供应链漏洞（48%）的担忧。虽然“左移”安全控制是应用程序保护被提及最多的优先事项，但受访者还强调了动态应用程序安全测试（DAST）和网页应用防火墙（WAF）等基础生产控制措施。《2025数据威胁报告》基于来自20个国家、15个行业（包括金融服务、公共部门、关键基础设施和技术领域）的近3200名IT和安全专业人士的调查数据。参与者包括数据科学、安全、开发和政策制定领域的执行人员、管理人员和从业者。该报告研究当前的态度和行为，以更好地理解企业在不断变化的全球威胁格局中的优先事项。虽然通用人工智能正在加强数据安全性的关注，但仓促的实施会提高数据泄露的风险。DeepSeek在其V3版本发布后不久报告的漏洞为安全团队提供了一个警示案例。由于通用人工智能架构对于大多数安全团队来说都是新的，因此优先考虑数据安全工作至关重要。2025年结构和地缘政治变化可能会促使企业重新思考其安全战略。数据威胁报告的结果表明，组织最好专注于他们最有价值的资产：他们为利益相关者和客户收集、处理、存储和管理的那些数据。本报告检验了各种数据安全问题，并确定了减轻风险的实际方法。 注意：本文档中显示的所有图表均来自S&P全球市场情报451研究的2021-2025数据威胁定制调查。5 2025 泰利斯数据2025年数据威胁报告结果显示，在数据安全的关键领域取得了进展，但组织在成熟其数据安全控制方面仍需大量工作。必须加强努力，以安全的方式赋能GenAI活动的激增。必须解决新的和未知的风险，而减轻这些风险的工具和技术是可用的，但必须有效地迅速使用。理解数据对于有效保护数据至关重要，并且在数据分类方面有令人鼓舞的结果：87%的人报告他们可以将至少一半的数据进行分类，与往年相比这是一个显著的增长。然而，近三分之二（61%）的人使用五种或更多的工具进行数据发现和分类，这可能导致保护策略的不一致和冲突。在后量子密码学风险方面，人们有更好的共识，五分之三的受访者正在原型设计新的密码。部署时间表至关重要，但向这个过渡的早期迹象是令人乐观的。监管机构对密码学保护的关注也值得注意。当被问及数据主权担忧时，五分之一的人表示他们相信加密可以提供足够的保护以满足主权要求。为了使这一策略可行，监管机构也需要接受这种缓解措施；像新加坡数据大使馆倡议这样的发展可能表明在这方面取得了进展。架构层面的其他应用安全问题包括秘钥管理，它也是DevOps安全问题的核心。然而，尽管秘钥管理失败的高风险可能暴露认证数据，如API密钥，但只有16%的人认为秘钥管理对数据保护很重要。考虑到所报告的API数量众多，这一问题更加突出。 63%615569%Q上正是主要发现数据安全驱动数字主权追踪人工智能发展密钥分发将快速变化的生态系统视为最令人担忧的 GenAI 安全风险，其次是缺乏诚信 (64%)和可信度（57%）。组织识别出这些主要的量子计算安全威胁：未来加密妥协 未来解密当今数据，包括现收后解考虑到他们的AI实现是变革性的。被特定客户、区域性或全球隐私法规驱%的受访者正在投资GenAI特定的工具，与20% 使用新划拨的预算。称加密和密钥管理提供了充分的保护。 %%动去追求数字主权。 58%42%11%73% 24%20222025024%%8312%20212025020%55%16%数据安全趋势内外威胁态势14报告称最近发生了数据泄露。识别密钥管理被认为是最有效的保护数据方式，尽管密钥泄露具有毁灭性的影响。从云DevOps到平台工程所谓的密钥管理是DevOps安全的首要挑战。对识别其数据存储位置缺乏信心或几乎没有信心。 %83%40%60%他说强MFA的使用率超过40%。 34%59%有超过500家企业的企业使用超过500个API；在制造业受访者中，这一比例上升到50%。有百分之多少的受访者表示代码漏洞是应用安全的一个主要担忧，将其列为首选回答。应用安全：数据保护的基础 80%100% 2025 泰莱士数据威胁报告在人工智能时代，数据成主角今年的数据威胁报告比较了处于集成和转型阶段的组织与处于探索、实验和赋能阶段的组织的安全实践。有趣的是，后阶段的组织并没有体现出与早期阶段不同的安全行为。通过对安全事件发生、合规失败、多因素认证采用率、数据分类率和数据加密率的统计测试揭示，在AI旅程的后阶段中，组织的安全信念或实践没有发生明显的变化。同样地，我们发现技术选择之间没有关联。技术领导者必须将生成式人工智能与其他重大技术变革进行类比。随着应用程序在云中变得更加分布式，表现层、逻辑层和数据层分布在多个云区域或从各种第三方API或SaaS服务中获取，企业也必须考虑保护这些多样化系统的安全措施。风险必须在不同的模型层和架构之间进行传递。如果处理不当，这种复杂性可能会导致安全或合规执行不明确。例如，如果公共大型语言模型（LLM）已经包含该用户的个人信息，那么验证数据主体访问请求可能会很困难。因此，训练数据溯源已成为数据安全的重要组成部分。在短短一年内，采用速度发生了显著变化，现在三分之一的企业表示他们正处于其 GenAI 旅程的“整合”或“转型”阶段。尽管存在这些问题，组织面临着巨大的压力来提供生成式人工智能能力。采用的速度在一年内发生了显著变化，现在有三分之一的企业表示他们正处于其生成式人工智能旅程的“集成”或“转型”阶段。GenAI 转变企业的承诺令人心动，由此产生的热情正显著影响数据安全以及企业 IT 的其他领域。报告撰写、客户服务、营销、销售和法律等功能都将从中受益。例如，客户服务中的聊天机器人界面可以智能地大规模预判或解决问题，而营销团队可以为每次客户互动动态生成内容。GenAI 使知识工作者能够以前所未有的规模增强其工作，标志着生产力的潜在飞跃。 8 2025 泰莱斯数据这表明，在人工智能采用的后阶段，受访者根本没有等到他们的安全或技术部门就绪才踏上征程。进入转型的紧迫性超过了提升组织准备度。以此方式，受访者可能正在创造他们自身的最大安全风险：快速发展的生成式人工智能生态系统可能会诱使企业在害怕落后于人工智能采用曲线的情况下承担过度风险。也合理地期待安全结果与技术采用率之间几乎没有有意义的关联。拥有多个云、数百个SaaS服务或数千个API端点的复杂企业不一定有更多的合规失败或数据泄露。并且，虽然更简单的环境可能会降低安全控制验证的复杂性，但它们并不比复杂环境更安全。 10 2025 泰利斯数据威胁报告数据威胁报告受访者长期以来一直与复杂性和不确定性作斗争，包括多云IaaS、众多SaaS应用程序和数千个API端点。AI代理的潜在数量、其功能以及集成或互操作性的深度仍不可知。这种迅速增加的复杂性是调查受访者最关心的问题：69%的人将快速发展的GenAI生态系统 cited 为他们最大的安全担忧。然而，GenAI 的安全问题也提出了尚未得到广泛考虑的数据安全原则。虽然许多安全领导者历史上一直关注数据可用性和数据机密性，但他们往往很少将精力投入到数据完整性和可信度上。然而，数据完整性和可信度现在是 GenAI 的第二和第三大安全问题。在排名选择投票中，64% 的受访者表示数据完整性攻击——即攻击者可以利用错误数据对模型施加偏见或进行污染——是一个重大问题。虽然像零售和金融服务这样拥有大量金融交易的行业已经投资于欺诈检测工具以识别和纠正虚假账目记录，但非结构化数据的完整性和可信度可能比可用性或机密性更难执行。 生成式人工智能模型风险一些组织并不需要等到他们的安全或技术部门就绪才开始他们的AI之旅，因为转型需求的紧迫性超过了组织准备程度的改善。GenAI语言模型包含系统性风险，包括：模型风险会影响数据机密性、可信度和完整性。•偏差和不公平性 — 模型可以学习到偏差，这可能对输出质量产生负面影响。•模型盗窃——底层架构、内容、嵌入层、权重和度量可能被恶意获取或提取。•对抗输入——输入数据可以操控或欺骗模型以释放错误或机密输出。•输出操控 — 深伪和其他欺诈内容可以被制造以造成伤害。 5%4%5%6%7%8%5%7%11%10%14%2%4%3%6%6%6%6%5%9%8%8%13%9%6%7%6%6%5%5%8%8%6%10%7%8%05%10%15%20%25%30%35%11按投入成本划分的顶级安全技术IaaS云安全人工智能安全IAM网络安全密钥管理数据丢失防护端点安全人工智能/机器学习安全数据安全SaaS安全数据发现DevSecOps 工具排名 #1排名 #2排名 #3来源：S&P全球市场智能451研究2025年数据威胁定制调查2025 泰莱士数据威胁报告企业可能无法完全理解其生成式人工智能应用架构，而具有生成式人工智能能力的企业SaaS应用的普及和扩散进一步增加了复杂性。然而，企业必须盘点其数据，数据仍然是持久、关键且宝贵的资产。生成式人工智能应用将越来越多地依赖企业数据来支持代理式界面和交互。生成式人工智能是企业数字化转型的逻辑延伸，结合了改进的自动化，结合它的组织可能会取得更好的成果。通往生成式人工智能的道路与企业向云迁移的进程相似；适应不断变化的机会和威胁环境需要灵活性和准备就绪。作为回应，73%的受访者表示他们正使用新预算或现有预算投资于人工智能专用安全工具。投资于人工智能专用安全工具的人通常会探索多种途径：超过三分之二的人从其云服务提供商那里获得了工具，五分之一的人使用了成熟的安全供应商，大约一半的人使用了新创或初创供应商。在支出优先级方面，人工智能安全在排序投票中位居第二，仅次于云安全。 20