身份攻击引领网络安全关切，AI威胁上升与零信任采用滞后

根据Keeper Security在2025年欧洲信息安全大会上进行的最新调查，身份攻击已成为组织在未来一年中的首要网络安全关切。这家领先的零信任和零知识特权访问管理（PAM）软件提供商发现，近四分之一（23%）的网络安全专业人士将钓鱼攻击、凭据填充和其他身份针对性战术列为可能导致重大漏洞的最可能原因——这凸显了AI驱动的漏洞利用与访问控制不足之间日益增长的交集。

零信任成熟度与AI威胁准备度之间存在扩大差距

数据还暴露了零信任成熟度与AI威胁准备度之间不断扩大的差距。在零信任实施效果显著的组织中，一半的受访者表示他们对自己管理AI威胁的能力完全或部分有信心。相比之下，几乎没有或根本没有零信任控制的组织报告的信心水平显著较低。

Keeper在会议上对160名网络安全专业人士进行的调查揭示了一个处于压力之下的行业：身份驱动的风险正在上升，而组织正在努力应对防御AI生成的钓鱼攻击、深度伪造和自动化漏洞利用的现实。尽管AI有前景，但大多数专业人士对其准备情况并不自信——只有12%的人表示他们的组织已完全准备好处理AI增强的攻击，而超过一半的人表示不确定或怀疑。

AI也被视为潜在解决方案

然而，AI也被视为潜在的解决方案。超过一半的受访者（53%）表示，AI驱动的身份验证和认证将是未来三到五年内最具变革性的技术，超越传统密码解决方案和抗量子加密。

零信任采用仍然缓慢

虽然零信任被广泛认为是战略要务，但实际采用仍然缓慢。只有18%的受访者报告了高效的零信任实施。近一半（44%）的人表示他们尚未开始实施零信任，或者认为这与他们的组织无关。常见的障碍包括预算限制、高管支持以及在现有系统中集成零信任框架的复杂性。没有这些控制，身份和访问管理中的差距仍然存在——使组织容易受到权限提升、内部威胁和账户接管的影响。

调查还揭示了常见的PAM失败

最常被引用的错误包括：

• 未能强制执行多因素认证（MFA）– 43%
• 授予过多权限– 35%
• 不再需要时未撤销访问权限– 34%
• 对特权账户缺乏可见性– 30%
• 缺乏专用的PAM工具– 37%

这些不足通常因第三方访问风险（35%）和不良审计实践（30%）而加剧。

对AI风险的观点分歧

虽然超过一半（53%）的人认为媒体过度炒作AI风险，但网络安全专业人士持更为务实的观点。只有24%的人认为行业夸大了危险，许多人承认AI增强攻击的真实威胁——尤其是在身份安全薄弱时。最终用户中，42%的人认为AI威胁被夸大，但相当一部分（32%）仍未决定，表明需要更多的意识和教育。

Keeper Security的首席执行官兼联合创始人Darren Guccione表示：“2025年欧洲信息安全大会的发现强化了我们日常所见——AI正在重塑威胁格局，身份攻击正变得更加精确、可扩展和具有破坏性。未采用零信任和强特权访问控制的组织在保护和信心方面都在落后。”

以下是详细报告发现的完整信息图： 2025年网络安全实践信息图