7位CIS专家对2026年网络安全的深度预测

本文汇集了7位CIS网络安全专家的2026年预测,涵盖AI安全、量子计算威胁、零信任架构、供应链攻击等关键领域,为组织应对未来网络安全挑战提供专业洞察和防御建议。

7位CIS专家的2026年网络安全预测

2025年的多项发展,包括多州信息共享与分析中心(MS-ISAC®)联邦资金的取消、网络威胁行为者持续使用人工智能以及AWS十月的服务中断等事件,为像您这样的组织创造了新的风险。这些变化改变了围绕您网络安全和合规优先事项的讨论。

面对如此多的变化,您应该把精力集中在哪里?为了给明年提供背景,我们采访了互联网安全中心(CIS®)的七位专家,了解他们对2026年网络安全的预测。以下是他们的观点。

Sean Atkinson | 首席信息安全官

AI继续主导头条和安全格局。我们将需要对特定AI应用和用例进行情境化理解,包括模型上下文协议(MCP)、代理AI和大型语言模型(LLMs),并且需要分别考虑每种技术。随着更多决策被交给这些技术,组织需要将它们评估为环境中的工具、技术和角色——每种都有其自身的风险特征。

针对关键基础设施和美国州、地方、部落和领土(SLTT)实体的集中特定威胁。这些组织面临的威胁和风险持续增长且变得更加复杂。组织需要在准备、培训和支持方面获得帮助,以应对人才短缺——同时还要在资金不足的情况下前行。

量子渗透。我们将开始更多思考量子技术的风险和影响。这将从量子安全算法开始,我们将继续观察该技术是否实现商业化。它将在2026年及以后开始渗入战略风险评估。

Don Freeley | IT服务副总裁

2026年,IT组织将需要重新关注运营安全基础,如最小权限访问策略、最小化攻击向量以及漏洞和补丁管理。对手正在使用AI将安全公告发布到野外攻击的时间 dramatically 缩短。研究表明,能够在几小时内将供应商安全更新通知反向工程为可利用代码。这意味着IT组织必须持续重新审视攻击者可以访问的内容,包括通过采用零信任原则最小化可用于利用的暴露面和攻击面。安全更新流程必须从计划的修补窗口演变为针对高严重性漏洞的CI/CD方法。

Lee Noriega | 首席安全官执行总监

网络安全运营中AI的运营化。2026年,AI将从实验性部署转变为安全运营中心(SOC)内完全运营化的组件。AI将不再局限于异常检测或日志分析;相反,它将嵌入整个事件生命周期——从威胁识别和优先级排序到自动遏制和修复。这一演变将由防御日益复杂和快速移动威胁的需求驱动,特别是在州和地方机构等资源受限的环境中。对于倡导可扩展和任务对齐的网络安全服务的人来说,这标志着一个转折点。AI将使服务提供商能够以更高的精确度、速度和成本效益提供网络安全即服务。它还将通过自动关联威胁行为者行为和加速证据收集来支持执法。然而,AI的运营化需要强大的治理框架来确保透明度、问责制和与公共信任的一致性——CIS可以通过示范引领这些领域。

以执法为中心的情报平台。2026年,网络安全格局将需要更专业的平台,使网络安全团队和执法机构之间能够实时、可操作地共享威胁情报。这些平台将超越传统的信息共享与分析中心(ISAC)模型,整合取证数据、行为分析和法律工作流程,以支持调查、起诉和协调响应工作。随着网络犯罪变得越来越跨国和技术复杂,美国SLTT机构和执法部门将需要不仅能检测威胁,还能将技术指标转化为调查线索的工具。这些平台可能包括以下功能:

  • 数字证据的链式监管跟踪
  • 威胁行为者战术、技术和程序(TTPs)与已知犯罪档案的自动关联
  • 跨管辖协作的安全渠道
  • 与国家和国际观察名单的集成

零信任成为合规要求。从2026年开始,零信任架构(ZTA)将从最佳实践转变为公共部门组织的监管要求。联邦机构已经根据行政命令实施零信任,这种压力将通过合规框架、采购要求和网络安全拨款条件级联到美国SLTT机构。这一转变将由减少系统性风险的需求驱动,特别是在遗留基础设施和分散访问模型使机构容易受到横向移动和基于身份攻击的环境中。然而,挑战将在于确保零信任不会变成打勾练习,并且零信任的采用以符合其机构运营现实的实际、可扩展的方式进行。合规性很可能通过更新的国家标准与技术研究院(NIST)框架、州级授权以及采购和审计流程的集成来衡量。

隐私和网络安全在治理模型中融合。2026年,组织,特别是公共部门的组织,将越来越多地将隐私和网络安全整合到统一的治理框架中。历史上被视为独立领域,隐私和网络安全现在被公认为相互依存;保护敏感数据既需要技术保障,也需要尊重法律、伦理和社会期望的政策驱动控制。这一融合将由几个因素驱动:

  • 来自《通用数据保护条例》(GDPR)、《加州消费者隐私法案》(CCPA)和新兴州级隐私法规的监管压力
  • 公共信任问题,特别是在执法和政府服务中
  • 运营效率,因为机构寻求简化监督并减少IT安全、法律和合规团队之间的孤岛

Randy Rose | 安全运营与情报副总裁

今年,我联系了我们的分析师团队,对他们未来一年的预期获得了一些很好的见解。这些想法的功劳属于我们安全运营和情报部门的Josh P.、Kyle L.、Casey C.和Matt N.。

跨平台活动成为常态。网络威胁行为者(CTAs)越来越多地设计可以在Windows、Linux甚至macOS上执行的有效载荷,减少了对单独代码库的需求并增加了它们的覆盖范围。我们很可能会看到更多能够通过单一活动危害混合环境的统一框架。恶意软件本身很可能还是老样子——我们仍然会讨论信息窃取器、加载器、勒索软件和间谍软件——其中许多来自熟悉的家族。但改变的是这些威胁的适应性和效率。

半自主恶意软件的兴起。我们已经看到了自动化的迹象,例如凭据盗窃、蠕虫式传播和自动有效载荷传递。例如,QakBot在整个受感染网络中使用自动化技术进行横向移动,而Lumma Stealer自动化了数据收集。虽然高效且有效,但这些威胁以及任何其他当前恶意软件都不是完全自主的……目前还不是。相反,它们是模块化的、脚本化的例程,这是朝着能够以最少(如果有的话)人工指导将这些过程链接在一起的恶意软件迈出的早期且重要的一步。这种演变可能 dramatically 缩短从初始访问到完全危害的时间。

犯罪软件即服务和AI辅助恶意软件。CTAs将尝试使用生成式AI(GenAI)和代码辅助工具来加速恶意软件开发、改进混淆或按需创建多态变体。我们很可能会在2026年看到这种情况的有限个案,而不是广泛采用,因为开发的进步仍然达不到一致的运营使用。虽然不是真正的“AI驱动恶意软件”,但这些人类操作员和AI工具之间的早期合作可能使威胁格局在特定活动中更具适应性和不可预测性。GenAI也已成为许多网络犯罪分子的巨大均衡器。过去需要特殊技能和数小时紧张努力的事情,现在可以利用任何人都可以访问的工具在几分钟内处理完毕。从自动化分析被盗数据到分析目标特征,再到创建虚假身份,再到利用GenAI的自然语言能力,网络犯罪比以往任何时候都更容易被更广泛的潜在威胁行为者接触,我们很可能会看到GenAI在犯罪软件即服务中的使用增加。

增加滥用受信任基础设施以挫败网络防御。威胁行为者越来越多地滥用受信任的云和网络服务基础设施来托管恶意资源,有效地混入合法流量并削弱防御者识别和阻止其活动的能力。对手不再依赖容易标记的IP或域名来创建检测瓶颈,而是转向信誉良好的平台——如内容交付网络和SaaS提供商——来托管凭据收集页面和其他恶意内容。托管在合法域名上的虚假登录页面可能会被迅速撤下,因此攻击者正在寻求机会,以速度和规模简单地启动新的子域名以维持持久性。这种不断的变动,结合受信任域名的使用,将继续在频率和复杂性上增长,迫使防御者更多地依赖行为指标和内容分析,而不是仅仅依赖指标。

增加对供应链攻击和其他单点故障的关注。我们已经清楚地看到对手对影响的思考方式发生了转变。他们不再满足于一次攻击一个组织。相反,他们瞄准我们数字生态系统的连接组织:软件供应商、托管服务提供商和其他单点故障。这些类型的安全事件强调了单一漏洞如何能够跨部门级联,并在数小时甚至数天内产生全球影响。预计会看到更多针对这些和其他大规模集成环境的预置攻击,这些攻击是安静、蓄意的入侵,旨在确保攻击者在下一个大规模中断机会出现时已经就位,当攻击者确定时机成熟时。

州和地方政府持续失去联邦支持增加网络和物理风险。随着网络安全联邦资金的减少和许多服务的削减,包括取消通过MS-ISAC资助运营服务的合作协议,州和地方政府正日益暴露,而对手正在加强对它们的行动。多起外国入侵市政公用事业和其他关键基础设施网络的事件强调了全球地缘政治紧张局势如何蔓延到美国的家乡。减少与联邦政府的支持和协调很可能为外国对手在我们最重要的网络中获取立足点创造更多机会。市政网络是诱人的目标,因为它们被视为防御较弱、数据丰富且对我们社会的结构至关重要。2026年可能会看到攻击焦点上升和保护能力减弱的危险汇聚,而MS-ISAC是少数有能力帮助大规模降低风险的组织之一。

GenAI LLMs从仅训练数据转向检索增强生成(RAG)模型。基于RAG的LLMs已经越来越受欢迎。虽然最新的开放LLMs不是适当的RAGs,但2026年可能会向RAG模型转变。这些模型将训练数据与外部来源结合,产生比模型自行生成更及时和相关的响应。从威胁角度来看,如果实施不仔细且那些外部知识源未受严格控制,这可能会引入模型中毒、敏感数据泄露和专有数据暴露的新风险。

Marcus Sachs | 高级副总裁,首席工程师

攻击性自主和代理AI将成为主流威胁,攻击者释放完全自动化的网络钓鱼、横向移动和漏洞利用链引擎,这些引擎需要很少或不需要人工操作员参与。

2026年是选举年,意味着深度伪造欺诈和认知攻击将激增。

运营技术(OT)和关键基础设施将经历高影响的网络事件,很可能与地缘政治冲突相关,这将最终触发对水、通信、农业和交通部门的强制性联邦网络安全标准。

云服务优先级和弹性将成为国家政策议题,在另一次重大SaaS中断影响应急或公共服务之后,加速多云和“云故障转移”架构。

Karen Sorady | MS-ISAC战略与计划副总裁

美国SLTTs将继续应对持续的资金限制——即使它们日益被要求承担更大责任,防御其管辖范围和关键基础设施免受日益增长的老练网络威胁浪潮。在这个不断演变的威胁格局中,很明显没有一个单一管辖区域能够独自应对。前进的道路需要州内、跨部门和全国同行之间更深入的协调与协作。

MS-ISAC独特地定位于作为值得信赖的合作伙伴和促进者,帮助美国SLTTs应对这些复杂挑战,并在这要求苛刻的时期加强它们的集体网络韧性。

Valecia Stocchetti | 高级网络安全工程师,CIS关键安全控制

快速增长和复杂的威胁格局。随着AI的快速发展和复杂威胁群体的汇聚,今天的网络威胁格局比以往任何时候都更加复杂。攻击者现在拥有前所未有的工具和资源访问权限,使得发起高容量、高影响的活动更加容易。例如,拒绝服务(DoS)攻击和社会工程学正在全球扩散,如Verizon的2025年数据泄露调查报告和ENISA威胁格局2025报告所强调。

与十年前不同,组织不再不知道网络防御的需求。许多组织正在响应——有些主动,有些被动——通过实施安全措施。然而,很明显这些努力往往不足。为了防御现代威胁,组织必须比以往任何时候都更快地行动,这对安全团队来说可能是 exhausting 和心理上 taxing 的。尽管如此,这些攻击短期内不会消失。

微软2025年数字防御报告强调了这一转变,指出威胁行为者活动已从单阶段演变为多阶段攻击。这对组织来说是个问题。安全程序必须预测并适应以满足它们所面临威胁的复杂性。

虽然我没有水晶球来预测明年会带来什么,但我确实知道这一点:作为CIS关键安全控制(CIS Controls®)的高级网络安全工程师,我的职责是倾听、学习并不断发展我们的CIS控制,以帮助组织防御这个不断变化的威胁格局。

法规和合规(与安全)。随着威胁格局的不断演变,法规和合规要求的浪潮也在演变。在许多方面,这是一个积极的发展。想想汽车行业。如果安全标准突然降低,我们大多数人会对开车感到焦虑。同样的原则适用于网络安全。法规有助于提高标准并鼓励组织实施基础控制。

然而,仅合规是不够的,满足监管要求只是开始。为了建立有韧性的网络安全态势,组织需要一个全面的安全框架来填补合规清单留下的空白。更重要的是,这些控制必须被主动管理。

这意味着进行定期审计、管理环境中的变化,并将网络安全视为一个持续的、不断发展的过程——而不是一次性任务。这需要 significant 资源:时间、领导层支持、工具、熟练人员以及持续评估。随着法规的增加,所有这些资源的需求也在增加。我相信组织将别无选择,只能将安全和合规结合到一个单一窗格中。

最终,贯穿整个组织的强大安全文化对于推动项目前进至关重要。这不仅仅是打勾;而是将安全嵌入业务的核心。

在2026年及以后跟上多维威胁

以上是我们认为突出的2026年网络安全预测。它们并非网络安全和合规中所有变化的全包含。如果您认为我们遗漏了什么,请在X、LinkedIn或Facebook上告诉我们。

完成这些后,您需要思考如何跟上我们在这篇博客文章中讨论的所有变化。您可以这样做的方法之一是采取主动方法来防御多维威胁。ThreatWA™可以帮助您做到这一点。它利用执法、网络安全和物理安全分析师的专长,不仅突出对您组织重要的多维威胁,还提供您可以采取的可行步骤来保卫自己。

准备好为2026年增强您的多维威胁防御态势了吗?

订阅ThreatWA

截至2025年6月23日,MS-ISAC已推出基于费用的会员资格。任何对无成本MS-ISAC服务的潜在引用不再适用。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次