2025 年網路安全意識月
建立全年皆可維持的最佳做法
20 多年來,由美國網路安全基礎架構與安全局 (CISA) 與非營利組織「國家網路安全聯盟」(National Cybersecurity Alliance) 主導的網路安全意識月活動,一直鼓勵企業深化對網路安全教育、訓練、合作與規劃的承諾。無論您的組織是在每年十月舉辦員工訓練計畫,還是撥出時間進行策略性安全研討會,一些關鍵的倡議都能對強化您抵禦最新威脅的防禦能力產生深遠影響。
今年,快速發展的技術進步使得提升安全意識與更新安全策略變得比以往更加重要。許多技�術領袖在去年底所做的預測正在逐一成真:AI 的採用持續加速,進一步推升了強化安全性與隱私權的需求。與此同時,各組織正面臨更多由 AI 驅動的威脅——從令人難以辨識的網路釣魚,到大規模的分散式阻斷服務 (DDoS) 攻擊。我們也見證了近期針對供應鏈漏洞的攻擊事件,這些攻擊已造成廣泛的影響。
因此,現在正是重新與您的員工、供應商、合作夥伴及客戶就網路安全做法進行溝通的關鍵時刻,也是重新評估您戰略規劃的重要時機。在今年的網路安全意識月以及未來,您可以透過遵循以下四項最佳做法,強化您的安全狀態,並為即時與長期威脅做好準備。
促進組織參與並提供教育
即使擁有當今所有先進的安全工具,網路安全仍然深深依賴於人員與文化。利用這段時間強調網路安全的重要性,以及每位員工在保護組織方面所肩負的責任。您的員工不僅需要具備應對特定威脅的技能,更應培養將安全思維融入日常工作的態度。
將網路釣魚教育列為首要任務。只要網路釣魚及其他社交工程手段仍然是大規模攻擊的主要途徑,員工就依然是第一道關鍵防線。而隨著如今由 AI 生成的網路釣魚電子郵件、簡訊與深度偽造影片層出不窮,員工更需要更多指導,以識別並阻止這些欺騙行為。
員工意識與教育的另一個關鍵面向,則是內部對 AI 工具與AI 智慧體的安全與負責任使用。請確保員工瞭解哪些 AI 工具及使用情境是經過授權的,以及如何避免將敏感資料暴露給 AI 模型。
在 Cloudflare,我們很幸運地將網路安全作為業務的核心要素,因此它早已是員工心中的首要考量。但我們仍執行多項計畫,旨在進一步提升安全意識、提供教育,並增強大家對整體網路安全工作的參與度。
訓練:我們每年十月都會舉辦年度(且為強制性)員工隱私權與安全意識訓練。每年我們都會製作新的課程,結合簡短的教育影片、互動式練習與小測驗。我們也會納入近期的真實案例,從實際網路釣魚攻擊的螢幕截取畫面,到對大規模攻擊的討論,以更具體的方式展示威脅。
非正式教育:我們透過內部通訊及全公司會議上的簡報,經常分享團隊在強化安全方面的最新舉措——包括「零號客戶」專案,也就是我們在向客戶推出新功能之前,先在公司內部進行測試。我們也舉辦非正式的實體與線上討論活動,例如由我們的威脅情報團隊主導的「午��餐學習」小聚會,一起探討新興威脅與趨勢。
桌面演練:Cloudflare 安全團隊全年都會根據威脅情報進行「桌面」演練。這些針對攻擊和其他安全事件的模擬有助於確保我們制定最佳策略來維持韌性。
透過所有這些活動,我們運用了透過全球網路所收集的即時威脅情報。我們也納入了內部安全事件應變團隊所彙整的年度重大事件資訊。接著,我們會免費與所有組織分享新的情報與洞察——無論他們是否為 Cloudflare 的客戶。
與客戶和廠商協同合作
在網路安全方面,沒有任何組織可以獨善其身。除了訓練員工、強化內部安全文化之外,您還需要持續與合作夥伴及供應商合作,確保能充分利用最新技術,並實施最佳做法,以應對快速演變的威脅。網路安全意識月正是一個重新與這個合作夥伴與供應商生態系統建立連結的好時機。
無論您所屬的產業為何,花時間與客戶會面,瞭解他們的安全疑慮,有助於您更好地保護他們的資料並維持信任。不妨在網路安全意識月期間主動聯繫客戶,徵求他們的意見,並討論您在威脅環境中所觀察到的共同趨勢。
社群合作一直是 Cloudflare 致力於打造更美好網際網路的使命核心��,而且,我們的合作努力並不限於十月。Cloudflare 參與了各式各樣的產業聯盟與合作計畫,以主動識別並抵禦新興威脅。當我們發現令人擔憂的趨勢或遭遇新型態的攻擊時,我們會發布資訊與簡報,協助所有組織加強防護。當然,我們也會在我們的服務中開發新功能,以填補任何安全缺口。
舉例來說,最近發生的 Salesloft 安全事件同時影響了 Cloudflare 與我們的客戶,促使我們強化 SaaS 應用程式之間的連線安全性。我們目前正在努力透過單一代理來整合 SaaS 連線,讓組織能更妥善地監控連線狀況,並及時偵測與回應攻擊。
我們也透過諸如 Galileo 計畫(旨在保護公共利益組織)與 Cybersafe Schools 專案(為美國小型 K–12 學區提供免費工具)等倡議,積極為社群做貢獻。透過這些以及其他Cloudflare 社會影響力專案,我們持續支援那些通常無法投資最先進網路安全技術的領域組織。
近期規劃
利用網路安全意識月重新檢視您近期的安全規劃。確保您已為今年及明年可能影響您組織的新威脅做好充分準備。
首先,善用免費工具來幫助您掌握網際網路環境中正在形成的新趨勢。例如,機器驅動流量與自發機器人活動的增加,意味著更大規模、更精密的威脅(包括大型 DDoS 攻擊與多媒介攻擊)即將出現。瞭解惡意流量的轉變趨勢,將有助於您決定如何優先安排網路安全工作與資源配置。
由於 Cloudflare 能夠觀察到全球 20% 的網際網路流量,我們對網際網路的變化與新興威脅擁有獨特的洞察力。我們提供 Cloudflare Radar 這項免費服務,提供資料與見解,協助您為下一波攻擊做好規劃。例如,Radar 觀察到 DDoS 攻擊年增率達 358%,這應促使各組織加強 DDoS 防護。
與此同時,我們提供由 AI 與機器學習驅動的安全功能,包括 DDoS 防護與網頁應用程式防火牆 (WAF) 防護,協助減輕團隊在應對這些快速出現的威脅時的負擔。例如,我們會部署緊急 WAF 規則,保護組織免受零時差漏洞的侵害,讓您的團隊有更多時間修補環境,並能專注處理其他威脅。
長遠思考
雖然短期威脅應列為當前首要任務,但網路安全意識月也是評估長期規劃的重要時機。您可以利用這段時間啟動多年期的計畫,旨在安全地導入新技術,並為組織抵禦未來的威脅做好準備。
舉例來說,隨著您的組織持續開發 AI 應用程式與 AI 智慧體,實施模型上下文通訊協定 (MCP) 可以協助您有效且安全地連接大型語言模型 (LLM) 之外的資料來源。您也可以開始導入更全面的安全措施,以保障 AI 應用程式與智慧體在其整個生命週期中的安全。
現在開始導入後量子加密 (PQC) 也絕不嫌早。雖然距離網路犯罪分子能夠利用量子電腦破解現行加密標準可能還有好幾年,但他們現在已經開始蒐集敏感資料,以便日後解密。您越早啟動一項多年的 PQC 專案,就能越快抵禦量子時代之前與之後的威脅。
Cloudflare 提供了一系列服務,可協助您啟動這些長期專案。例如,您現在可以輕鬆地在 Cloudflare 上建置一個遠端 MCP 伺服器。此外,Cloudflare AI Security Suite 提供了一個統一平台,可在整個 AI 生命週期中保護 AI 應用程式、智慧體與 MCP 伺服器部署。而 Cloudflare 也能協助您順利過渡至後量子加密。
確保持續進行宣導與教育
一年一度的網路安全意識月活動僅持續到十月底。但當然,網路安全意識、訓練、合作與規劃等工作,不僅可以、也應該延續到該月份的最後一天之後。
將安全訓練作為新進員工入職流程的重要環節。及時與所有員工分享新興威��脅的相關洞察。同樣地,與客戶持續就安全議題進行討論,並不斷微調您的安全策略。建立全年持續、可持續的流程,將有助於強化您組織未來的防禦能力。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其中之一。
深入探討這個主題。
請閱讀《2025 年 Cloudflare 趨勢觀察報告:大規模韌性》,進一步瞭解需要調整網路安全規劃的最新威脅和趨勢。
作者
Rohit Chenna Reddy — @crohitreddy
安全策略與資安長幕僚長
Jordan Lilly — @jlillss
資安長高階安全合作
重點
閱讀本文後,您將能夠瞭解:
在 AI 驅動的世界中,提升網路安全意識為何至關重要
提高網路安全意識、教育、協作和規劃的四種最佳做法
如何將計畫擴展到網路安全意識月之後