2025 年 8 月 27 日,國際資訊系統安全認證協會 ISC2 宣布即將舉行的 Security Congress 2025 議程重點,會議聚焦在 生成式 AI 帶來的新興威脅 與 軟體安全治理,同時強調風險管理與專業培訓的結合,這場會議不只是知識交流平台,更是一次對全球資安專業能力的重新定義,當產業面臨 AI 驅動攻擊、雲端供應鏈漏洞與法規壓力交織的時代,資安專業人士必須在技能、工具與跨域協作上全面進化。
AI 與新興威脅的挑戰
ISC2 指出,生成式 AI 已經被廣泛用於釣魚詐騙、自動化攻擊與假資訊生成,這些攻擊突破了傳統的偵測機制,讓企業更難以辨識與應對,研究案例顯示,AI 生成的釣魚郵件不僅在語言上幾近完美,還能針對特定受害者的社交行為量身打造,成功率大幅提升,這種「演算法驅動的社交工程」正快速成為新常態,因此,專業人士必須理解 AI 模型可能出現的對抗樣本風險、資料中毒問題與模型供應鏈漏洞,未來資安團隊不僅要防守網路與系統,還要具備審視 AI 模型與演算法風險的能力。
軟體供應鏈安全的迫切性
除了 AI,軟體安全與供應鏈治理同樣成為 Security Congress 2025 的核心議題,隨著 Log4j、SolarWinds 等事件成為全球震撼案例,軟體開發生命周期中的安全薄弱點被放大檢視,ISC2 強調,企業必須將資安要求從設計階段就納入開發流程,從威脅建模、代碼審查、SBOM(軟體物料清單)管理,到簽章驗證與持續整合,這些措施將成為企業能否抵擋供應鏈攻擊的關鍵,尤其在 SaaS 與多雲環境普及的背景下,任何一個第三方模組的漏洞,都可能引發跨產業的連鎖風險,這也意味著未來的資安專業人士不再只是單純的 IT 防禦者,而是整個軟體生態系的風險監管者。
專業認證與職能重塑
為了回應產業需求,ISC2 宣布同步更新多項高階證照的考綱與培訓資源,包括 ISSAP、ISSEP 與 ISSMP 等認證都將新增 AI 安全與軟體治理相關的課題,這不僅提升考試的實務性,也將專業人才的技能要求往跨域方向推進,未來的資安領導者必須能與工程、法規、隱私與營運團隊使用共同語言進行協作,舉例來說,CISO 在討論投資計畫時,不再只是要求防火牆或偵測系統,而要能量化風險暴露面、漏洞修補時間與合規缺口,並將這些數據納入企業治理報告,這種由「技術管理」轉向「風險治理」的轉變,正是 Security Congress 想要推動的核心。
產業與未來的啟示
對企業而言,Security Congress 2025 的訊息非常清楚,資安專業人才的角色將不再侷限於系統維運或漏洞修補,而是全面介入企業決策與長期規劃,隨著 AI 與雲端打散了傳統邊界,風險評估需要涵蓋更複雜的跨域因素,包括數據隱私、法規遵循與跨國營運,這將使得資安專業人士的地位進一步提升,成為數位轉型與營運韌性的核心驅動者,對政府與監管機構而言,如何協調國際標準與認證框架,避免產生市場分裂與合規衝突,也將是未來數年的重要議題。
Security Congress 2025 不僅是一場會議,更是一個全球資安專業重新定位的起點,生成式 AI、軟體供應鏈與跨域風險管理正在重塑整個資安生態,對專業人士而言,這意味著持續學習、跨領域合作與風險導向思維將成為基本能力,對企業而言,資安投資將從被動防禦轉向主動治理,唯有如此,才能在快速演變的威脅環境中保持韌性並維繫用戶信任。
📑 新聞來源