文章核心观点 Zscaler发布2025 VPN风险报告，指出VPN服务存在安全、用户体验和运营挑战，企业应向零信任架构转型以降低安全风险 [1] 关键发现 - 维护安全和合规是企业使用VPN面临的最大挑战，占比56% [1] - 92%的受访者担心未修复的VPN漏洞会导致勒索软件攻击 [1][4][7] - 65%的组织计划在一年内更换VPN，81%计划实施零信任战略 [1][7][13] VPN成为企业网络负担 - VPN因特权访问、漏洞和攻击面扩大，使企业IT资产和敏感数据暴露，且与零信任架构相悖 [2] - VPN性能慢、连接问题频繁、维护复杂，阻碍运营效率，增加IT团队负担，影响员工生产力 [2] 安全和可用性问题 - 安全和合规风险是VPN面临的首要挑战，占比54%，表明VPN应对网络威胁能力不足 [3] - 网络犯罪分子利用AI识别VPN漏洞，使攻击任务时间大幅缩短 [3] - 外国网络间谍组织利用VPN漏洞入侵企业网络，凸显向零信任架构转型的紧迫性 [4] VPN关键可扫描漏洞增加 - 2020 - 2025年VPN常见漏洞和披露（CVEs）数据显示，样本期内VPN CVEs增长82.5% [10] - 过去一年约60%的漏洞CVSS评分高或关键，远程代码执行（RCE）漏洞最为普遍 [10] 第三方访问带来安全隐患 - 93%的组织担心第三方VPN连接的后门漏洞，攻击者可利用弱凭证、配置错误和未修复漏洞入侵 [7][11] - 2024年2月一家金融服务公司因VPN漏洞导致近20,000客户信息泄露 [11] 零信任架构取代传统VPN - 云托管VPN不符合零信任原则，扫描活动增加表明攻击者可能利用其未披露漏洞 [12] - 81%的组织计划在明年采用零信任架构，该架构可减少攻击面、阻止威胁、防止横向移动、增强数据安全和简化运营 [7][13][18] 研究方法 - 报告基于Cybersecurity Insiders对632名IT和网络安全专业人员的调查，涵盖VPN安全风险、企业访问趋势和零信任架构采用情况 [15] 关于ThreatLabz - ThreatLabz是Zscaler的安全研究部门，负责追踪新威胁，保护使用Zscaler平台的组织 [16] 关于Zscaler - Zscaler加速数字化转型，其零信任交换平台通过安全连接用户、设备和应用程序，保护客户免受网络攻击和数据丢失 [17]