今年對CISO們來說充滿挑戰(zhàn)，他們肩負著日益加重的責(zé)任，需要推動網(wǎng)絡(luò)安全成為業(yè)務(wù)發(fā)展的助力，面臨安全事件法律責(zé)任的威脅，以及不斷擴大的攻擊面。

隨著一年即將結(jié)束，CISO們回顧了塑造2024年安全格局的一些要點。

匆忙采用AI編碼助手帶來了新漏洞

IANS Research的研究員、Hunter Strategy的研發(fā)副總裁Jake Williams表示，AI顛覆了網(wǎng)絡(luò)安全領(lǐng)域，推動了新工具的開發(fā)，同時也讓黑客和網(wǎng)絡(luò)犯罪分子掌握了這種強大的技術(shù)。

然而，對于那些匆忙采用AI的企業(yè)來說，這種未經(jīng)充分測試的技術(shù)帶來了自身的風(fēng)險，反而創(chuàng)造了新的漏洞，而不是解決方案。

Williams曾與幾家采用AI編碼助手的企業(yè)合作，發(fā)現(xiàn)這些企業(yè)的試點團隊交付代碼的速度更快。“在大多數(shù)情況下，他們更廣泛地部署了這些工具，通常沒有為開發(fā)人員提供額外的培訓(xùn)，并且自使用AI編碼助手以來，發(fā)現(xiàn)代碼中的缺陷率更高。”

大多數(shù)團隊在解決AI生成的代碼中的問題時需要更長時間，然而，Williams指出，一些企業(yè)發(fā)現(xiàn)，如果僅將AI編碼助手用于特定任務(wù)，如使用靜態(tài)應(yīng)用安全測試(SAST)發(fā)現(xiàn)的漏洞修復(fù)，并不會增加缺陷率。

問題不在于AI編碼助手是否不好，而在于是否找到了合適的應(yīng)用場景。

AI生成的代碼是一個狹窄、高度結(jié)構(gòu)化且易于衡量的應(yīng)用場景——這是它擅長的任務(wù)。考慮到這一應(yīng)用中的問題，Williams認為，其他AI實施中可能存在不那么明顯的問題。“我們在這里沒有看到巨大的成功，這表明在我們的AI采用過程中，其他地方很可能存在難以衡量的隱藏失敗。”他說。

美國證券交易委員會(SEC)規(guī)則變更：透明為上策

根據(jù)跟蹤監(jiān)管變化影響的hyperproof現(xiàn)場CISO Kayne McGladrey的說法，美國證券交易委員會(SEC)2023年關(guān)于風(fēng)險管理、戰(zhàn)略、治理和事件披露的規(guī)則為上市公司的安全領(lǐng)導(dǎo)者增加了更多法規(guī)和重大的報告要求。

今年已經(jīng)感受到了這一影響，因為企業(yè)的披露負擔(dān)顯著增加。

其中最受媒體關(guān)注的一項新規(guī)則是“重要性”要素，即要求在發(fā)現(xiàn)“重大”網(wǎng)絡(luò)安全事件后的四個工作日內(nèi)向SEC報告。

問題在于該事件是否給企業(yè)及其股東帶來了重大風(fēng)險。如果是，則將其定義為重大事件，并必須在做出此判斷(而非初次發(fā)現(xiàn))后的四天內(nèi)報告。

“重要性不僅涉及直接財務(wù)影響等量化損失，還包括聲譽損害和運營中斷等定性方面。”他說。

McGladrey表示，SEC的重要性指導(dǎo)強調(diào)了投資者保護與網(wǎng)絡(luò)安全事件之間的重要性，如果有疑問，最安全的做法是報告。“如果披露存在不確定性，那么透明化可以保護股東的利益。”他告訴記者。

小型企業(yè)正在加強安全建設(shè)

Pocket CISO的創(chuàng)始人兼社區(qū)CISO Carlota Sage表示，小型企業(yè)的領(lǐng)導(dǎo)者不再對網(wǎng)絡(luò)安全和合規(guī)性口是心非，他們更早地在安全和合規(guī)戰(zhàn)略上進行小額投資，以確保隨著公司的發(fā)展，公司具有韌性。

作為一項虛擬或部分CISO服務(wù)，Sage觀察到初創(chuàng)公司在種子前階段和A輪階段，甚至在某些情況下，在最終確定最小可行產(chǎn)品之前就開始使用vCISO服務(wù)。

“小型技術(shù)咨詢公司和精品軟件開發(fā)團隊正在尋求ISO 27001認證，以確保他們能夠繼續(xù)為大型客戶服務(wù)。”她告訴記者。

此外，中型公司(300-500名員工)的領(lǐng)導(dǎo)者正在尋求審計之外的確認，以確保他們的安全和合規(guī)計劃遵循最佳實踐且狀態(tài)良好。

企業(yè)注重與客戶保持透明度和開放溝通

IANS Research的研究員、MongoDB的臨時CISO/信任負責(zé)人George Gerchow表示，今年，主要云服務(wù)提供商和財富100強公司推出了信任計劃。

Gerchow表示，Snowflake和CrowdStrike等公司發(fā)生的重大中斷，以及涉及Okta的多起事件，損害了人們對云服務(wù)提供商的信任。“傳統(tǒng)的安全問卷和共同責(zé)任模式已經(jīng)行不通了，我們對此已經(jīng)知曉一段時間了。”他說。

圍繞重大中斷和事件的不透明引發(fā)了大量焦慮，因此云采用速度有所放緩。“然而，現(xiàn)實是，人們需要的工具越來越基于云。”他告訴記者。

為應(yīng)對這一挑戰(zhàn)，一些企業(yè)正專注于建立信任辦公室，致力于與客戶保持透明度和開放溝通。“這些努力是為了在信任危機之前搶占先機，安全副總裁們積極討論新興威脅以及如何建立信心。每個人都在尋求那種透明度。”他說。

Gerchow認為，這些辦公室將在發(fā)生事件時，為公司更好地保護自己和客戶提供直接途徑。“隨著對AI的投資持續(xù)增長，團隊之間的信任和協(xié)作將比以往任何時候都更加重要。唯一的前進道路是建立信任的基礎(chǔ)。”他說。

第三方安全審查有所改進，但仍需更多努力

Rose CISO Group的CISO兼創(chuàng)始人Olivia Rose表示：“最后，值得慶幸的是，我們已經(jīng)認識到，我們現(xiàn)有的要求供應(yīng)商填寫一頁又一頁問卷以獲得客戶‘業(yè)務(wù)驗證’的流程已經(jīng)行不通了。”

Rose表示，在供應(yīng)商方面，這些問卷耗時且對團隊資源造成了沉重負擔(dān)。“在客戶方面，我們期望世界上最多疑的群體之一——CISO們，根據(jù)供應(yīng)商提供的幾百個答案以及一份SOC2報告，就交出他們敏感數(shù)據(jù)和環(huán)境的訪問權(quán)限。”她說。

Rose表示，盡管有這些流程，但第三方和第四方泄露事件的頻率并沒有下降，這進一步支持了整個流程已經(jīng)失效的觀點。

AI改進了團隊對這些問卷的響應(yīng)方式，使他們能夠更快、更準(zhǔn)確、更輕松地完成響應(yīng)。即便如此，仍有改進的空間，并且有可能節(jié)省大量花費在這一功能上的時間和資源。

“我抱著希望，交叉著手指，希望在2025年，會出現(xiàn)一家初創(chuàng)公司，為客戶提供一種更強大、更具體的方法來評估和驗證他們連接的供應(yīng)商是否具備預(yù)期的安全水平。”她說。

增加事件響應(yīng)人員以應(yīng)對釣魚攻擊的增加

2024年，釣魚手法持續(xù)改進，給檢測團隊帶來了越來越大的負擔(dān)。坦帕大學(xué)信息技術(shù)與安全副總裁Tammy Loper表示：“我看到了一種釣魚攻擊的趨勢，網(wǎng)絡(luò)犯罪分子不再向我們成千上萬的用戶發(fā)送單一的釣魚郵件。”

Loper說，相反，網(wǎng)絡(luò)犯罪分子會對同時發(fā)送的一千封釣魚郵件中的每一封進行定制，使得事件響應(yīng)人員幾乎不可能像以前那樣快速地關(guān)閉攻擊。

如果釣魚郵件在接收后被檢測到(因為它躲過了郵件安全檢測)，并且用戶與之交互，由于這種微妙的變化，事件處理人員無法再從所有可能收到完全相同釣魚信息的收件箱中快速清除它。“他們現(xiàn)在必須尋找構(gòu)造相似的釣魚郵件，這些郵件之間的微小差異使得每一封都對我們的最終用戶構(gòu)成不同且獨特的威脅，并且需要分別清除每一封。”她說，“網(wǎng)絡(luò)犯罪分子總是不斷改進以躲避檢測，并為信息安全團隊創(chuàng)造新的挑戰(zhàn)。”

這導(dǎo)致需要增加事件響應(yīng)人員來處理呈指數(shù)級增長的獨特安全警報或威脅。

AI揭示了意想不到的安全威脅

今年表明，與AI相關(guān)的潛在安全問題難以預(yù)測，而且事后總是更容易聯(lián)系起來。

BPM的CISOVandy Hamidi表示，它已經(jīng)以多種形式產(chǎn)生了重大影響，但IT和信息安全團隊需要時刻關(guān)注安全威脅，并在它們一出現(xiàn)就進行管理。

“關(guān)于AI之后人類未來的預(yù)測有很多，但真正的結(jié)果只有在它們出現(xiàn)在我們眼前時才會顯現(xiàn)。”他告訴記者。

安全專業(yè)人員應(yīng)指導(dǎo)和教育同事，同時盡快讓自己了解這類新風(fēng)險，這還需要靈活性，以優(yōu)化技術(shù)的影響，同時隨著安全風(fēng)險的變化做好準(zhǔn)備以適應(yīng)。

CISO們意識到深度偽造是新一類風(fēng)險

Hamidi表示，即使是公司可能用于快速制作視頻內(nèi)容或創(chuàng)建交互式機器人的授權(quán)深度偽造，其易獲取性也構(gòu)成了一類新的威脅。

“如果一個逼真的機器人可以用來實時模仿一個真人會怎么樣?”

他表示，深度偽造引發(fā)了關(guān)于肖像所有權(quán)的合規(guī)和數(shù)據(jù)隱私問題，以及如果受信任個人的肖像或聲音被用于實施欺詐，則會引發(fā)安全問題。

Elastic的CISO Mandy Andress表示，隨著生成式AI的改進，深度偽造將變得更加普遍。

今年已經(jīng)表明，安全團隊必須通過幫助企業(yè)更好地了解風(fēng)險并教育員工，在應(yīng)對深度偽造攻擊方面發(fā)揮重要作用。“利用AI和機器學(xué)習(xí)可以幫助加強努力，幫助團隊利用大量數(shù)據(jù)做出決策和進行反擊。”她說。

第三方威脅變得更加復(fù)雜和分散

The Carlyle Group的CISO Bethany De Lude表示，隨著第三方依賴性的增加，這繼續(xù)激勵著侵犯用戶社區(qū)的行為，同時這些威脅在不同的環(huán)境中也變得更加復(fù)雜。

“隨著公司采用基于多云和SaaS的業(yè)務(wù)模式，在由身份定義而非傳統(tǒng)控制邊緣定義的信息環(huán)境中，管理風(fēng)險的新挑戰(zhàn)也隨之出現(xiàn)。”她說。

對此，De Lude認為，將會出現(xiàn)新的、務(wù)實的數(shù)據(jù)和供應(yīng)商管理方法，這些方法會考慮到不斷變化的邊界以及安全越來越以誰可以訪問數(shù)據(jù)和系統(tǒng)為中心，而不是以這些系統(tǒng)的位置為中心。

“他們需要解決現(xiàn)代企業(yè)在復(fù)雜、互聯(lián)和分布式環(huán)境中運營的方式。”她說。

AI和自動化重塑了漏洞管理

Carolina Complete Health公司信息安全副總裁兼CISO Rick Doten表示，今年展現(xiàn)了利用AI進行大規(guī)模自動化問答和回歸測試的新工具是如何減輕團隊負擔(dān)，并加速安全有效的補救流程的。

他說：“這些補救工作流程工具支持對發(fā)現(xiàn)的問題進行優(yōu)先級排序、標(biāo)準(zhǔn)化和去重，以便將它們分配給相應(yīng)的團隊，甚至創(chuàng)建工單分配給特定人員。”

盡管借助安全編排、自動化和響應(yīng)(SOAR)工具已經(jīng)可以實現(xiàn)這一點，但這需要人員編寫自動化腳本以及支持自動化的流程和工作流。

AI支持的工具解決了資源限制問題，以及跨多個團隊(這些團隊可能擁有不同的補救工作流程和工單系統(tǒng))修復(fù)發(fā)現(xiàn)的問題時面臨的職責(zé)挑戰(zhàn)。“鑒于云環(huán)境的動態(tài)性，AI工具非常重要，因為我們的工作負載中有數(shù)萬項發(fā)現(xiàn)需要修復(fù)”，Doten說道。