今年對(duì)CISO們來說充滿挑戰(zhàn)，他們肩負(fù)著日益加重的責(zé)任，需要推動(dòng)網(wǎng)絡(luò)安全成為業(yè)務(wù)發(fā)展的助力，面臨安全事件法律責(zé)任的威脅，以及不斷擴(kuò)大的攻擊面。

隨著一年即將結(jié)束，CISO們回顧了塑造2024年安全格局的一些要點(diǎn)。

匆忙采用AI編碼助手帶來了新漏洞

IANS Research的研究員、Hunter Strategy的研發(fā)副總裁Jake Williams表示，AI顛覆了網(wǎng)絡(luò)安全領(lǐng)域，推動(dòng)了新工具的開發(fā)，同時(shí)也讓黑客和網(wǎng)絡(luò)犯罪分子掌握了這種強(qiáng)大的技術(shù)。

然而，對(duì)于那些匆忙采用AI的企業(yè)來說，這種未經(jīng)充分測(cè)試的技術(shù)帶來了自身的風(fēng)險(xiǎn)，反而創(chuàng)造了新的漏洞，而不是解決方案。

Williams曾與幾家采用AI編碼助手的企業(yè)合作，發(fā)現(xiàn)這些企業(yè)的試點(diǎn)團(tuán)隊(duì)交付代碼的速度更快?！霸诖蠖鄶?shù)情況下，他們更廣泛地部署了這些工具，通常沒有為開發(fā)人員提供額外的培訓(xùn)，并且自使用AI編碼助手以來，發(fā)現(xiàn)代碼中的缺陷率更高?！?/p>

大多數(shù)團(tuán)隊(duì)在解決AI生成的代碼中的問題時(shí)需要更長時(shí)間，然而，Williams指出，一些企業(yè)發(fā)現(xiàn)，如果僅將AI編碼助手用于特定任務(wù)，如使用靜態(tài)應(yīng)用安全測(cè)試(SAST)發(fā)現(xiàn)的漏洞修復(fù)，并不會(huì)增加缺陷率。

問題不在于AI編碼助手是否不好，而在于是否找到了合適的應(yīng)用場景。

AI生成的代碼是一個(gè)狹窄、高度結(jié)構(gòu)化且易于衡量的應(yīng)用場景——這是它擅長的任務(wù)。考慮到這一應(yīng)用中的問題，Williams認(rèn)為，其他AI實(shí)施中可能存在不那么明顯的問題。“我們?cè)谶@里沒有看到巨大的成功，這表明在我們的AI采用過程中，其他地方很可能存在難以衡量的隱藏失敗?！彼f。

美國證券交易委員會(huì)(SEC)規(guī)則變更：透明為上策

根據(jù)跟蹤監(jiān)管變化影響的hyperproof現(xiàn)場CISO Kayne McGladrey的說法，美國證券交易委員會(huì)(SEC)2023年關(guān)于風(fēng)險(xiǎn)管理、戰(zhàn)略、治理和事件披露的規(guī)則為上市公司的安全領(lǐng)導(dǎo)者增加了更多法規(guī)和重大的報(bào)告要求。

今年已經(jīng)感受到了這一影響，因?yàn)槠髽I(yè)的披露負(fù)擔(dān)顯著增加。

其中最受媒體關(guān)注的一項(xiàng)新規(guī)則是“重要性”要素，即要求在發(fā)現(xiàn)“重大”網(wǎng)絡(luò)安全事件后的四個(gè)工作日內(nèi)向SEC報(bào)告。

問題在于該事件是否給企業(yè)及其股東帶來了重大風(fēng)險(xiǎn)。如果是，則將其定義為重大事件，并必須在做出此判斷(而非初次發(fā)現(xiàn))后的四天內(nèi)報(bào)告。

“重要性不僅涉及直接財(cái)務(wù)影響等量化損失，還包括聲譽(yù)損害和運(yùn)營中斷等定性方面?！彼f。

McGladrey表示，SEC的重要性指導(dǎo)強(qiáng)調(diào)了投資者保護(hù)與網(wǎng)絡(luò)安全事件之間的重要性，如果有疑問，最安全的做法是報(bào)告?！叭绻洞嬖诓淮_定性，那么透明化可以保護(hù)股東的利益?！彼嬖V記者。

小型企業(yè)正在加強(qiáng)安全建設(shè)

Pocket CISO的創(chuàng)始人兼社區(qū)CISO Carlota Sage表示，小型企業(yè)的領(lǐng)導(dǎo)者不再對(duì)網(wǎng)絡(luò)安全和合規(guī)性口是心非，他們更早地在安全和合規(guī)戰(zhàn)略上進(jìn)行小額投資，以確保隨著公司的發(fā)展，公司具有韌性。

作為一項(xiàng)虛擬或部分CISO服務(wù)，Sage觀察到初創(chuàng)公司在種子前階段和A輪階段，甚至在某些情況下，在最終確定最小可行產(chǎn)品之前就開始使用vCISO服務(wù)。

“小型技術(shù)咨詢公司和精品軟件開發(fā)團(tuán)隊(duì)正在尋求ISO 27001認(rèn)證，以確保他們能夠繼續(xù)為大型客戶服務(wù)。”她告訴記者。

此外，中型公司(300-500名員工)的領(lǐng)導(dǎo)者正在尋求審計(jì)之外的確認(rèn)，以確保他們的安全和合規(guī)計(jì)劃遵循最佳實(shí)踐且狀態(tài)良好。

企業(yè)注重與客戶保持透明度和開放溝通

IANS Research的研究員、MongoDB的臨時(shí)CISO/信任負(fù)責(zé)人George Gerchow表示，今年，主要云服務(wù)提供商和財(cái)富100強(qiáng)公司推出了信任計(jì)劃。

Gerchow表示，Snowflake和CrowdStrike等公司發(fā)生的重大中斷，以及涉及Okta的多起事件，損害了人們對(duì)云服務(wù)提供商的信任。“傳統(tǒng)的安全問卷和共同責(zé)任模式已經(jīng)行不通了，我們對(duì)此已經(jīng)知曉一段時(shí)間了?！彼f。

圍繞重大中斷和事件的不透明引發(fā)了大量焦慮，因此云采用速度有所放緩。“然而，現(xiàn)實(shí)是，人們需要的工具越來越基于云?！彼嬖V記者。

為應(yīng)對(duì)這一挑戰(zhàn)，一些企業(yè)正專注于建立信任辦公室，致力于與客戶保持透明度和開放溝通。“這些努力是為了在信任危機(jī)之前搶占先機(jī)，安全副總裁們積極討論新興威脅以及如何建立信心。每個(gè)人都在尋求那種透明度?！彼f。

Gerchow認(rèn)為，這些辦公室將在發(fā)生事件時(shí)，為公司更好地保護(hù)自己和客戶提供直接途徑?！半S著對(duì)AI的投資持續(xù)增長，團(tuán)隊(duì)之間的信任和協(xié)作將比以往任何時(shí)候都更加重要。唯一的前進(jìn)道路是建立信任的基礎(chǔ)?！彼f。

第三方安全審查有所改進(jìn)，但仍需更多努力

Rose CISO Group的CISO兼創(chuàng)始人Olivia Rose表示：“最后，值得慶幸的是，我們已經(jīng)認(rèn)識(shí)到，我們現(xiàn)有的要求供應(yīng)商填寫一頁又一頁問卷以獲得客戶‘業(yè)務(wù)驗(yàn)證’的流程已經(jīng)行不通了?！?/p>

Rose表示，在供應(yīng)商方面，這些問卷耗時(shí)且對(duì)團(tuán)隊(duì)資源造成了沉重負(fù)擔(dān)。“在客戶方面，我們期望世界上最多疑的群體之一——CISO們，根據(jù)供應(yīng)商提供的幾百個(gè)答案以及一份SOC2報(bào)告，就交出他們敏感數(shù)據(jù)和環(huán)境的訪問權(quán)限?！彼f。

Rose表示，盡管有這些流程，但第三方和第四方泄露事件的頻率并沒有下降，這進(jìn)一步支持了整個(gè)流程已經(jīng)失效的觀點(diǎn)。

AI改進(jìn)了團(tuán)隊(duì)對(duì)這些問卷的響應(yīng)方式，使他們能夠更快、更準(zhǔn)確、更輕松地完成響應(yīng)。即便如此，仍有改進(jìn)的空間，并且有可能節(jié)省大量花費(fèi)在這一功能上的時(shí)間和資源。

“我抱著希望，交叉著手指，希望在2025年，會(huì)出現(xiàn)一家初創(chuàng)公司，為客戶提供一種更強(qiáng)大、更具體的方法來評(píng)估和驗(yàn)證他們連接的供應(yīng)商是否具備預(yù)期的安全水平?！彼f。

增加事件響應(yīng)人員以應(yīng)對(duì)釣魚攻擊的增加

2024年，釣魚手法持續(xù)改進(jìn)，給檢測(cè)團(tuán)隊(duì)帶來了越來越大的負(fù)擔(dān)。坦帕大學(xué)信息技術(shù)與安全副總裁Tammy Loper表示：“我看到了一種釣魚攻擊的趨勢(shì)，網(wǎng)絡(luò)犯罪分子不再向我們成千上萬的用戶發(fā)送單一的釣魚郵件。”

Loper說，相反，網(wǎng)絡(luò)犯罪分子會(huì)對(duì)同時(shí)發(fā)送的一千封釣魚郵件中的每一封進(jìn)行定制，使得事件響應(yīng)人員幾乎不可能像以前那樣快速地關(guān)閉攻擊。

如果釣魚郵件在接收后被檢測(cè)到(因?yàn)樗氵^了郵件安全檢測(cè))，并且用戶與之交互，由于這種微妙的變化，事件處理人員無法再從所有可能收到完全相同釣魚信息的收件箱中快速清除它。“他們現(xiàn)在必須尋找構(gòu)造相似的釣魚郵件，這些郵件之間的微小差異使得每一封都對(duì)我們的最終用戶構(gòu)成不同且獨(dú)特的威脅，并且需要分別清除每一封。”她說，“網(wǎng)絡(luò)犯罪分子總是不斷改進(jìn)以躲避檢測(cè)，并為信息安全團(tuán)隊(duì)創(chuàng)造新的挑戰(zhàn)?！?/p>

這導(dǎo)致需要增加事件響應(yīng)人員來處理呈指數(shù)級(jí)增長的獨(dú)特安全警報(bào)或威脅。

AI揭示了意想不到的安全威脅

今年表明，與AI相關(guān)的潛在安全問題難以預(yù)測(cè)，而且事后總是更容易聯(lián)系起來。

BPM的CISOVandy Hamidi表示，它已經(jīng)以多種形式產(chǎn)生了重大影響，但I(xiàn)T和信息安全團(tuán)隊(duì)需要時(shí)刻關(guān)注安全威脅，并在它們一出現(xiàn)就進(jìn)行管理。

“關(guān)于AI之后人類未來的預(yù)測(cè)有很多，但真正的結(jié)果只有在它們出現(xiàn)在我們眼前時(shí)才會(huì)顯現(xiàn)?！彼嬖V記者。

安全專業(yè)人員應(yīng)指導(dǎo)和教育同事，同時(shí)盡快讓自己了解這類新風(fēng)險(xiǎn)，這還需要靈活性，以優(yōu)化技術(shù)的影響，同時(shí)隨著安全風(fēng)險(xiǎn)的變化做好準(zhǔn)備以適應(yīng)。

CISO們意識(shí)到深度偽造是新一類風(fēng)險(xiǎn)

Hamidi表示，即使是公司可能用于快速制作視頻內(nèi)容或創(chuàng)建交互式機(jī)器人的授權(quán)深度偽造，其易獲取性也構(gòu)成了一類新的威脅。

“如果一個(gè)逼真的機(jī)器人可以用來實(shí)時(shí)模仿一個(gè)真人會(huì)怎么樣?”

他表示，深度偽造引發(fā)了關(guān)于肖像所有權(quán)的合規(guī)和數(shù)據(jù)隱私問題，以及如果受信任個(gè)人的肖像或聲音被用于實(shí)施欺詐，則會(huì)引發(fā)安全問題。

Elastic的CISO Mandy Andress表示，隨著生成式AI的改進(jìn)，深度偽造將變得更加普遍。

今年已經(jīng)表明，安全團(tuán)隊(duì)必須通過幫助企業(yè)更好地了解風(fēng)險(xiǎn)并教育員工，在應(yīng)對(duì)深度偽造攻擊方面發(fā)揮重要作用?！袄肁I和機(jī)器學(xué)習(xí)可以幫助加強(qiáng)努力，幫助團(tuán)隊(duì)利用大量數(shù)據(jù)做出決策和進(jìn)行反擊?！彼f。

第三方威脅變得更加復(fù)雜和分散

The Carlyle Group的CISO Bethany De Lude表示，隨著第三方依賴性的增加，這繼續(xù)激勵(lì)著侵犯用戶社區(qū)的行為，同時(shí)這些威脅在不同的環(huán)境中也變得更加復(fù)雜。

“隨著公司采用基于多云和SaaS的業(yè)務(wù)模式，在由身份定義而非傳統(tǒng)控制邊緣定義的信息環(huán)境中，管理風(fēng)險(xiǎn)的新挑戰(zhàn)也隨之出現(xiàn)?！彼f。

對(duì)此，De Lude認(rèn)為，將會(huì)出現(xiàn)新的、務(wù)實(shí)的數(shù)據(jù)和供應(yīng)商管理方法，這些方法會(huì)考慮到不斷變化的邊界以及安全越來越以誰可以訪問數(shù)據(jù)和系統(tǒng)為中心，而不是以這些系統(tǒng)的位置為中心。

“他們需要解決現(xiàn)代企業(yè)在復(fù)雜、互聯(lián)和分布式環(huán)境中運(yùn)營的方式?！彼f。

AI和自動(dòng)化重塑了漏洞管理

Carolina Complete Health公司信息安全副總裁兼CISO Rick Doten表示，今年展現(xiàn)了利用AI進(jìn)行大規(guī)模自動(dòng)化問答和回歸測(cè)試的新工具是如何減輕團(tuán)隊(duì)負(fù)擔(dān)，并加速安全有效的補(bǔ)救流程的。

他說：“這些補(bǔ)救工作流程工具支持對(duì)發(fā)現(xiàn)的問題進(jìn)行優(yōu)先級(jí)排序、標(biāo)準(zhǔn)化和去重，以便將它們分配給相應(yīng)的團(tuán)隊(duì)，甚至創(chuàng)建工單分配給特定人員?！?/p>

盡管借助安全編排、自動(dòng)化和響應(yīng)(SOAR)工具已經(jīng)可以實(shí)現(xiàn)這一點(diǎn)，但這需要人員編寫自動(dòng)化腳本以及支持自動(dòng)化的流程和工作流。

AI支持的工具解決了資源限制問題，以及跨多個(gè)團(tuán)隊(duì)(這些團(tuán)隊(duì)可能擁有不同的補(bǔ)救工作流程和工單系統(tǒng))修復(fù)發(fā)現(xiàn)的問題時(shí)面臨的職責(zé)挑戰(zhàn)?！拌b于云環(huán)境的動(dòng)態(tài)性，AI工具非常重要，因?yàn)槲覀兊墓ぷ髫?fù)載中有數(shù)萬項(xiàng)發(fā)現(xiàn)需要修復(fù)”，Doten說道。