无论是企业还是个人,都在AI时代面临着新的挑战。智能技术带来的便利性显而易见——极大解放了人类劳动力,降低了社会和企业经营成本。但正如任何一次跨越式创新都有两面性,围绕人工智能的争议始终不绝于耳,伦理性、数据隐私、应用安全、可解释性……一时让追逐AI热潮的人们无所适从。Gartner在一份趋势研究中指出,2024年风险管理领导者需要在其安全计划中采取一系列实践方法、技术功能和结构改革,以此提高企业机构的韧性和网络安全绩效。
Gartner研究总监陈延全进一步谈到了影响网络安全计划的六大因素,包括生成式AI的使用、网络安全技能需求提高、相互依存的数字供应链、动态变化的监管环境、数字化业务分散,以及勒索软件的演变和针对IAM系统、(Critical Infrastructure,关键信息基础设施)、数据泄漏的攻击增加。例如,有越来越多的安全厂商在产品中融入了生成式AI技术,很多企业都关心在欧盟、北美和中国的区域数据政策,直接影响着其在当地业务的发展情况,同时,企业目前在使用生成式AI服务时仍需依赖第三方合作厂商(如:基础设施提供商,AI平台提供商,数据标注服务提供商等)提供的服务来加速落地生成式AI应用,并且高度分散的IT系统和员工技能局限也导致了安全风险日益提升。
基于这些因素,Gartner公布了2024年网络安全领域的九个重要趋势,一方面在面对外部环境、新兴技术的变化时,企业要具备更多的韧性,另一方面是在企业内部的安全运营时,要借助评估和优化工具或最佳实践提升工作效果。生成式AI的火热引来了新的攻击面,CISO要观察新的应用场景,包括使用打包好的SaaS应用、API接口、开源大模型、第三方服务提供的用例。尽管一些安全厂商开始将生成式AI技术用于网络安全产品,也发布了安全方面的大模型,但Gartner认为这些产品或许在2025年才会成熟应用。
随着人工智能技术持续演进,多模态、各类音视频模型层出不穷,并没有一种安全方案可以解决所有的风险漏洞,所以安全防护策略一定是持续进化的,已有的威胁情报管理要能够及时响应和恢复。对于CISO来说,不仅要抵御攻击、了解攻击,还要了解用于大模型构建的数据、开发是否满足监管要求,并对所涉及的系统和业务流程具备可见性。
到2025年,生成式AI的采用将导致企业机构所需的网络安全资源激增,使应用和数据安全支出增加15%以上。Gartner建议,要持续记录和监控生成式AI的应用情况,安全团队除了要加强对第三方厂商的要求,还要帮助业务部门了解供应商的服务政策。同时,企业要及时了解新的潜在风险,并对安全方案的实施进行测试和跟踪。
当前,黑客对AI模型的攻击是多元化的,可能会使用一些刻意制造的假数据引导模型做出错误判断,以从中获利。对此,企业可以在模型训练时让其更具鲁棒性,具有对抗性,能够意识到恶意数据,并进行抵御。当然,也要从源头把控数据质量,要引入可信的数据信息,进行适当的清洗和检查工作。在模型输出结果时,可以考虑加入人工来审核和验证,降低模型可能被污染所带来的更大风险。
网络安全成果驱动型指标(ODM)是包含特殊属性的安全运营指标,可以帮助利益相关者在安全投资与其所能实现的保护等级之间建立直接关联。对于企业来说,安全防护是一项成本支出的业务,尤其是在市场环境不佳的时候,企业在安全上的投入更加谨慎,而且这些投资并不能百分之百保证风险不会发生,因此,企业领导者在推进安全策略时就会格外关注投入产出比,或者说是安全投入带来的价值。对此,Gartner在2022年起就推荐借助量化工具来评估安全策略的效果,包括成果驱动指标(ODM);保护水平协议(PLA);风险、价值、成本(RVC)矩阵。Gartner针对网络安全应用设计了近140个量化指标,其中包括事件处理、系统安全、第三方安全管理、终端安全、网络安全、云安全、身份与访问管理等16个常用指标,企业可以据此制定更加成熟的安全策略。
如今,客户和供应商已经认识到,只关注员工网络安全意识提升的普遍做法,对于减少员工行为导致的安全事件效果甚微。Gartner 2022年的一项调查显示,69% 的员工在过去的12个月里,有意识地越过安全规范,原因是“这样做可以为业务操作带来便利”。因此,要借助更多的支持、文化、方法和工具让员工意识到安全的重要性。例如,恶意攻击的演练、数据分析、互动交流、最佳实践学习、高层的战略支持等等。
陈延全表示:“安全行为与文化项目(SBCP)是一种企业层面的方法,旨在最大程度减少与员工行为相关的网络安全事件,无论这些事件是出于一时疏忽还是有意为之。SBCP的主要目标是改变员工行为。到2027年,50%的?型企业?席信息安全官(CISO)将采?以?为本的安全设计实践,以最?限度减少?络安全引发的员工抵触并提升安全控制的采?率。”
可以看到,安全和风险管理领导者正在对网络安全运营模式进行调整,以满足业务部门在自主性、创新和敏捷性方面的需求。这种趋势体现为,安全工作的决策权日益分散化;安全策略的细节逐渐交由边缘侧的业务决策者负责;针对部分治理工作建立了集中和正式的治理机制,以更好地支持业务部门的风险负责人;安全和风险管理领导者的角色也从控制措施管理者在向价值推动者演变。
随着决策权的下放,各个环节的预算也会重新分配,进而影响员工的行为和相应评估,以及后续供应商的采购、合作、审批等。一些海外的安全团队会开发安全需求评估平台,聚合项目需求、技术需求之后,再进行自动分析,给出相应的安全要求等级,让用户自行判断如何选择。在分布式的工作模式下,开发、业务的负责人要承担更多的安全决策,企业要清楚哪些工作仍需要集中规划,哪些工作要下放给用户,让后者根据一些指引来自主做决定。对于安全部门来说,要以“民主化”的态度来制定策略,让更多的人参与其中,这样才更容易被接受。
由于第三方遭遇网络安全事件变得不可避免,安全和风险管理领导者不得不将注意力从涉及大量前期投入的尽职调查转向了以韧性为导向的安全投资。Gartner认为,企业对第三方安全管理的传统认知要做出改变,要与优质的供应商形成互补和长期合作。通过共享安全防护经验,可以建立更成熟的机制和措施,提升应急响应能力,增强韧性。需要注意的是,第三方的安全管理不仅是技术工作,还涉及采购、法务、审批等环节,例如在和第三方签合同时添加对己方有利的条款,通过采购部门帮助在供应商资质上进行挑选,这些都需要跨部门的协同合作。
Gartner预测,到2026年,通过持续威胁暴露面管理(CTEM)项目确定安全投资优先级的企业机构,其安全漏洞将减少三分之二。相比传统暴露面,持续威胁暴露面管理的边界大幅扩展,蔓延到社交网络、车联网、物联网、数字供应链等领域,大部分漏洞无法通过预先打补丁来修复,需要对威胁进行持续监控。同时,还要借助工具和流程快速识别出风险的优先级,并且进一步验证其被黑客利用的风险程度,让治理过程更加高效。由此,网络安全韧性也会有所平衡。
随着网络威胁持续深入,边缘环境面临的挑战加大,网络物理系统安全会遭遇新型漏洞,或是针对基础设施的攻击,企业对漏洞发现、漏洞挖掘、漏洞验证越来越熟悉,并且会利用BAS(Breach and Attack Simulation)等服务支持企业实现持续威胁暴露面管理。在基础设施安全方面,则会引入零信任访问接入、安全服务边缘等理念,还要有身份访问管理、API访问控制等。
到2026年,50%的大型企业将使用敏捷学习作为主要的技能提升/重塑方法。这是因为各类新的威胁层出不穷,传统的瀑布式学习可能不再适用,?络安全团队需要围绕敏捷学习改善学习和发展计划,并基于敏捷学习通过迭代和短期突击来优先发展实践技能。所需的很多技能都是在既有知识之外的,例如变革管理,对沟通能力、业务理解、行业知识等要有更深得掌握。企业不仅要为潜在的威胁做好安全规划,还要学会从既往的安全事件中吸取失败的经验,强化敏捷式学习、小组式学习的能力。
身份与访问管理(IAM)对基础设施的安全性颇为关键,在身份优先的安全方法中,利用身份与访问管理取代网络安全及其他传统的安全控制措施成为了安全工作的重点,这就需要加强对基本IAM规范和IAM系统强化的关注,以提升韧性。IAM的理念贯穿于应用安全、云安全、数据安全、终端安全、网络安全等各个方面,会扩展到身份的威胁、检测与响应(ITDR)。同时,过去的集中式安全机制会转变为身份编织、分布式的身份认证架构,动态提供外部访问服务。
Gartner预测,到2025年,10%的全球企业将拥有一个以上受特定数据主权战略约束的业务单位,使创造相同业务价值的成本增加至少一倍。此时,基于国家主义的隐私以及数据保护和本地化要求不断增多,也加剧了企业应用架构和数据本地化实践的碎片化。很多跨国企业都会遇到国内系统和国外系统之间的数据互通、业务联动等问题,由此可能会引发数据本地化存储、业务应用拆分等情况,进而就要考虑到本土化之后,是否可以和本地生态深度融合。对此,有些企业在选择云厂商时就会选择能够帮助客户进行本地化部署的平台。那些具有前瞻性的企业机构正在规划和实施不同层面的应用和数据解耦战略。
“企业安全职能在技术、组织和人员方面面临颠覆。风险管理领导者必须进行完善的准备工作并采取务实的态度,以应对颠覆,实施高效的网络安全项目。”陈延全说。
本文属于原创文章,如若转载,请注明来源:在AI全民化的时代 刷新网络安全理念https://safe.zol.com.cn/864/8647733.html
