2024年,数字时代的安全挑战持续演变,Gartner发布了一份新的研究成果,是关于全球的网络安全最新趋势。全球目前面临着一系列新的安全趋势,这些趋势的形成并非偶然,而是来自于几个外部因素的持续影响。从勒索软件到对身份基础设施的攻击,再到新兴技术如生成式人工智能的迅速发展,以及不断变化的监管环境,这些因素构成了今年安全趋势的主要驱动力。此外,供应链的依赖程度增加,以及企业业务部门对IT系统和服务主权的渴望,也在塑造着当前的安全态势。这六大因素交织影响,对安全从业人员的技能和职业规划提出了更高的要求。
趋势一:生成式人工智能对网络安全的影响
首先要关注的就是生成式人工智能对网络安全所带来的影响。这一趋势不仅引发了安全领域的关注,也在CISO(首席信息安全官)们的日常工作中扮演着重要角色。生成式人工智能在网络安全中的应用影响深远,尤其是对于CISO的角色而言。CISO需要密切关注新兴的生成式人工智能应用场景,无论是通过第三方提供的SaaS应用、API接口,还是自行开发大型模型应用,以及利用云厂商提供的基础设施等方式。然而,这些应用场景的安全保障成为CISO首要关注的问题之一。尽管生成式人工智能在网络安全领域的应用前景广阔,但其技术仍在不断演进。从仅限于文本处理到多模态、语音、视频,以及特定行业属性的模型,技术的发展为安全领域带来了新的挑战和机遇。尚未出现完美的安全解决方案,因此CISO需要借助新技术降低潜在风险,并继续应用传统的安全产品如威胁情报和暴露面管理,以提高数字韧性。
针对生成式人工智能对网络安全的挑战,Gartner提出了以下建议:
- 记录与监控:持续记录和监控用户对生成式人工智能应用的使用情况,以及应用带来的多方面影响。
- 提供指引:安全团队应向业务部门提供具体的使用要求和指导,确保应用部署过程中的安全性。
- 持续观察:随着技术的不断发展,行业需要持续关注新服务可能带来的多种挑战和机遇。
- 拥抱技术:尽管存在安全风险,但行业仍需积极拥抱技术,通过试验、测量和监控不断完善安全措施。
趋势二:网络安全结果驱动指标
网络安全投入与产出之间的沟通一直是CISO面临的挑战。尽管行业已经有了一系列成熟的最佳实践和国际标准,但传统的定性评估方式并不总能有效传达安全投入的实际价值。因此,Gartner在2022年开始推动使用量化工具来评估安全能力的效果,其中包括结果驱动指标(ODM)、保护水准协议(PLA)和风险、价值、成本(RVC)矩阵。
量化安全能力可以量化安全投入的效果,并帮助规划未来的安全投入。通过选择可量化的指标,如平均漏洞修补时间,安全团队可以评估当前水平并设定目标水平。将定性指标转换为定量指标,使安全投入和实际花费的规划更为透明和有效。
Gartner设计了近140个可量化的网络安全指标,其中包括事件处理、系统安全、第三方安全管理、终端安全、网络安全、云安全、客群管理等方面。这些指标中,有16个是最常用的,可以根据组织的需求和情况进行选择和应用。
针对这一趋势,Gartner提出以下建议:
- 定量转化:从过去的定性方式转换为可量化的方式,可以从使用这16个指标开始。
- 制定协议:基于这些指标,可以与业务部门制定保护水准协议,取代传统的服务水准协议。
- 量化汇报:在与管理层汇报时,通过量化的方式展示安全成熟度,使管理层更清晰地了解当前情况。
网络安全结果驱动指标的引入,为安全领域带来了新的思路和方法,帮助组织更好地理解和管理安全投入与产出之间的关系,从而提升整体安全水平。
趋势三:员工行为改变:构建安全文化
一项调查结果显示,近70%的员工在他们平常的工作中明知道一些操作行为是违规的,但仍然选择违规,主要因为这些行为方便他们的业务操作。这表明传统的安全意识培训和考试未能有效影响员工行为,引发了企业对于如何真正改变员工行为的关注。
Gartner指出,企业需要采取全面的最佳实践来推动安全文化的转变。这需要结合内部支持,包括高管和业务部门的支持,以及更多的工具平台来推动安全行为的变革。除了传统的培训方式外,还应探索更多创新的方法来让员工深入理解和参与安全实践。这包括设计互动型的游戏模拟等方式,以使员工更好地理解安全风险和应对方法。员工行为改变需要全方位的支持,不仅仅是工具的支持,还需要预算、高层管理的支持,并将公司安全放在企业战略目标的核心位置。同时,对于访问权限和监管方面的理解、沟通和宣导也需要全面收集和共同推进。除了传统的培训工具外,还应考虑使用更多不同类型的工具来支持员工行为改变,这些工具应该更具互动性和适应性,以更好地满足员工的学习需求。
员工行为改变需要全面的规划和支持。除了传统培训外,还需要采用创新的方法、获得高层支持,并利用多元化的工具来推动安全文化的变革。结合成果驱动指标,企业可以更好地评估员工行为改变的效果,实现安全文化的全面提升。
趋势四:持续变化的安全运营模式:拥抱数字化决策
随着决策权下放到业务部门,安全运营模式也发生了变化,呈现出分散化的数字化管理和决策模式。这种转变影响了安全预算、员工KPI、工作模式等方面。过去的安全预算管理是集中化的,而现在随着决策权下放,需要在每个业务项目上设定一定比例的预算用于确保项目的安全需求。这种分散化的预算管理不仅影响到员工的行为和绩效评估,还会影响到供应商的采购和协作方式。
过去的工作模式是集中化的,所有项目都必须经过安全团队的审批。但现在一些团队开始采用安全需求评估平台,让项目发起者上传项目需求,平台会自动分析并提供安全建议。这种分布式的工作模式使得用户可以更自主地做出判断。
在分布式的工作模式下,需要让系统开发人员和负责人承担更多的安全决策和判断能力。同时,一些工作仍然需要集中规划和决策,而其他工作则可以下放给用户,通过工具、流程或指引来进行判断。安全部门在制定安全策略和标准时应采用民主化的方式,邀请更多的业务部门参与其中。这样做的好处是能够收集到更多的声音,提高了员工对安全策略的接受度。这种持续变化的安全运营模式需要企业不断适应,并借助数字化工具和创新方法来促进安全文化的发展和员工行为的改变。
趋势五:第三方安全风险评估:建立互利关系
第三方安全风险一直是企业面临的持续挑战。传统上,行业将第三方视为潜在的威胁,采取严格的管控措施来预防风险和数据泄露。然而,行业的心态需要逐渐改变,特别是对于那些服务稀缺、在行业中独一无二的第三方。虽然他们的安全能力可能不够成熟,但通过协助他们提升安全能力,可以建立长期互利的关系。因此,第三方安全管理的重点将逐渐从风险抑制和数据泄露预防转向更长远、更宏观的合作角度。
企业可以通过与第三方合作共同提升其安全能力,分享最佳实践并推荐安全控制措施。即使第三方安全能力已经很强,仍然可能发生安全事件。因此,企业需要建立应对安全事件的持续性规划,包括应急响应能力的提升和针对特定场景的演练。第三方安全管理不仅仅是技术工作,还涉及到采购、法务和合同审批等多个部门。企业需要在与第三方签订的合同中增加有利于自身的条款,并通过采购部门选择合适的供应商资质。此外,第三方安全管理需要跨企业的协同合作,不仅仅是安全部门的责任,而是需要整个企业共同参与制定规则和进行管控。
趋势六:持续威胁暴露面管理:动态识别与验证
在安全领域,持续威胁暴露面管理成为近年来的显著趋势,与传统暴露面管理不同之处在于其管理范围的变化。传统上,漏洞管理主要关注可通过修补程序修复漏洞的环境、资产和设备,但随着新服务和数字化方式的出现,大多数漏洞无法通过传统方式修复。因此,企业需要持续监控和发现这些新数字化服务使用模式可能带来的新漏洞、攻击面和暴露面,同时准确定位其范围。此外,持续威胁暴露面管理强调动态性,需要通过工具或流程快速识别优先处理的暴露面和攻击面,并加强验证流程以确定漏洞的实际风险程度。因此,其关键在于动态性和取舍,而非简单追求漏洞数量。这一过程需要协调多个部门的资源,包括安全团队、开发团队、运维团队以及监管、内部合规和法务等,以确保漏洞的及时修复和风险的有效管理。
趋势七:平衡预防和响应
在有限的资源下,安全投入需要平衡预防性和响应式的两个方面,以提升组织的韧性。过度侧重于预防性投入如同吃健康食品但从未生病,而不注重防护性产品则有可能导致严重后果。因此,必须适当平衡这两类安全投入。评估安全韧性的方法包括定期进行安全事件演练以及建立指标来衡量成果。此外,网络安全技能的再培训也至关重要,因为安全团队的成员需要适应新兴技术和不断变化的威胁。这种再培训涉及到更广泛的技能,如变革管理、数据分析、沟通能力等,对于个人来说,这意味着需要不断提升技能以适应行业的发展。如何有效地进行再培训和提升团队的技能水平,是企业需要面对的挑战之一。因此,未来的计划应该更多地关注未来的需求,并利用失败经验作为学习的机会,同时培养敏捷的学习文化,以便快速适应变化并利用外部资源进行学习。
趋势八:身份访问管理的演变
身份访问管理在安全领域中扮演着至关重要的角色,它不仅与应用安全、云安全、数据安全、终端安全和网络安全等其他领域有着密切的关联,而且深入到每一个安全领域之中。传统上,身份访问管理的重点是在一些基础工作上,如定期的账号审阅和账号清除等。然而,随着新型攻击针对身份基础设施的增加,企业需要将注意力拓展到外部威胁的识别与响应,采用身份威胁检测与响应(ITDR)的方法。这种方法在国内得到了迅速的发展,一些新兴厂商能够帮助企业提前识别外部攻击的威胁。另一个重要的趋势是将传统的集中化安全认证机制转变为身份编织和分布式身份认证架构。这种架构的变化在过去几年由Gartner提出,并通过可组装式的模块化能力动态地提供外部身份访问服务。
趋势九:隐私保护驱动的数据本地化
随着全球对个人信息保护和数据本地化要求的不断增加,越来越多的企业开始关注这一趋势。尤其在国内,除了个人信息外,敏感业务数据也受到监管的密切关注。跨国企业在国内业务范围扩大并建立系统后,面临着国内外数据传输以及应用服务本地化的挑战。监管合规要求驱动了一部分决策,但企业最终的选择是综合考虑多个因素,如系统本地化后是否能与本地生态进行深度整合,国内技术厂商是否能提供支持等。数据本地化和应用本地化将使应用更易于拆分和组装,同时“主权云”也成为选择合作伙伴云厂商时的考虑因素。
记者问答:
RadeBit瑞安全记者:生成式人工智能作为2024年网络安全的主要趋势之一,目前已经有黑灰产利用生成式AI进行仿真攻击和社会工程学攻击。您认为未来应该如何应对这些新型威胁,以保障网络安全。
陈延全:关于外部的黑客他们开始利用生成式人工智能做一些攻击,我们怎么去防范?我们大概需要一些理解,就是黑客利用生成式人工智能怎么去攻击的?比如:他们会去做一些、用一些更真实的钓鱼邮件,模仿不管是图象的或者是身份的,还有就是他们可能会做一个组合式的攻击等等。
这里面有几个黑客能够用生成式人工智能做的一些,不管是效率提升或者是攻击方法的变化,会有这几种不同的方式。从防护上面来看的话,我们觉得是面对这些攻击,整体而言它虽然是用一个新技术,但是我们还是要回归到基本,就是我们需要从人员上面、技术上面、流程上面去做一些强化,最后还是去从技术层面我们去做一些思考。因为像黑客利用生成式人工智能,最容易就是先丰富他的一些欺骗的手段——钓鱼邮件或者是社交攻击。所以我们刚才提到用户行为改变的趋势,还有就是我们透过一些现在的新技术,我们在培训的内容也加入这些常见的攻击手法。我们可以具体去评估,我们到底多少员工经过培训之后还是会点击这些邮件,所以安全意识培训、模拟这些还是很实用的。就是透过GenAI的这种技术可能造成的一些新的攻击方式,我们去训练员工,这是一个。另外就是我们可以用一些技术的手段,比如说现在有些安全厂商会在终端设备上面去检测这种通过人工智能或者是机器学习的方式造成的一些攻击,可以在终端上面做一些逻辑的检测。但是目前我们看到大部分的企业真的在终端上面有这种基于行为的这种攻击检测的设备的情况还不是特别多,大概只有50%的企业我们看到终端设备会配备这种基于行为检测的逻辑的这种终端安全的防护产品,所以这个可能是需要甲方客户再去加强的。另外我们还可以做的事情,就是刚刚提到“50%”的设备、我们尽量减少这些盲点的数量、就是没有办法监控的设备、没有办法监控的业务流程,降低这些这种不受公司管控的这些设备的使用。
RadeBit瑞安全记者:在银行/金融行业中可以通过生成式人工智能来快速检索和汇总索赔、信用卡和贷款中的欺诈行为,同时生成金融信用评估报告。生成式人工智能模型可能受到对抗性示例攻击的影响,导致生成虚假或者不准确的信息。那么我们如何能确保生成的分析报告具有合规性以及拥有可靠的置信度?是否存在一种有效的方法来抵御对抗性示例攻击。
陈延全:这相当于我们怎么去让我们的用户们安全地去使用生成式人工智能。刚刚提到的是预防攻击、第二个是安全地使用它。针对这个模型本身的攻击,它有很多的方式。如果说到一些场景,可能是用到对抗式的示例攻击。也就是说,黑客们可能会用他们刻意制造的一些假的数据来引导我们的模型做出不正确的判断从中获利等等。
这里有几种方式我们可以去尝试,去做一些预防。我们可以在模型训练的时候,就让这个模型更有模型的鲁棒性,就是让它更能意识到这些虚假的数据、恶意的数据。我们叫模型对抗的技术,这个在训练的过程中就可以用一些对抗性的样本,把它“喂”到模型里面,让它本身在模型的训练过程中就能够识别、去对它做一些抵抗。还有就是我们原本模型训练的数据来源,我们用假的对抗样本训练它是加强它的鲁棒性,但是我们这个模型在最开始训练的时候,数据的质量来源就要做把关,就是我们不要从不可靠的第三方引入一些有瑕疵或者是质量不太好的数据,会造成一些训练的偏差、异常值等等,所以我们在使用这些原始训练数据的时候对它做适当的清洗或者是检查有没有偏差、异常值的这种情况,从源头去做一些把关。第三个就是为了预防在使用过程中会有一些虚假数据作为输入影响我们的模型输出,我们可能在输入数据阶段就对数据做验证或者是对数据做一些清洗、去做一些异常值的删除、数据使用的规范等等,也就是说在输入的时候做一些把控,降低这种虚假数据录入到模型场景的概率。除了输入之外,输出的报告,因为这些模型可解释性还不是特别成熟,最终不管我们用模型做了哪些服务、最后生成出来的结果还是最好有人工的审核和验证,去做一个把关,看看基于我们的人工判断去判断有没有特别异常的输出,可能是有这几种方式来降低刚刚提到的“数据被这种示例式攻击的影响”
最新评论