今年对CISO们来说充满挑战,他们肩负着日益加重的责任,需要推动网络安全成为业务发展的助力,面临安全事件法律责任的威胁,以及不断扩大的攻击面。
随着一年即将结束,CISO们回顾了塑造2024年安全格局的一些要点。
匆忙采用AI编码助手带来了新漏洞
IANS Research的研究员、Hunter Strategy的研发副总裁Jake Williams表示,AI颠覆了网络安全领域,推动了新工具的开发,同时也让黑客和网络犯罪分子掌握了这种强大的技术。
然而,对于那些匆忙采用AI的企业来说,这种未经充分测试的技术带来了自身的风险,反而创造了新的漏洞,而不是解决方案。
Williams曾与几家采用AI编码助手的企业合作,发现这些企业的试点团队交付代码的速度更快。“在大多数情况下,他们更广泛地部署了这些工具,通常没有为开发人员提供额外的培训,并且自使用AI编码助手以来,发现代码中的缺陷率更高。”
大多数团队在解决AI生成的代码中的问题时需要更长时间,然而,Williams指出,一些企业发现,如果仅将AI编码助手用于特定任务,如使用静态应用安全测试(SAST)发现的漏洞修复,并不会增加缺陷率。
问题不在于AI编码助手是否不好,而在于是否找到了合适的应用场景。
AI生成的代码是一个狭窄、高度结构化且易于衡量的应用场景——这是它擅长的任务。考虑到这一应用中的问题,Williams认为,其他AI实施中可能存在不那么明显的问题。“我们在这里没有看到巨大的成功,这表明在我们的AI采用过程中,其他地方很可能存在难以衡量的隐藏失败。”他说。
美国证券交易委员会(SEC)规则变更:透明为上策
根据跟踪监管变化影响的hyperproof现场CISO Kayne McGladrey的说法,美国证券交易委员会(SEC)2023年关于风险管理、战略、治理和事件披露的规则为上市公司的安全领导者增加了更多法规和重大的报告要求。
今年已经感受到了这一影响,因为企业的披露负担显著增加。
其中最受媒体关注的一项新规则是“重要性”要素,即要求在发现“重大”网络安全事件后的四个工作日内向SEC报告。
问题在于该事件是否给企业及其股东带来了重大风险。如果是,则将其定义为重大事件,并必须在做出此判断(而非初次发现)后的四天内报告。
“重要性不仅涉及直接财务影响等量化损失,还包括声誉损害和运营中断等定性方面。”他说。
McGladrey表示,SEC的重要性指导强调了投资者保护与网络安全事件之间的重要性,如果有疑问,最安全的做法是报告。“如果披露存在不确定性,那么透明化可以保护股东的利益。”他告诉记者。
小型企业正在加强安全建设
Pocket CISO的创始人兼社区CISO Carlota Sage表示,小型企业的领导者不再对网络安全和合规性口是心非,他们更早地在安全和合规战略上进行小额投资,以确保随着公司的发展,公司具有韧性。
作为一项虚拟或部分CISO服务,Sage观察到初创公司在种子前阶段和A轮阶段,甚至在某些情况下,在最终确定最小可行产品之前就开始使用vCISO服务。
“小型技术咨询公司和精品软件开发团队正在寻求ISO 27001认证,以确保他们能够继续为大型客户服务。”她告诉记者。
此外,中型公司(300-500名员工)的领导者正在寻求审计之外的确认,以确保他们的安全和合规计划遵循最佳实践且状态良好。
企业注重与客户保持透明度和开放沟通
IANS Research的研究员、MongoDB的临时CISO/信任负责人George Gerchow表示,今年,主要云服务提供商和财富100强公司推出了信任计划。
Gerchow表示,Snowflake和CrowdStrike等公司发生的重大中断,以及涉及Okta的多起事件,损害了人们对云服务提供商的信任。“传统的安全问卷和共同责任模式已经行不通了,我们对此已经知晓一段时间了。”他说。
围绕重大中断和事件的不透明引发了大量焦虑,因此云采用速度有所放缓。“然而,现实是,人们需要的工具越来越基于云。”他告诉记者。
为应对这一挑战,一些企业正专注于建立信任办公室,致力于与客户保持透明度和开放沟通。“这些努力是为了在信任危机之前抢占先机,安全副总裁们积极讨论新兴威胁以及如何建立信心。每个人都在寻求那种透明度。”他说。
Gerchow认为,这些办公室将在发生事件时,为公司更好地保护自己和客户提供直接途径。“随着对AI的投资持续增长,团队之间的信任和协作将比以往任何时候都更加重要。唯一的前进道路是建立信任的基础。”他说。
第三方安全审查有所改进,但仍需更多努力
Rose CISO Group的CISO兼创始人Olivia Rose表示:“最后,值得庆幸的是,我们已经认识到,我们现有的要求供应商填写一页又一页问卷以获得客户‘业务验证’的流程已经行不通了。”
Rose表示,在供应商方面,这些问卷耗时且对团队资源造成了沉重负担。“在客户方面,我们期望世界上最多疑的群体之一——CISO们,根据供应商提供的几百个答案以及一份SOC2报告,就交出他们敏感数据和环境的访问权限。”她说。
Rose表示,尽管有这些流程,但第三方和第四方泄露事件的频率并没有下降,这进一步支持了整个流程已经失效的观点。
AI改进了团队对这些问卷的响应方式,使他们能够更快、更准确、更轻松地完成响应。即便如此,仍有改进的空间,并且有可能节省大量花费在这一功能上的时间和资源。
“我抱着希望,交叉着手指,希望在2025年,会出现一家初创公司,为客户提供一种更强大、更具体的方法来评估和验证他们连接的供应商是否具备预期的安全水平。”她说。
增加事件响应人员以应对钓鱼攻击的增加
2024年,钓鱼手法持续改进,给检测团队带来了越来越大的负担。坦帕大学信息技术与安全副总裁Tammy Loper表示:“我看到了一种钓鱼攻击的趋势,网络犯罪分子不再向我们成千上万的用户发送单一的钓鱼邮件。”
Loper说,相反,网络犯罪分子会对同时发送的一千封钓鱼邮件中的每一封进行定制,使得事件响应人员几乎不可能像以前那样快速地关闭攻击。
如果钓鱼邮件在接收后被检测到(因为它躲过了邮件安全检测),并且用户与之交互,由于这种微妙的变化,事件处理人员无法再从所有可能收到完全相同钓鱼信息的收件箱中快速清除它。“他们现在必须寻找构造相似的钓鱼邮件,这些邮件之间的微小差异使得每一封都对我们的最终用户构成不同且独特的威胁,并且需要分别清除每一封。”她说,“网络犯罪分子总是不断改进以躲避检测,并为信息安全团队创造新的挑战。”
这导致需要增加事件响应人员来处理呈指数级增长的独特安全警报或威胁。
AI揭示了意想不到的安全威胁
今年表明,与AI相关的潜在安全问题难以预测,而且事后总是更容易联系起来。
BPM的CISOVandy Hamidi表示,它已经以多种形式产生了重大影响,但IT和信息安全团队需要时刻关注安全威胁,并在它们一出现就进行管理。
“关于AI之后人类未来的预测有很多,但真正的结果只有在它们出现在我们眼前时才会显现。”他告诉记者。
安全专业人员应指导和教育同事,同时尽快让自己了解这类新风险,这还需要灵活性,以优化技术的影响,同时随着安全风险的变化做好准备以适应。
CISO们意识到深度伪造是新一类风险
Hamidi表示,即使是公司可能用于快速制作视频内容或创建交互式机器人的授权深度伪造,其易获取性也构成了一类新的威胁。
“如果一个逼真的机器人可以用来实时模仿一个真人会怎么样?”
他表示,深度伪造引发了关于肖像所有权的合规和数据隐私问题,以及如果受信任个人的肖像或声音被用于实施欺诈,则会引发安全问题。
Elastic的CISO Mandy Andress表示,随着生成式AI的改进,深度伪造将变得更加普遍。
今年已经表明,安全团队必须通过帮助企业更好地了解风险并教育员工,在应对深度伪造攻击方面发挥重要作用。“利用AI和机器学习可以帮助加强努力,帮助团队利用大量数据做出决策和进行反击。”她说。
第三方威胁变得更加复杂和分散
The Carlyle Group的CISO Bethany De Lude表示,随着第三方依赖性的增加,这继续激励着侵犯用户社区的行为,同时这些威胁在不同的环境中也变得更加复杂。
“随着公司采用基于多云和SaaS的业务模式,在由身份定义而非传统控制边缘定义的信息环境中,管理风险的新挑战也随之出现。”她说。
对此,De Lude认为,将会出现新的、务实的数据和供应商管理方法,这些方法会考虑到不断变化的边界以及安全越来越以谁可以访问数据和系统为中心,而不是以这些系统的位置为中心。
“他们需要解决现代企业在复杂、互联和分布式环境中运营的方式。”她说。
AI和自动化重塑了漏洞管理
Carolina Complete Health公司信息安全副总裁兼CISO Rick Doten表示,今年展现了利用AI进行大规模自动化问答和回归测试的新工具是如何减轻团队负担,并加速安全有效的补救流程的。
他说:“这些补救工作流程工具支持对发现的问题进行优先级排序、标准化和去重,以便将它们分配给相应的团队,甚至创建工单分配给特定人员。”
尽管借助安全编排、自动化和响应(SOAR)工具已经可以实现这一点,但这需要人员编写自动化脚本以及支持自动化的流程和工作流。
AI支持的工具解决了资源限制问题,以及跨多个团队(这些团队可能拥有不同的补救工作流程和工单系统)修复发现的问题时面临的职责挑战。“鉴于云环境的动态性,AI工具非常重要,因为我们的工作负载中有数万项发现需要修复”,Doten说道。
