今年對CISO們來說充滿挑戰，他們肩負著日益加重的責任，需要推動網絡安全成為業務發展的助力，面臨安全事件法律責任的威脅，以及不斷擴大的攻擊面。

隨著一年即將結束，CISO們回顧了塑造2024年安全格局的一些要點。

匆忙采用AI編碼助手帶來了新漏洞

IANS Research的研究員、Hunter Strategy的研發副總裁Jake Williams表示，AI顛覆了網絡安全領域，推動了新工具的開發，同時也讓黑客和網絡犯罪分子掌握了這種強大的技術。

然而，對于那些匆忙采用AI的企業來說，這種未經充分測試的技術帶來了自身的風險，反而創造了新的漏洞，而不是解決方案。

Williams曾與幾家采用AI編碼助手的企業合作，發現這些企業的試點團隊交付代碼的速度更快?！霸诖蠖鄶登闆r下，他們更廣泛地部署了這些工具，通常沒有為開發人員提供額外的培訓，并且自使用AI編碼助手以來，發現代碼中的缺陷率更高?！?/p>

大多數團隊在解決AI生成的代碼中的問題時需要更長時間，然而，Williams指出，一些企業發現，如果僅將AI編碼助手用于特定任務，如使用靜態應用安全測試(SAST)發現的漏洞修復，并不會增加缺陷率。

問題不在于AI編碼助手是否不好，而在于是否找到了合適的應用場景。

AI生成的代碼是一個狹窄、高度結構化且易于衡量的應用場景——這是它擅長的任務。考慮到這一應用中的問題，Williams認為，其他AI實施中可能存在不那么明顯的問題?！拔覀冊谶@里沒有看到巨大的成功，這表明在我們的AI采用過程中，其他地方很可能存在難以衡量的隱藏失敗?！彼f。

美國證券交易委員會(SEC)規則變更：透明為上策

根據跟蹤監管變化影響的hyperproof現場CISO Kayne McGladrey的說法，美國證券交易委員會(SEC)2023年關于風險管理、戰略、治理和事件披露的規則為上市公司的安全領導者增加了更多法規和重大的報告要求。

今年已經感受到了這一影響，因為企業的披露負擔顯著增加。

其中最受媒體關注的一項新規則是“重要性”要素，即要求在發現“重大”網絡安全事件后的四個工作日內向SEC報告。

問題在于該事件是否給企業及其股東帶來了重大風險。如果是，則將其定義為重大事件，并必須在做出此判斷(而非初次發現)后的四天內報告。

“重要性不僅涉及直接財務影響等量化損失，還包括聲譽損害和運營中斷等定性方面。”他說。

McGladrey表示，SEC的重要性指導強調了投資者保護與網絡安全事件之間的重要性，如果有疑問，最安全的做法是報告?！叭绻洞嬖诓淮_定性，那么透明化可以保護股東的利益?！彼嬖V記者。

小型企業正在加強安全建設

Pocket CISO的創始人兼社區CISO Carlota Sage表示，小型企業的領導者不再對網絡安全和合規性口是心非，他們更早地在安全和合規戰略上進行小額投資，以確保隨著公司的發展，公司具有韌性。

作為一項虛擬或部分CISO服務，Sage觀察到初創公司在種子前階段和A輪階段，甚至在某些情況下，在最終確定最小可行產品之前就開始使用vCISO服務。

“小型技術咨詢公司和精品軟件開發團隊正在尋求ISO 27001認證，以確保他們能夠繼續為大型客戶服務?！彼嬖V記者。

此外，中型公司(300-500名員工)的領導者正在尋求審計之外的確認，以確保他們的安全和合規計劃遵循最佳實踐且狀態良好。

企業注重與客戶保持透明度和開放溝通

IANS Research的研究員、MongoDB的臨時CISO/信任負責人George Gerchow表示，今年，主要云服務提供商和財富100強公司推出了信任計劃。

Gerchow表示，Snowflake和CrowdStrike等公司發生的重大中斷，以及涉及Okta的多起事件，損害了人們對云服務提供商的信任。“傳統的安全問卷和共同責任模式已經行不通了，我們對此已經知曉一段時間了?！彼f。

圍繞重大中斷和事件的不透明引發了大量焦慮，因此云采用速度有所放緩。“然而，現實是，人們需要的工具越來越基于云。”他告訴記者。

為應對這一挑戰，一些企業正專注于建立信任辦公室，致力于與客戶保持透明度和開放溝通。“這些努力是為了在信任危機之前搶占先機，安全副總裁們積極討論新興威脅以及如何建立信心。每個人都在尋求那種透明度?！彼f。

Gerchow認為，這些辦公室將在發生事件時，為公司更好地保護自己和客戶提供直接途徑?！半S著對AI的投資持續增長，團隊之間的信任和協作將比以往任何時候都更加重要。唯一的前進道路是建立信任的基礎。”他說。

第三方安全審查有所改進，但仍需更多努力

Rose CISO Group的CISO兼創始人Olivia Rose表示：“最后，值得慶幸的是，我們已經認識到，我們現有的要求供應商填寫一頁又一頁問卷以獲得客戶‘業務驗證’的流程已經行不通了。”

Rose表示，在供應商方面，這些問卷耗時且對團隊資源造成了沉重負擔?！霸诳蛻舴矫?，我們期望世界上最多疑的群體之一——CISO們，根據供應商提供的幾百個答案以及一份SOC2報告，就交出他們敏感數據和環境的訪問權限?！彼f。

Rose表示，盡管有這些流程，但第三方和第四方泄露事件的頻率并沒有下降，這進一步支持了整個流程已經失效的觀點。

AI改進了團隊對這些問卷的響應方式，使他們能夠更快、更準確、更輕松地完成響應。即便如此，仍有改進的空間，并且有可能節省大量花費在這一功能上的時間和資源。

“我抱著希望，交叉著手指，希望在2025年，會出現一家初創公司，為客戶提供一種更強大、更具體的方法來評估和驗證他們連接的供應商是否具備預期的安全水平?！彼f。

增加事件響應人員以應對釣魚攻擊的增加

2024年，釣魚手法持續改進，給檢測團隊帶來了越來越大的負擔。坦帕大學信息技術與安全副總裁Tammy Loper表示：“我看到了一種釣魚攻擊的趨勢，網絡犯罪分子不再向我們成千上萬的用戶發送單一的釣魚郵件?！?/p>

Loper說，相反，網絡犯罪分子會對同時發送的一千封釣魚郵件中的每一封進行定制，使得事件響應人員幾乎不可能像以前那樣快速地關閉攻擊。

如果釣魚郵件在接收后被檢測到(因為它躲過了郵件安全檢測)，并且用戶與之交互，由于這種微妙的變化，事件處理人員無法再從所有可能收到完全相同釣魚信息的收件箱中快速清除它。“他們現在必須尋找構造相似的釣魚郵件，這些郵件之間的微小差異使得每一封都對我們的最終用戶構成不同且獨特的威脅，并且需要分別清除每一封。”她說，“網絡犯罪分子總是不斷改進以躲避檢測，并為信息安全團隊創造新的挑戰?！?/p>

這導致需要增加事件響應人員來處理呈指數級增長的獨特安全警報或威脅。

AI揭示了意想不到的安全威脅

今年表明，與AI相關的潛在安全問題難以預測，而且事后總是更容易聯系起來。

BPM的CISOVandy Hamidi表示，它已經以多種形式產生了重大影響，但IT和信息安全團隊需要時刻關注安全威脅，并在它們一出現就進行管理。

“關于AI之后人類未來的預測有很多，但真正的結果只有在它們出現在我們眼前時才會顯現。”他告訴記者。

安全專業人員應指導和教育同事，同時盡快讓自己了解這類新風險，這還需要靈活性，以優化技術的影響，同時隨著安全風險的變化做好準備以適應。

CISO們意識到深度偽造是新一類風險

Hamidi表示，即使是公司可能用于快速制作視頻內容或創建交互式機器人的授權深度偽造，其易獲取性也構成了一類新的威脅。

“如果一個逼真的機器人可以用來實時模仿一個真人會怎么樣?”

他表示，深度偽造引發了關于肖像所有權的合規和數據隱私問題，以及如果受信任個人的肖像或聲音被用于實施欺詐，則會引發安全問題。

Elastic的CISO Mandy Andress表示，隨著生成式AI的改進，深度偽造將變得更加普遍。

今年已經表明，安全團隊必須通過幫助企業更好地了解風險并教育員工，在應對深度偽造攻擊方面發揮重要作用?！袄肁I和機器學習可以幫助加強努力，幫助團隊利用大量數據做出決策和進行反擊。”她說。

第三方威脅變得更加復雜和分散

The Carlyle Group的CISO Bethany De Lude表示，隨著第三方依賴性的增加，這繼續激勵著侵犯用戶社區的行為，同時這些威脅在不同的環境中也變得更加復雜。

“隨著公司采用基于多云和SaaS的業務模式，在由身份定義而非傳統控制邊緣定義的信息環境中，管理風險的新挑戰也隨之出現?！彼f。

對此，De Lude認為，將會出現新的、務實的數據和供應商管理方法，這些方法會考慮到不斷變化的邊界以及安全越來越以誰可以訪問數據和系統為中心，而不是以這些系統的位置為中心。

“他們需要解決現代企業在復雜、互聯和分布式環境中運營的方式。”她說。

AI和自動化重塑了漏洞管理

Carolina Complete Health公司信息安全副總裁兼CISO Rick Doten表示，今年展現了利用AI進行大規模自動化問答和回歸測試的新工具是如何減輕團隊負擔，并加速安全有效的補救流程的。

他說：“這些補救工作流程工具支持對發現的問題進行優先級排序、標準化和去重，以便將它們分配給相應的團隊，甚至創建工單分配給特定人員?！?/p>

盡管借助安全編排、自動化和響應(SOAR)工具已經可以實現這一點，但這需要人員編寫自動化腳本以及支持自動化的流程和工作流。

AI支持的工具解決了資源限制問題，以及跨多個團隊(這些團隊可能擁有不同的補救工作流程和工單系統)修復發現的問題時面臨的職責挑戰?！拌b于云環境的動態性，AI工具非常重要，因為我們的工作負載中有數萬項發現需要修復”，Doten說道。