2024年安全现状报告驯服AI的竞赛
AI智能总结
驯服AI的竞赛 作为一名从业20多年的安全专家和领导者,我见证了这个行业的多次发展。但这次不同。随着生成式AI的兴起,网络安全正在成为一个充满机遇和风险的全新领域。在Splunk的2024年安全现状报告中,我们发现许多CISO(首席信息安全官)和从业者正在一往无前地探索这条道路。但考虑到新的合规法规及其对CISO问责制的影响,他们也不确定未来将面对怎样的情形。 在今天的网络环境中,我们希望安全专业人员探索生成式AI如何为其韧性构建过程提供支持,同时,声称采用这一技术手段的受访者比例高达惊人的93%,这说明,许多受访者已经将其视为创新的关键点。他们正在使用生成式AI来构建更好的网络防御机制,执行更明智的决策,并填补关键技术的空白。与此同时,至少三分之一的受访者没有制定生成式AI策略。他们表达的最大的担忧是什么?各种基于AI技术的攻击。 与此同时,美国出台了更加严格的事件报告规则。美国证券交易委员会(SEC)和欧盟的NIS2正在要求CISO群体承担更大的责任。但我们相信,安全专业人员也会发现新的机遇,以便重塑他们的角色和团队。对于广大CISO来说,这意味着在董事会中确定优先事项,而对于安全从业者来说,这需要与ITOps、工程和云团队进行更紧密的合作,以扩大可见性,实现响应时间的最小化,并实现更大的韧性。 安全专业人员继续开辟这条新道路的同时,在Splunk,我们对生成式AI可为防御人员提供的潜力感到兴奋,并为安全优先事项成为业务优先事项的速度深受鼓舞。 Jason LeeSplunk首席信息安全官 不断变化的创新之路 目录 3不断变化的创新之路6加入AI热潮14领先组织的构造块18威胁环境评估23不断攀升的合规压力27奋进31行业数据34典型国家/地区 但完全胜利仍然难以实现,因为防御人员试图在驯服生成式AI的竞赛中超越对手。安全团队担心生成式AI会加剧他们多年来通过各种技术手段挫败的攻击的影响,这是可以理解的。 2024年安全现状报告有些矛盾。尽管安全专业人员的道路困难重重,比如说严格的合规要求、不断升级的地缘政治紧张局势和更复杂的威胁环境,但整个行业还是在取得进展。 许多组织表示,与前几年相比,网络安全变得更容易管理。组织之间的协作更多,威胁检测的速度更快,而且大多数组织都具备解决所面临问题所需的能力和资源。 我们认为防御人员能够胜任这项任务。生成式AI对网络安全的全部影响可能是未知的,但有一种情况我们是确定的:这种竞赛已经开始。 网络安全逐渐变得越来越容易 考虑到环境的复杂性和攻击的复杂性,这种看法可能会令人惊讶。但对于拥有完善安全管理机制和流程的组织来说,依靠久经考验的攻击策略,可能更容易领先于威胁行为者。 作为一名防御人员意味着你很少看到自己的劳动成果。人们很自然地会思考:这些方法有用吗?在满足网络安全需求方面,受访者的观点几乎平分秋色:41%的受访者认为这方面的工作变得更容易了,46%的受访者则认为更难了。 此外,54%的受访者正在加深与软件工程部门的合作——如果在设计和代码开发阶段早期就开始考虑安全问题,解决漏洞问题就会变得更加易于管理。 组织检测威胁的速度也在加快。55%的受访者估计他们检测造成中断的事件的平均检测时间(MTTD)为14天或更短。这标志着,与去年相比,这方面已经有了显著的提升,当时只有28%的受访者估计在同一时间段内检测到此类事件。但与攻击者访问系统所需的时间相比,这一时间仍然过长。 合作可能是网络安全变得越来越容易的原因之一:87%的受访者表示,与一年前相比,他们与其他团队的合作更加紧密。四分之三(75%)的受访者表示,今年将更多地与IT运维部门开展合作。 但总体趋势仍充满希望。自Splunk发布2022年安全现状报告以来,网络安全管理变得越来越容易。 在过去两年中,满足网络安全要求 但战斗还没有结束 对AI的呼声高于云 2024年主流安全措施 在认为网络安全工作越来越困难的受访者中,38%的受访者认为威胁环境的复杂性是导致这一情况的原因。地缘政治紧张局势和网络战争正在升级。物联网、AI和多云环境正在以指数方式增加数据量。因此,仍在努力实施基本网络安全管理机制的组织将难以确保更多的资产和端点。他们也将更难防止简单的人为错误,如配置错误,这是今年的头号威胁向量。 今年进行的调查中最值得注意的发现之一是,对AI的宣传与实际情况相符。近一半(44%)的受访者将AI列为2024年三大主要举措之一,这一比例超过了云安全。 虽然安全团队认识到AI的许多好处,但不受法律和政策阻碍的威胁行为者也意识到了这一点。当被问及AI会让天平偏向防御人员还是对手时,受访者的态度几乎各占一半:45%的受访者预测对手将受益最大,43%的受访者认为防御人员将受益最大。 更加严格的合规性要求也会增加风险,特别是对于现阶段个人需要为组织的违规行为承担责任的安全主管。28%的受访者认为遵守相关法规会让工作变得更加困难。新出台的政府条令只会让工作压力更大。 生成式AI的迅速崛起激发了人们对未来的无限遐想,但同样也提出了我们实际将面临何种情形的严重问题。这对SOC将意味着什么?组织是否会引入政策来鼓励安全和有效的使用?他们如何在不妨碍创新的情况下执行这些政策?答案正在逐渐明朗。 与前几年类似,27%的安全团队难以在解决各种突发状况的同时投入足够的时间来提高网络安全,这表明缺乏长期战略和投入。连串的安全警报也会让局面难以为继——26%的受访者认为警报数量过多,应对起来比较麻烦。 安全分析20% 加入AI热潮 在加利福尼亚淘金热潮期间,成千上万怀揣发财梦的淘金者向西部迁移。同样,在今天的生成式AI热潮中,我们看到人们以极快的速度寻找机会,进入一个充满无限可能和危险风险的未知前沿领域。每个人都想找到主矿脉,享受先发优势。这是可能的——只是需要一点一点地去挖掘。 生成式AI的前景和可能性 生成式AI已经成为主流,许多组织正在积极实施这种方案,进而实现业务转型。从在电子商务中提供个性化客户推荐服务,到绘制人类大脑图谱,再到模仿伦勃朗的笔触,生成式AI几乎在每个行业都有各种各样的用例。 驾驭生成式AI的竞赛异常激烈,50%的受访者表示,他们的组织正在制定将生成式AI用于网络安全的正式计划,但该计划尚未完成或在内部达成一致。 如果处理得当,安全和创新可以齐头并进。与此同时,我们还想了解来自企业或董事会的压力(或者只是很害怕错过这一热潮而落后)是否正在推动安全团队采用生成式AI。 这些不仅仅是猜测。93%的受访者表示,业务线终端用户依赖公共生成式AI工具来帮助他们完成工作。这会为安全团队提供更多的工作机会,他们需要确保业务免受数据泄漏等生成式AI相关漏洞的影响。 即使对其怀疑态度最为坚决的安全专业人士,面对大家对生成式AI的乐观态度也会动摇自己的想法。安全团队的采用率几乎与企业的整体采用水平一样高,91%的受访者都在使用公共生成式AI。更重要的是,他们对生成式AI取得的成功持一种支持的态度,46%的受访者表示,生成式AI将为他们的安全团队“改变游戏规则”。 就在两年前,询问组织有多少最终用户正在使用公共生成式AI工具几乎是荒谬的,但今天生成式AI在业务中的地位举足轻重。” ——Splunk欧洲、中东和非洲首席技术官,战略顾问Kirsty Paine 生成式AI的影响是广泛的,因此要搞清楚它,我们需要从多个视角和特殊领域出发。例如,Splunk的AI委员会横跨多个业务部门,包括产品和技术、法务、隐私、安全、人力资源、市场和营销。 生成式AI策略是一个未知领域 组织应该成立一个跨部门的治理委员会,以一个负责任的AI的全面框架来监督AI的开发和采用。” “快速行动,打破常规”可能听起来违反大多数安全从业者的直觉,但当组织寻求快速创新时,这可能是一种正确的理念。虽然安全团队很少拒绝制定策略的机会,但34%的组织没有制定生成型AI政策,尽管这一技术手段的采用率很高。 当然,深思熟虑的安全策略并不一定能转化为万无一失的预防措施,但它们可以大大减少数据泄漏和其他新的漏洞。 Splunk SURGe首席安全策略师Shannon Davis表示:“对生成式AI的限制过于严格的公司不仅有可能落后于竞争对手,还很容易让自己受到大力推崇这些工具的威胁行为者的攻击。” 生成式AI必须接受法律监管 虽然就目前而言,就像内部监管一样,生成式AI的前沿领域仍然相对不受任何可执行法律的控制和监管。但AI合规的要求正在开始成形。 我们从云计算或物联网技术的应用中吸取的教训告诉我们,缺乏流程和规划可能会给安全团队带来困扰。企业操之过急,盲目跟风的做法导致了不良后果,例如个人信用卡支付的不合规的云服务,或充满软件漏洞的不安全的物联网设备。安全团队必须在创新速度与深思熟虑和可持续的过程之间权衡利弊。 例如,欧盟的AI法案旨在引入基于风险类别的共同监管框架。2023年,欧洲议会修订了其最初的建议,将生成式AI纳入其中,要求其必须符合一定的透明度要求。这些要求包括在数据库中注册基础模型,以及制定和保留技术文档。 ——Splunk AI事业部副总裁Hao Yang 强有力的策略源自对一项技术真正意义的深入理解,然而65%的受访者坦言,他们缺乏关于生成式AI的培训。但对组织中的其他人员进行生成式AI的相关培训应该不是网络安全团队的唯一负担。 在美国,拜登政府的AI权利法案建议,在与自动化系统通信时,应向用户进行通知,并允许选择退出并与真人互动。这些指导方针可能预示着政府未来的行动。 即将出现的政府严格监管的局面可能是45%的受访者将更好地符合合规要求列为仅次于数据泄露的首要改进方面的原因。要针对这一趋势提前做好应对,就需要重新关注内部合规控制。 “组织应该成立一个跨部门的治理委员会,以一个负责任的AI的全面框架来监督AI的开发和采用,”Splunk AI事业部副总裁Hao Yang如是说。 生成式AI:是敌还是友? 生成式AI对谁更有优势?受访者各有高见。 生成式AI作为保证安全的得力助手 人们对生成式AI的认识正在快速发展。就在8个月前,在我们的CISO报告中,只有17%的受访者认为生成式AI将对防御人员有所帮助。现在,几乎一半(43%)的受访者持有相同的看法。 防御人员似乎持有一种乐观的态度,并一致认为生成式AI很适合若干网络安全用例,并将威胁情报分析和风险识别视为主要的两个应用场景。 越来越多的供应商正在将生成式AI纳入他们的产品中,反映这一手段在安全工作流程中的使用,而防御人员也开始看到这种可能性。虽然新出现的生成式AI攻击和AI中毒的可能性仍然存在,但这些威胁还没有变得普遍。 生成式AI用例在实际工作中的表现如何 威胁检测和优先处理 威胁情报分析 识别风险 对安全数据进行汇总 LLM可以确定威胁情报报告中描述的漏洞和MITREATT&CK技术指标。情报团队可以通过该功能从大量繁重的工作中解脱出来,并能够更快地进行更深入的分析。 生成式AI可以通过快速聚合不同的数据集来增强基于风险的警报,进而为安全分析师提供富有语境的警报。大型语言模型(LLM)有助于以远远超出人类能力的速度和效率传递这些信息。 对警报进行优先排序和分类是特别容易受到分析师错误分类、疲劳和人为错误影响的任务。生成式AI可以同时处理多个威胁,同时提高准确性。 生成式AI可以快速、全面、准确地进行总结,帮助安全团队节省时间并跟上新闻和信息的节奏,例如拜登关于改善美国网络安全的行政命令。 生成式AI如何缩小技能差距 解决网络安全技能短缺问题 技能熟练的专业人员是任何SOC的核心,许多组织仍在应对人才短缺的问题。生成式AI可以为解决这一切实的需求提供一些喘息的机会。 的受访者认为它可以帮助组织雇佣更多入门级人才86% 86%的组织认为,生成式AI将帮助他们聘请更多入门级网络安全人才,58%的组织表示,它将帮助他们更快地聘用入门级人才。90%的受访者表示,入门级员工入职后,可
