2024 年 AI 时代的工业网络安全风险态势报

内容 1执行摘要2一瞥 23Conclusion24最后的想法 5 9 19 1517 执行摘要 I在《企业网络安全现状：人工智能时代》中，我们识别出几项趋势，表明大多数组织仍然缺乏基本的网络安全卫生措施。 网络安全成果。许多组织 already 有计划在网络安全工具中整合AI，尤其是用于推理、数据分析和生成预训练对话系统。 如同硬币的两面，组织也必须为生成式AI代码可能引入的漏洞、错误和偏见做好准备，但目前利大于弊。 考虑以下令人担忧的统计数据：令人关切的是，美国有10%的组织承认从未对漏洞进行过扫描，而超过一半的组织每周或更少次数地才对漏洞进行一次扫描。 本报告提供了对企业网络安全现状及人工智能在其中作用的见解。我们希望这些内容能在制定今年剩余时间的网络安全计划时对您有所帮助。 此外，65%的受访者依赖为两到多年设计的组织安全计划。由于新的安全风险和攻击向量演变得更快，大多数流程、计划和工具必须经常审查和修订。然而，并不是所有的前景都令人悲观。人工智能正在革新商业，并有望显著提高安全性和效率。 一瞥 2 of 3 组织希望使用 AI 来确定威胁和漏洞的优先级 漏洞、配置错误和用户错误是首要问题 未打补丁的系统和软件正主导着顶级网络安全风险的竞争。54%的调查受访者正在应对持续存在的未打补丁漏洞问题。 令人震惊的是 ， 49% 的受访者声称每周扫描一次或更低的频率。 根据许多行业报告 ， 某些漏洞可以在几天内被利用。 尽管认识到解决这些暴露问题的重要性，许多企业仍缺乏必要的资源或意愿进行频繁的安全扫描。国家漏洞数据库（NVD）每天接收数百个新的漏洞信息。这一在主动安全措施方面的缺口使企业面临潜在的安全利用风险，突显了当前网络安全风险管理实践中的根本性弱点。 资源不足和频繁的扫描实践凸显了众多组织在网络安全策略中存在的重要漏洞。 此外，48%的受访者担心配置错误问题，而43%的受访者担忧生命周期结束（EOL）系统。如果防御方在2024年还需要关注EOL系统，那么我们还远未准备好应对基于AI的攻击。 推荐的后续步骤 组织必须投资于更好的工具和框架以减少这些低 Hanging Fruit，例如EOL。基于扫描的方法已经过时，企业应寻找持续监控和补丁管理。其他技术，如基于风险的优先级划分，也可以提供帮助。 专职人员应专注于管理漏洞并接受持续培训。这些努力，结合定期测试和威胁情报，对于全面的网络安全策略至关重要。 此外，通过定期培训提高员工意识可以减轻人为错误风险。这些不同的方法能够迅速发现并修复漏洞，从而防止可能的攻击。 大多数组织对 VM 使用不充分的优先级排序策略 许多组织根据严重性或关键性优先考虑漏洞，而未考虑资产上下文。51%的受访者表示其组织依赖供应商选定的漏洞评分，而45%的受访者表示使用通用漏洞评分系统（CVSS）。 评估特定资产受到的影响严重程度及潜在影响，exploitation的可能性，以及现有控制措施。通过整合业务关键性、资产价值和威胁情报等因素，组织可以更好地将其努力与实际的风险暴露对齐。 这些框架忽视了资产暴露的问题，并未充分考虑足够的安全控制措施。为了有效管理风险，组织需要发展更好的方法来优先处理需要关注的内容。这包括 将上下文因素纳入漏洞管理可以增强应对独特风险的能力，最终提高整体网络安全态势。 推荐的后续步骤 组织应超越通用评分系统，通过将环境因素纳入漏洞评估中以提高优先级排序。 这涉及评估其资产和运营特定的潜在影响、被利用的可能性以及现有控制措施。通过采用风险- 基于考虑业务重要性、资产价值和威胁情报的优先级设定，组织可以确保最显著的风险首先得到解决。 缺乏高级管理人员的参与不强调网络风险 此外，只有13%的受访者表示CISO或CSO负责定义其网络安全风险管理策略中的指标。在沟通网络安全指标方面的一个挑战是，准备报告以向高层管理传达网络安全指标需要花费太多时间（29%）。缩小这一差距需要简化沟通并展示网络安全努力与业务的相关性。 当前网络安全计划的一个重要改进领域是对安全功能之外的高级执行层和管理团队进行更深入的参与。报告的技术性质以及对网络安全指标影响的一般缺乏理解导致了这种脱节。调查结果显示，40%的高管未能定期接受网络安全简报。另外，54%的高级管理层对网络安全不感兴趣或发现相关指标缺乏吸引力。 通过使指标更加易于访问并与业务成果相关，并简化报告流程，组织可以促进高级管理层更大的兴趣和主动参与，最终增强其整体网络安全韧性。 向高级管理层报告网络风险指标的挑战 54高级管理层对%网络安全或发现指标没有吸引力。 13受访者表示 CISO 总体%负责定义指标 2929% 的受访者表示需要%太多的时间准备报告 推荐的后续步骤 为了改善与高管团队的沟通和报告，组织应简化网络安全指标，并将其与业务成果对齐。这可以通过将技术数据转化为清晰且具有影响力的洞察来实现，这些洞察突出了安全风险可能对业务产生的潜在影响。 应定期安排简明扼要的简报 ， 以使管理人员了解情况并参与其中。 一个CISO应该使用KPIs将网络安全风险转化为具体的财务术语。这使高级执行官能够清楚地理解网络安全风险的潜在成本以及对业务的影响。 大多数安全团队使用与影响相关的度量来确定网络攻击或其他安全事件的成本 组织们正从传统的指标，如平均修复时间（MTTR）和平均检测时间（MTTD），转向关注影响相关的指标。这为将网络安全风险与业务目标对齐提供了机会，通过强调中断对用户和运营的影响。然而，许多公司发现这样的衡量方法具有挑战性。 网络攻击或其他安全事件。48%衡量由于系统可用性导致的正常业务运营中断情况，而63%衡量补救和技术支持活动，包括法医调查、事件响应活动、帮助台响应以及向客户交付服务。 这些受访者中，只有35%采用了量化风险的财务方法，这表明还需要做更多工作以充分发挥其潜力。 59%的受访者通过评估用户因停机或系统性能延迟而导致的闲置时间和生产力损失来确定成本。 衡量网络事件成本时的重点 推荐的后续步骤 为了推动向影响力相关指标的转变，组织应采用网络安全量化（CRQ）方法来量化和有效沟通网络安全风险的财务影响。 通过将这些指标整合到管理层报告中，组织可以更好地优先考虑安全投资、合理说明支出理由，并通过做出基于数据的商业决策来增强整体韧性。这种方法确保了 网络安全努力与业务目标保持一致，最终提高组织管理与缓解风险的能力。 ChatGPT 和 Copilot 采用超过安全团队管理其使用的能力 AI工具如ChatGPT和Copilot的快速 adoption 超过了安全团队有效监控和管理其使用的能力，构成了一个重大威胁。 54% 的受访者表示 ， 他们的组织已经完全或部分采用了人工智能。 尽管存在这些担忧，只有50%的调查受访者定期开展用户培训和意识活动，以应对人工智能的安全影响。 这种差距源于缺乏成熟的最佳实践和监督机制，这可能导致无意中的数据泄露或滥用这些强大的AI工具。 此外，只有31%的组织使用工具来验证AI提示及其响应，留下了显著的安全缺口。 安全团队 increasingly 觉得人工智能是一种新的风险来源，调查显示有 47% 的受访者对由人工智能生成的代码导致的安全漏洞表示担忧。 内部管理 AI 的工具和技术 推荐的后续步骤 工具可以用于验证AI提示和响应，但在我们看到的其他管理工具（如移动设备管理[MDM]）的情况下，用户总会找到绕过这些控制的方法。 确保 AI 工具的持续培训、教育和评估更加有效。 rather than 采取强硬措施管理ChatGPT和Copilot的使用，组织应该从教育用户开始，让他们了解使用ChatGPT所面临的企业风险，并掌握防止敏感信息进入这些工具的最佳实践。 大多数网络专业人士对 AI 驱动的攻击毫无准备 许多组织对潜在的人工智能驱动攻击感到准备不足，突显出在不断演变的网络空间中存在的重大威胁。仅有37%的受访者认为保护资产免受人工智能驱动攻击的能力很高或非常高认可这一问题的紧迫性。 AI驱动的攻击可以快速适应和演变，这使得未做好准备的安全团队难以进行检测和缓解。此外，结合了众多已知且待解决的安全漏洞，许多安全团队可能无法应对快速变化的威胁。 this 准备差距增加了成功攻击的风险，并加剧了组织潜在的影响程度。 最近的违规例子 一种由人工智能驱动的钓鱼攻击在2023年针对一家大型金融服务公司在年度福利注册期间的目标。攻击者冒充福利管理部门，发送精美的、无错误的电子邮件，附带含有恶意软件的附件。攻击者利用注册过程的紧迫性来窃取员工凭证和敏感信息。 在2023年1月，黑客利用人工智能发起针对Yum! Brands的勒索软件攻击，导致公司和员工数据遭到泄露。人工智能自动决定了攻击目标，迫使Yum!关闭了近300家英国分店数周之久，凸显了人工智能驱动的网络攻击潜在的危害性增加。 准备好进行 AI 驱动的网络攻击 推荐的后续步骤 企业必须投资于基于人工智能的防御和培训，以更好地应对基于人工智能的攻击。安全团队应接受专门培训，以增强其处理基于人工智能威胁的理解和能力。 此外，组织应专注于定期更新威胁情报，以领先于恶意行为者。这种主动的方法涉及不断监测威胁landscape，寻找新的AI技术，并相应地调整防御措施。 通过优先进行这些投资、培训和更新，组织可以显著提高其应对AI驱动网络攻击日益严峻威胁的准备能力和韧性。 AI 是一种可以帮助弥合网络安全技能差距的工具 人工智能作为解决网络安全技能缺口的工具具有巨大潜力。拥抱人工智能可能在增强企业网络安全方面带来革命性的变化。 这表明了对AI分析数据并得出有意义结论的能力有强烈的偏好，从而增强决策过程。 50%的受访者表示，AI提高了管理威胁、警报和漏洞的能力，反映了该技术在简化这些网络安全关键方面的作用。将AI集成到网络安全中可以弥补技能缺口、优化威胁管理并提升培训项目，使其成为现代企业不可或缺的工具。 调研发现，对于已全面或部分采用人工智能的54%的受访者而言，63%的受访者希望利用人工智能优先处理威胁和漏洞。此外，57%的受访者认为推断是人工智能的最佳功能。 AI 在改善威胁管理和警报处理方面的作用 推荐的后续步骤 组织应当投资先进的AI驱动工具，自动化常规任务并提供全面的安全威胁分析，以弥补网络安全技能缺口。将这些工具整合到网络安全框架中可以简化运营流程，并使安全团队能够专注于更复杂的工作。 复杂的威胁。定期培训和提高安全人员使用 AI 技术的技能也至关重要。 最后，将人工智能融入员工培训和意识计划中，特别是对于接触敏感数据的人员，可以进一步增强整体安全态势。 此外，组织应实施人工智能以优先处理威胁和漏洞，确保关键问题能够得到及时解决。 许多组织尚未采用自动化来解决资源约束问题 51%的受访者表示其组织已识别威胁对攻击面的影响。在这部分受访者中，39%的人表示其组织仍然依赖于手动技术进行网络安全管理，这显然是一个明显的弱点，极大地削弱了其网络安全态势。手动过程本质上是劳动密集型的，需要大量人力和时间来识别、评估和缓解潜在的安全威胁。这种对手动方法的依赖 劳动力增加了间接费用 ， 并转移了可以在其他地方更有效利用的宝贵资源。 此外，手动流程容易出现人为错误，可能导致遗漏的安全漏洞或配置错误的系统。这些错误会在安全框架中留下漏洞，使组织更容易受到网络攻击。手动技术的低效率还意味着对威胁的响应往往会被延迟，从而给恶意行为者更多时间利用漏洞。 网络安全操作中的手动与自动技术 Recommended推荐的后续步骤后续步骤 风险源于人为错误。此外，组织应采用基于风险的漏洞优先级排序方法进行修复。这种方法确保最关键和最具影响力的漏洞首先得到解决，从而减少修复所需的时间和资源。组织可以 通过专注于最为重要的威胁来提高网络安全态势，确保对潜在网络攻击拥有更为坚