15%的优势:高绩效首席信息安全官如何利用众包安全
AI智能总结
如何高绩效的CISO利用众包安全 目录 首席信息安全官的新现实 02 众包安全现状 03 04局部与强大进攻性测试之间的差距 05认识15%——那些通过众包安全推动影响的领导者 实现全部收益的障碍06 07克服开始或扩展进攻性安全的障碍 成为众包安全领导者5个建议 最终心得:相信数据 首席信息安全官的新现实 安全领导者们比以往任何时候都要忙,不断变化的威胁格局仍在将更多责任压到他们肩上。 在其管理企业级网络安全风险的责任之上,Ciso现在有两个新的任务:维持一个密闭的环境以防止数据隐私问题,并同时确保其组织内人工智能的多种使用方式。随着这些责任而来的是新的合作者,因为首席法律官、首席技术官和首席信息官现在都是关键利益相关者。 现在负责AI安全 现在监督数据隐私 进攻性安全是一个广泛的主动战术类别,包括渗透测试、红队演练和漏洞评估。 但即使是最好的首席信息安全官(CISO)也有盲点。为了拓展他们的视野,超过四分之三的安全领导者正在利用众包安全, 一种特定的攻击性安全方法。而对于那些没有采用的人,86%计划尽快采用。 云端外包安全技术是进攻性安全的一个专门分支,它参与一个全球性的身份验证安全研究员社区,以持续识别、验证和帮助缓解漏洞。 问题?根据我们针对400名专业人士对众包安全方法的认知、障碍和使用的最新研究,近一半的CISO仅使用一些众包安全元素,尚未体验到全部好处。 只有 56% 的 CISO 使用所有众包安全的关键要素 需要增加跨职能协作: 幸运的是,数据也揭示了一种弥合这种有效性差距的解决方案——有15%的CISO正在开辟清晰的道路,采用一系列众包安全元素,与部分实施相比,这些元素使识别和消除其整个潜在攻击面的漏洞的有效性翻了一番。 CLOs(首席法律官) 首席技术官(首席技术官) 我们发现,各行业和规模的首席信息安全官(CISO)在使用众包安全或更全面地整合它方面都面临共同的障碍。克服这些挑战就是加入众包安全领域的崛起浪潮。 CIOs(首席信息官) 众包安全现状 众包安全方法—漏洞悬赏计划,漏洞披露计划 (VDP),和第三方渗透测试—借助全球独立安全研究人员的专业知识,揭示内部团队可能无法检测到的漏洞。 而且这是一种众所周知的形式:94%的CISO熟悉众包安全,和超过四分之三的人已经成功地使用它了以某种形式,包括他们在人工智能安全和数据隐私方面的新职责。 87%的人认为安全防御很重要,但对那些利用众包安全的人来说,这一比例跃升至95% 在尚未使用众包安全的CISO中,86%计划一年内使用。超过一半的人计划利用它人工智能安全,将近三分之一的人计划包括数据隐私挑战。 局部与强大进攻性测试之间的差距 部分实施带来部分成功。 随着 CISO 更多地采用众包安全并使用多种方法,他们持续看到价值。 与安全研究人员建立信任的成熟度较低、解析其报告漏洞的准确性并对其反馈采取行动的CISO,往往经历众包安全有效性的降低。 目前超过一半的用户利用了所有核心要素:漏洞悬赏、VDPs和第三方渗透测试。但较少的用户将其AI系统和数据隐私组件纳入其攻击测试程序中。 ciso中有%使用全部三个要素:漏洞悬赏计划、漏洞披露平台(vdp)和渗透测试 使用全部三种方式的 CISO 中,有三分之一的人说众包测试在发现和消除漏洞方面是有效的 三分之一的 CISO 包括人工智能系统当前处于进攻测试范围内 不到一半的CISO包括数据隐私当前处于进攻测试范围内 32%计划在一年内包含它 认识15%——那些通过众包安全推动影响的领导者 四种行动定义了最大化进攻性安全影响的CISO: 采用众包方式在其进攻性安全战略中 包含数据隐私测试-相关漏洞 利用所有三个关键要素众包安全(漏洞悬赏,漏洞披露平台,渗透测试) 包含人工智能安全的测试漏洞 有了这四个要素,众包安全领导者是: 很可能找到众包测试模型非常有效在寻找和消除安全漏洞 更倾向于考虑众包模型有效在消除数据隐私漏洞 59% 2x 更可能持续监控安全风险 38% 实现全部收益的障碍 一个CISO如何成为一名众包安全领导者? 对于初识众包安全,或者只是浅尝辄止的人来说,可能会面临一些常见的障碍和挑战。但这些限制性的认知没有必要阻碍你深入探索以看到最大的影响。 克服开始或扩展进攻性安全的障碍 对400名受访CISO的见解为克服障碍提供了宝贵的论据。对于最常见的挑战,来自成功攻击者和众包安全实践者的数据可以影响你的利益相关者,让他们看到价值与影响。 缺乏利益相关者认可对于希望实施第三方渗透测试和VDP的人来说,这是最大的挑战,也是总体上最常被提及的挑战。 证明点:73%的CISOs使用某种形式的社会化安全服务表示它在发现和消除安全漏洞方面是有效的,甚至在数据隐私和与人工智能相关的威胁方面具有更高的检测率。当CISOs利用所有三个社会化安全要素时,这种有效性会跃升至89%。 认知证明与熟悉度有关:不熟悉的观点将众包安全视为难以管理和扩展,而熟悉的人则将其视为一种有效发现漏洞的方法。 拥有vdp是强大的漏洞管理计划的核心组成部分。与研究人员社区建立积极的关系对你的整体安全计划非常宝贵。” 约翰迪尔的首席信息安全官詹姆斯·约翰逊 缺乏专业人员是一个被提及的挑战,用于扩展进攻性安全计划,并实施VDP或漏洞悬赏计划。 证明点:除了识别未知漏洞之外,CISO们最常说的 crowdsourced security 的主要目标是为了补充他们内部的安防工作。而服务范围是 CISO 在评估那些提供可扩展且可追踪的,面向全球合格安全研究者的安全资源库的 crowdsourced security 供应商时所考虑的关键因素。 每个组织都有盲点。拥有另一个黑客社区盯着屏幕上那些你忽略的东西意味着你可以封住那些漏洞。” 马修·索斯沃斯百达通安全工程副总裁 预算约束是 CISO 们希望扩展进攻性安全时面临的最常见的挑战。 证明点:越是首席信息安全官(CISO)投资于攻防安全,他们就越坚信。100%的领导者——那些掌握了 crowdsourced security 的全部三个要素,包括数据隐私和人工智能——表示这对他们的整体网络安全战略非常重要。这种重要性随着组织收入的增加而提高,表明早期的投资随着时间的推移会不断增值。 自2019年以来,Zoom与900名黑客合作,其中300名提交了我们不得不迅速转向的漏洞。我们已经支付了超过700万美元。这是一项巨大的投资,但回报是值得的:我们在现实问题成为现实问题之前,找到了世界级的人才来寻找现实世界的解决方案。迈克尔·亚当斯 docusign的ciso(前zoom视频通讯的ciso) 攻击性安全重要性关联性更强于更高收入 随着进攻性安全策略的扩展,重要性增加 成为众包安全领导者5个建议 展示众包安全的价值可以帮助你利用超过90%的领导者认为有效的那些方法,来真正优化并面向未来确保你的安全态势。 五点建议概述了加入不断壮大的、体验众筹安全全部价值群体的关键步骤。 利用全频谱1.攻击性安全工具 部署vdp、漏洞悬赏计划和渗透测试协同工作的ciso报告更高的有效性。成熟程序不是孤立的——它们集成了持续测试方法来最大化覆盖范围和响应时间。 采取行动:采用分层防御安全策略该解决方案结合了透明性(VDPs)、持续测试(BBPs)和针对性评估(pentests),以增强现实世界的韧性。 2.准备人工智能安全攻防 84%的CISOs目前需汇报人工智能安全和安全的责任,但许多人缺乏明确的策略或框架。 采取行动:将 AI 系统视为你攻击测试范围的一部分,而不是一个单独的挑战。使用红队渗透测试并利用外部专业知识揭示GenAI和LLMs特有的漏洞。优先进行早期、频繁的测试,以应对新兴威胁和监管预期。 通过扩大内部容量3.社区协作 技能差距仍然是近40%的组织的关注点,以及一个全球网络安全专业人才短缺持续进行。然而,众包方法可以获取外部专业知识来补充内部团队。 采取行动:投资通过规模化安全人才来扩展模型的方案外部合作, 尤其是在内部资源紧张或需要专门技能(如AI测试)的时候。 4.及早且频繁地与利益相关者保持一致 缺乏内部支持仍然是主要障碍,即使在采用者中也如此。CISO们需要引人入胜、覆盖整个组织的故事,将进攻性安全直接与业务成果联系起来。 采取行动:将积极防御定位为战略赋能者。使用减缓回报率 (RoM)在建立跨高管层和董事会的支持时,以合规范围和风险降低作为核心准则。 5.定义和衡量成熟度——然后发展它 许多CISO(首席信息安全官)对扩展他们的项目表示了兴趣,但对“好”是什么样的缺乏清晰的概念。没有基准或成熟度模型,进展就会停滞。 采取行动:使用一个结构化的成熟度模型来评估当前状态和以基准为依据规划前进之路—一个包含资产覆盖率、节奏、利益相关者协同以及研究者参与的。 最终心得:相信数据 来自400多名来自不同行业的CISO的见解揭示,在实施众包安全与其有效性信心之间存在明显的相关性,近90%的CISO认为它在发现和消除安全,人工智能,和数据隐私漏洞。综合方案包含三种关键方法:漏洞悬赏、VDP(漏洞披露平台)以及渗透测试——其有效性清晰提升。全部三个协同工作。 无论你是准备全面投入还是从小处着手,选择合适的众包安全合作伙伴都能帮助你强化和扩展你的安全态势。HackerOne是offensive security solutions 领域的值得信赖的合作伙伴和全球领导者。我们的 HackerOne 平台结合了人工智能和最大规模的安全研究人员社区的创新力,以发现和修复软件开发生命周期中的安全、隐私和人工智能漏洞。 “HackerO one的社区is secondtonone在过去的十年中,他们构建了一个重视客户和研究人员反馈的生态系统。他们的创新速度,尤其是在AI功能方面,一直令人印象深刻。” 吉姆·希金斯快手的首席信息安全官 与专家咨询,使用天然资源,源代码安全策略。C ont a ct u s to d a y. 调查方法: 70.5%的受访者就职于上市组织,而其余29.5%就职于私营组织。大约2/5的受访者就职于规模较小的组织(员工数在1000至2500人之间);来自至少有10,000个全时当量(FTE)的组织的人员占样本的27%。最后,收入细分均匀分布在5个收入区间:不到5亿美元;5.01亿美元至9.99亿美元;10亿美元至49亿美元;50亿美元至99亿美元;以及50亿美元及以上。 牛津经济学在2025年4月至5月期间对400名CISO进行了调查。受访者来自四个国家(美国、英国、澳大利亚和新加坡)和13个行业(电信、房地产/建筑、公用事业、政府/公共部门、消费品、教育、零售、银行/金融服务/保险、零售/电子商务、制造业、医疗保健、运输/物流以及非营利/非营利组织)。
