安全行業(yè)面臨壓力問題
安全行業(yè)普遍存在壓力問題,這一問題影響著從初級分析師到企業(yè)高管的從業(yè)者。變革的步伐、持續(xù)不斷的威脅以及高風(fēng)險運營帶來的壓力,營造了一種缺乏心理安全的環(huán)境。
Qualtrics公司首席安全官阿薩夫·凱倫(Assaf Keren)表示:“我們面臨著壓力問題,但很多人羞于承認自己無法應(yīng)對日常工作。”
凱倫認為,必須改變這種沉默文化,否則該行業(yè)將面臨人才流失的風(fēng)險,進而加劇行業(yè)的技能差距,他指出:“你不應(yīng)該因為工作而輾轉(zhuǎn)難眠,如果工作讓你夜不能寐,那你應(yīng)該尋求幫助。”
他希望在該行業(yè)中,尋求幫助能成為一種常態(tài),因為在這個行業(yè)里,錯誤或不幸所帶來的個人和職業(yè)成本可能非常高昂。他告訴記者:“我們有資源讓情況變得更好,作為一個行業(yè),我們都應(yīng)該付出更多努力。”
凱倫對AI的潛力感到振奮,比如AI可以處理分類工作或某些手動任務(wù),幫助減輕安全從業(yè)者的負擔(dān)和相關(guān)的壓力。他表示:“我們能夠越多地減輕人們?nèi)粘7爆嵉墓ぷ鳎屗麄儗W⒂诤暧^思考,就越能減少對工作流暢性的干擾。”
AI可能引發(fā)能力危機
心理健康機構(gòu)Headspace的CISO賈米卡·亞倫(Jameeka Aaron)看到了AI的許多潛在應(yīng)用,但她在應(yīng)用時既充滿期待又保持謹慎,不過,亞倫尤其擔(dān)心GenAI對招聘流程的影響,她指出,雖然優(yōu)秀的開發(fā)人員能夠利用AI為自己助力,但能力較弱的開發(fā)人員在面試和初步評估中可能會顯得更有能力。
她表示:“你必須具備相應(yīng)的技能,如果沒有,AI確實能幫你回答面試問題,但當你真正開始工作時,它就無濟于事了,而且,我們很快就能發(fā)現(xiàn)某人的能力是否與面試時的表現(xiàn)相符。”
這讓本就負擔(dān)過重的CISO們面臨更多難題。她表示:“有了AI,了解潛在員工的能力變得更加困難。”
AI工具可能會掩蓋技能缺陷,這是CISO們無法輕易通過新控制措施或工具解決的問題。她指出:“我們可能會招聘到在AI輔助下面試表現(xiàn)良好,但缺乏基本技術(shù)知識的人,你需要具備專業(yè)知識和對所應(yīng)用技術(shù)的深刻理解,如果沒有這些,AI也幫不了你。”
快速行動,但不出差錯的壓力
讓Fortitude Re公司CISO埃利奧特·富蘭克林(Elliott Franklin)夜不能寐的,不僅僅是威脅行為者,還有CISO們每天都要面對的內(nèi)部復(fù)雜性。富蘭克林表示:“我們大多數(shù)人都在管理一套拼湊起來的工具和平臺,這些工具和平臺原本并非設(shè)計用來協(xié)同工作的。”
富蘭克林指出,隨著時間的推移,為了滿足合規(guī)需求、應(yīng)對事件或滿足審計要求,各種解決方案層出不窮,CISO們則試圖將這些解決方案整合成一個有機的整體,但這種結(jié)構(gòu)本質(zhì)上很脆弱。他表示:“它越脆弱,就越容易出問題,一旦出問題,安全部門就要承擔(dān)責(zé)任。”
第三方風(fēng)險使情況變得更加危險,富蘭克林以麥當勞近期發(fā)生的招聘機器人泄露事件為例,該事件是由于供應(yīng)商使用“123456”作為管理員密碼導(dǎo)致的。他表示:“這并非某種尖端的國家級黑客攻擊,而是大多數(shù)企業(yè)內(nèi)部都能發(fā)現(xiàn)的基本漏洞,但當涉及合作伙伴時,我們的控制力就有限了,而我們的責(zé)任卻并未減少。”
這也回到了在追求新工具時忽視基礎(chǔ)的問題。他表示:“這是一個很好的例子,說明炫酷的技術(shù)正在掩蓋基本的安全漏洞,讓我夜不能寐的不是缺乏創(chuàng)新,而是我們忘記了基礎(chǔ)。”
與此同時,安全團隊需要在不成為障礙的前提下推動創(chuàng)新。他表示:“但如果安全部門沒有盡早介入,我們就會被迫采取被動應(yīng)對的姿態(tài),這對誰都沒有好處。我確實擔(dān)心攻擊者,但讓我更加擔(dān)憂的是,在脆弱的基礎(chǔ)設(shè)施上快速推進、未經(jīng)核實就信任第三方,以及在跳過基礎(chǔ)步驟的同時追求新技術(shù)所帶來的內(nèi)部壓力。”
富蘭克林警告稱,AI正在加劇這些挑戰(zhàn),而且無法解決根本問題。他表示:“我堅信在合理的地方使用AI——我們正在利用AI減少手動工作并提高速度,但我們必須對自己誠實:AI無法修復(fù)破碎的基礎(chǔ)。”
企業(yè)很難確定AI在所有地方的應(yīng)用情況,更不用說如何確保其安全了。富蘭克林表示:“如果你缺乏可見性,訪問控制薄弱,或者沒有人審查你的警報,AI只會增加一層復(fù)雜性,更糟糕的是,它可能會給領(lǐng)導(dǎo)層造成一種我們比實際更安全的錯覺。”
深度偽造帶來重大安全隱患
深度偽造正成為另一大安全威脅,它助長了員工冒充活動,隨著這種基于AI的威脅變得越來越復(fù)雜,CISO們面臨著預(yù)防和檢測這些攻擊以及保護其企業(yè)的重大挑戰(zhàn)。
深度偽造員工是指利用AI在遠程面試中冒充他人,在亞倫的企業(yè)中,他們發(fā)現(xiàn)了候選人與簡歷不匹配的情況,或者在遠程面試中某人的名字與本人似乎不符的情況。隨著許多企業(yè)進行遠程候選人面試,他們需要更加關(guān)注識別和阻止這些威脅。
亞倫表示,深度偽造是我們必須關(guān)注的問題。雖然相關(guān)監(jiān)管滯后于技術(shù)發(fā)展,但這是一個安全從業(yè)者無法獨自應(yīng)對的威脅。她表示:“我們需要與供應(yīng)商建立深厚的合作關(guān)系,以確保我們都了解可能發(fā)生的情況,然后盡可能地進行防御。”
網(wǎng)絡(luò)釣魚更難防范
隨著GenAI可供網(wǎng)絡(luò)犯罪分子使用,網(wǎng)絡(luò)釣魚郵件變得更加逼真,數(shù)量也大幅增加。這使攻擊者能夠完美地模仿英語。亞倫表示:“現(xiàn)在已經(jīng)沒有用蹩腳英語寫的郵件了。網(wǎng)絡(luò)犯罪分子正在收集信息,并發(fā)送看起來非常逼真的網(wǎng)絡(luò)釣魚郵件。”
她表示:“讓我夜不能寐的不是AI本身,而是它的能力,比如AI模仿人類的能力。”
將安全優(yōu)先級與業(yè)務(wù)成果掛鉤
CISO這一角色本身就充滿了挑戰(zhàn)和憂慮。將安全舉措轉(zhuǎn)化為業(yè)務(wù)價值,這一任務(wù)越來越成為該角色中最具挑戰(zhàn)性但也最重要的方面之一。凱倫表示:“將安全優(yōu)先級與業(yè)務(wù)成果掛鉤的能力是非常需要的,但這很難做到,然而,對于CISO來說,要在高管層面提供價值并產(chǎn)生影響,這一點正變得越來越必要。”
當成功被定義為沒有發(fā)生的事情——沒有發(fā)生數(shù)據(jù)泄露、漏洞減少或新增工具時,就很難衡量成功。經(jīng)驗豐富的安全領(lǐng)導(dǎo)者已經(jīng)學(xué)會調(diào)整他們的參考點,特別是在受市場力量影響的業(yè)務(wù)中。凱倫表示:“我們是一個業(yè)務(wù)部門,我們的衡量標準是公司的股價。”
然而,如果沒有明確的途徑成為以業(yè)務(wù)為導(dǎo)向的安全領(lǐng)導(dǎo)者,CISO們將面臨不確定的前進方向。他表示:“企業(yè)確實有責(zé)任引導(dǎo)CISO了解業(yè)務(wù),并讓他們?nèi)谌霕I(yè)務(wù)節(jié)奏,以便他們能夠與業(yè)務(wù)緊密相連。”
凱倫建議CISO們尋求有針對性的培訓(xùn)、教育和指導(dǎo),以更好地掌握如何將安全轉(zhuǎn)化為業(yè)務(wù)指標。
Agero公司的CISO兼首席信息官鮑勃·沙利文(Bob Sullivan)在銷售和專業(yè)服務(wù)領(lǐng)域擔(dān)任過高管職務(wù),因此培養(yǎng)了強烈的商業(yè)思維。他將指標與重要事項——業(yè)務(wù)使命聯(lián)系起來,展示安全風(fēng)險對業(yè)務(wù)可能造成的潛在損害。
例如,一份漏洞列表聽起來很糟糕,但直到他能夠解釋哪些漏洞是無害的,或者不是面向外部的,因此對現(xiàn)實世界構(gòu)成的威脅很小,情況才會變得明朗。對于那些對業(yè)務(wù)構(gòu)成風(fēng)險的漏洞,沙利文會可視化威脅路徑,以展示漏洞利用如何導(dǎo)致個人身份信息泄露,以及如果這些信息被泄露、出售或曝光,將會產(chǎn)生重大影響。沙利文告訴記者:“如果我只是說這是云中的一個配置問題,那對他們來說毫無意義,但如果我能將其可視化,我就能創(chuàng)造那種背景,并將其與業(yè)務(wù)故事聯(lián)系起來。”
在許多方面,這是用美元或聲譽影響來定義風(fēng)險,因為它們是業(yè)務(wù)可行性的基礎(chǔ)。他表示:“作為一名網(wǎng)絡(luò)安全專業(yè)人士,你必須能夠說業(yè)務(wù)語言,否則沒人會聽你的。”
