Gartner:CISO應如何看待生成式人工智能的發展
責編:gltian |2024-04-03 15:14:29近日,Gartner發布了2024年網絡安全重要趨勢,推動2024年主要網絡安全趨勢的因素包括生成式人工智能(GenAI)、持續威脅暴露、第三方風險、隱私驅動的應用和數據解耦和網絡安全技能重塑等。
隨著ChatGPT火爆全球,生成式人工智能應用在各行各業,并且在不斷改進,在帶來生產力變革的同時,也引起全球對其數據安全問題和挑戰的極大關切,包括內容安全、算法歧視、侵犯知識產權和信息泄露等安全隱患。2023年8月15日,我國正式施行的《生成式人工智能服務管理暫行辦法》,為生成式人工智能服務的健康發展提供了重要法制保障。越來越多更成熟的網絡安全廠商發布了生成式人工智能在網絡安全上面的應用的一些服務,如何安全地使用生成式人工智能的服務也成為政企關心的熱門話題。
Gartner研究總監陳延全在日前召開的“2024年網絡安全重要趨勢”媒體分享會上就生成式人工智能(GenAI)的發展現狀和趨勢、企業CISO應如何去看待生成式人工智能的發展、企業如何安全使用生成式人工智能的服務等內容發表了以下觀點。
Gartner:GenAI引發短期疑慮,但同時也點燃了長期希望
生成式人工智能(GenAI)引入了新的攻擊面。為提供相關防護,企業機構必須對應用和數據安全實踐以及用戶監控進行變革。到2025年,GenAI的采用將導致企業機構所需的網絡安全資源激增,從而使應用和數據安全支出增加15%以上。
此外,鑒于ChatGPT等大語言模型應用的興起只是GenAI顛覆浪潮的開端,安全和風險管理領導者還需要就該技術的快速演進做好應對準備。
CISO應如何看待生成式人工智能的發展
陳延全表示:生成式人工智能帶來的影響有很多方面,特別是從CISO的角色來看。
第一,要持續地觀察新的使用生成式人工智能的場景,不管是通過第三方提供已經包裝好的SaaS的應用或者是通過API接口的方式去使用這些生成式人工智能的服務,或者是企業決定自用、可能參考一些開源大模型自建生成式人工智能的應用,以及不斷地去應用一些第三方的服務或者是由云廠商提供的開發大模型的基礎設施等等。
如何去安全地使用這些生成式人工智能服務也取決于“采購”或者是“自建”,從采購到自建的過程中也有很多不同的模式,在此過程中保護它可能是CISO第一個會遇到的問題。
第二,生成式人工智能應用在網絡安全領域,國內也有安全廠商發布了一些安全領域的垂直行業大模型,但是整體技術不是特別成熟。Gartner大致的預測是:“2023年是生成式人工智能發布的元年,2024年有很多最小可信產品的商業應用。安全領域要到2025年,會看到更多成熟的把生成式人工智能集成到安全的工作流程中的產品。”
第三,生成式人工智能本身技術也還在持續演進,目前還沒看到一個完美的安全的解決方案,能夠解決所有還在演進中的技術帶來的安全風險,所以這是一個持續的努力過程,一方面企業要透過一些新的技術,例如在數據層面、在模型開發層面去降低風險,另一方面,這也是第四點,企業可以繼續使用傳統的安全產品,比如:威脅情報或者是暴露面管理等,以在發生安全事件的時候能夠實現應急響應和盡快恢復。
上圖總結了剛剛提到的四個場景。第一,透過生成式人工智能來防御外部的一些攻擊,也就是生成式的安全人工智能。第二,需要關注“黑客會怎么攻擊”,攻擊方會怎么利用生成式人工智能攻擊系統或者是環境。第三,如果有企業自己構建大模型,在數據層面、系統開發層面,構建之后作為服務提供給消費者,要重視法規監管層面的要求。第四,企業用戶在使用時,有很多不同的使用方式,可以通過監控提高安全團隊對用戶所使用服務的可見度。
企業如何安全地使用生成式人工智能的服務
Gartner建議:第一,CISO要持續地去記錄、監控用戶如何使用生成式人工智能的應用案例。第二,對于已經用的廠商、第三方,安全團隊要提供一些具體的要求,也要輔助業務部門在使用或者部署這些服務的時候提供指引。第三,生成式人工智能技術還是在持續發展中,要持續觀察這些新的服務帶來的暴露面。第四,要擁抱新技術,不能因為其可能存在安全風險就不采用。使用過程中需要不斷地試驗,測量、監控安全措施的實施情況。
以下是Gartner發布的2024年網絡安全九大重要趨勢:
Gartner研究總監陳延全表示:“企業安全職能在技術、組織和人員方面面臨顛覆。風險管理領導者必須進行完善的準備工作并采取務實的態度,以應對顛覆,實施高效的網絡安全項目。”
為了應對這些因素的綜合影響,2024年風險管理領導者需要在其安全計劃中采取一系列實踐方法、技術功能和結構改革,以此提高企業機構的韌性和網絡安全績效。
趨勢一:持續威脅暴露面管理項目展現強勁勢頭
Gartner預測,到2026年,通過持續威脅暴露面管理項目確定安全投資優先級的企業機構,其安全漏洞將減少三分之二。
陳延全表示:“近年來,企業機構的攻擊面急劇擴大,給企業機構帶來了潛在的安全盲點,以及大量需要解決的潛在威脅暴露面。作為應對,安全和風險管理領導者開展了試點項目,引入相關流程來確定威脅暴露面的數量和重要性,并驗證持續威脅暴露面管理(CTEM)項目的效果。”
趨勢二:改善身份與訪問管理實踐,充分發揮其在提升網絡安全成功方面的作用
在身份優先的安全方法中,利用身份與訪問管理(IAM)取代網絡安全及其他傳統的安全控制措施成為了安全工作的重點。采取身份優先安全策略的企業機構,必須加強對基本的IAM規范以及IAM系統強化的關注,以提升韌性。
趨勢三:以韌性為導向、資源效率更高的第三方網絡安全風險管理
隨著第三方遭遇網絡安全事件變得不可避免,安全和風險管理領導者不得不將注意力從涉及大量前期投入的盡職調查轉向了以韌性為導向的安全投資。勇于進取的安全和風險管理領導者已將旨在提升韌性的工作活動列為優先事項,例如實施補償性控制措施和加強事件響應規劃等。同時,他們正在為業務合作伙伴提供有針對性的支持,以幫助其優化與第三方的合作,并且影響與安全控制相關的決策。
趨勢四:隱私驅動的應用和數據解耦,在碎片化的世界中優化運營
Gartner預測,到2025年,10%的全球企業將擁有一個以上受特定數據主權戰略約束的業務單位,從而使創造相同業務價值的成本增加至少一倍。
陳延全表示:“基于國家主義的隱私以及數據保護和本地化要求不斷增多,加劇了企業應用架構和數據本地化實踐的碎片化。數十年來一直依賴單租戶應用的跨國企業,面臨著日益增加的合規要求和持續攀升的業務中斷風險。作為應對,具有前瞻性的企業機構正在規劃和實施不同層面的應用和數據解耦戰略。”
趨勢五:GenAI引發短期疑慮,但同時也點燃了長期希望
生成式人工智能(GenAI)引入了新的攻擊面。為提供相關防護,企業機構必須對應用和數據安全實踐以及用戶監控進行變革。到2025年,GenAI的采用將導致企業機構所需的網絡安全資源激增,從而使應用和數據安全支出增加15%以上。
此外,鑒于ChatGPT等大語言模型應用的興起只是GenAI顛覆浪潮的開端,安全和風險管理領導者還需要就該技術的快速演進做好應對準備。
趨勢六:安全行為和文化項目在降低人為網絡安全風險方面的作用受到熱切關注
客戶和供應商已經認識到,當前只關注員工網絡安全意識提升的普遍做法,對于減少員工行為導致的安全事件效果甚微。
陳延全表示:“安全行為與文化項目(SBCP)是一種企業層面的方法,旨在最大程度減少與員工行為相關的網絡安全事件,無論這些事件是出于一時疏忽還是有意為之。SBCP的主要目標是改變員工行為。到2027年,50%的?型企業?席信息安全官(CISO)將采?以?為本的安全設計實踐,以最?限度減少?絡安全引發的員工抵觸并提升安全控制的采?率。”
趨勢七:網絡安全成果驅動型指標助力安全領導者有效傳達網絡安全價值
網絡安全成果驅動型指標(ODM)是包含特殊屬性的安全運營指標,可以幫助利益相關者在安全投資與其所能實現的保護等級之間建立直接關聯。
各行業企業機構都在網絡安全人員、流程和技術方面進行了大量投資,然而網絡安全事件的發生頻率和負面影響卻在持續攀升。這削弱了董事會和高管對于網絡安全戰略的信心。企業機構正在尋求一種衡量網絡安全價值的方法,既能夠引起高管的共鳴,還可以支持務實、符合業務需求的投資決策。ODM作為最具前景的候選方案之一,受到了越來越多企業機構的青睞。
趨勢八:持續演變的網絡安全運營模式
隨著業務線繼續取代IT職能成為技術獲取、構建和交付的主體,傳統的網絡安全運營模式逐漸被打破。安全和風險管理領導者正在對網絡安全運營模式進行調整,以滿足業務部門在自主性、創新和敏捷性方面的需求。具體而言,安全工作的決策權日益分散化;安全策略的細節逐漸交由邊緣側的業務決策者負責;針對部分治理工作建立了集中和正式的治理機制,以更好地支持業務部門的風險負責人;安全和風險管理領導者的角色也正在從控制措施管理者向價值推動者演變。
趨勢九:重塑網絡安全技能,助力企業機構應對未來風險
到2026年,50%的大型企業將使用敏捷學習作為主要的技能提升/重塑方法。
陳延全表示:“安全和風險管理領導者面臨著一系列重大趨勢,而這些趨勢都對網絡安全團隊的技能需求產生了影響。并且,新技能需求的增長速度將會超過新角色、新資格認證、新職位描述和新職位名稱的創建速度。換言之,依靠學習型和發展型解決方案、招聘平臺以及人力資源實踐,將無法及時滿足網絡安全的技能需求。”
網絡安全團隊需要圍繞敏捷學習改善學習和發展計劃,并基于敏捷學習通過迭代和短期突擊來優先發展實踐技能。