由splunk发布了《CISO报告:当今安全领导者面临的新兴趋势、威胁和战略》这篇报告。以下是对该报告的部分摘录,完整内容请获取原文查看。虽然 CISO 和董事会的首要任务越来越接近,但仍然不一致。84% 的 CISO 坚持认为,董事会或管理机构更关心监管合规性,而不是 安全最佳实践。
如今,首席信息安全官 (CISOs) 的角色复杂且不断变 化。86% 的人表示,自从他们成为 CISO 以来,这个角色 发生了很大的变化,几乎成为另一份工作。他们正在成为 策略师和领导者,在董事会具有更大的发言权。越来越多 的 CISO(现在是 47%)直接向 CEO 汇报工作。 当然,他们最关键的首要任务仍然是帮助组织应对日 益复杂的威胁形势。去年,90% 的 CISO 都遭遇了破 坏性攻击。虽然他们正在适应防范网络攻击者,但他们 无法高枕无忧。
CISO 的现状是,每天在面对经常相互冲突的优先事项、 董事会对业务成功指标的执着追求和确保组织安全的 现实情况时如履薄冰,在帮助企业快速发展的过程中面 临持续的困境。对他们中的许多人来说,这意味着不断 向高管和董事会证明团队的价值,同时填补人员短缺造 成的安全漏洞,并寻找新的方法来降低组织风险。这种 平衡举措并非易事。 这项研究展示了 CISO 的整体状况:他们每天面临的问 题、挑战和机遇。然而,尽管威胁形势日益复杂,经济前 景也不明朗,但许多 CISO 还是持乐观态度。他们比以往 更有机会成为能够有效改变组织安全文化的拥护者。董 事会和 CEO 不仅会听取 CISO 的意见,而且还依靠他们 提供指导。展望未来,CISO 会将关注的焦点放在与整 个组织内部团队的协作上,共同致力于提高组织的韧性, 这样他们不仅可以抵御任何风暴,而且可以在风暴过后 茁壮发展。
我们发现,大多数 CISO (70%) 认为,生成式 AI 将形成一种不 对称战场,不可避免地让网络攻击者处于有利位置。不过,我 们却更加乐观。我们知道,35% 的 CISO 已经将 AI 应用于积极 的安全应用程序,61% 的 CISO 可能在未来 12 个月内使用 AI。 不出所料,CISO 认为排名最高的恶意用例是更快、更高效的攻 击 (36%)、用于社交工程的假冒语音和图像 (36%) 以及扩大供 应链的攻击面 (31%)。 其中许多担忧仍然是理论上的,要么是媒体报道在推波助澜, 要么是研究人员概念证明的一部分。在撰写本报告时,我们还 没有看到生成式 AI 在现实世界的攻击中得到广泛使用,也没有 看到它在攻击中比人类编写的网络钓鱼诈骗更易得手。
生成式 AI 填补了网络防御 领域的关键空白
AI 会取代人类工作吗?不会完全取代。86% 的 CISO 认为, 生成式 AI 将缓解安全团队的技能差距和人才短缺。这意味着, 生成式 AI 将更有可能用于完成安全专业人员无论如何都不愿 从事的耗时的劳动密集型安全工作,从而让专业人员腾出时间 从事更具战略性的工作。现实情况是,网络安全专业人员短缺, 无法满足需求。借助 AI,组织能够从文件到基本检票等各个方 面为员工工作提供补充。 因此,当谈到担心 AI 可能会“偷走你的工作”时,试着用看待 自动化的观点来看待 AI,它可以增强人才的能力,而不是取代 人才。谈到自动化,93% 的 CISO 表示,他们已经在流程中广泛 或适度地实现了自动化,这为他们未来的创新用例提供了很大 的空间。
一家政府组织的 CISO 表示:“我不知道在网络安全领域工作的 人员现在能否轻松地招聘和留住人才。” 因此,当谈到如何将 AI 用于网络防御时,CISO 有很多想法。 AI 是另一种可以应对从战略挑战到深入技术挑战的工具。 CISO 正在安排由 AI 来执行单调的技术任务,这并不奇怪。但 我们也很高兴看到在战略功能中有机会使用 AI:围绕数据质量 保证、扩充警报并制定警报的优先次序以及管理安全态势分析 和内部通信的挑战。虽然安全问题可能不是什么新问题,但 AI 为新解决方案提供了潜力。 AI 还为员工提供了提升技能水平和教育水平的机会。46% 的 CISO 计划让安全团队加快部署有效的提示工程。其他策略工 作包括培训员工以更好地了解生成式 AI 带来的威胁 (39%),并 制定协议来确定哪些任务类型适合由 AI 机器人完成 (37%),而 哪些工作应专门由人类完成。
CISO 如何知道自己的工作是否出色?我们询问了他们的成功 指标 — 他们优先考虑什么,以及他们认为董事会最关心什么。 这两个答案有时相去甚远,导致在现场执行时难以协调一致, 让人感到沮丧。 在一家拥有 11,000 多名员工的组织中,一位科技行业 CISO 表 示:“你可以购买世界上所有的技术,但如果用户没有接受过良 好的培训,情况可能会变糟。” CISO 还指出在价值观和认知方面存在更根本的差异。一家 外包公司的 CISO 补充道:“一些董事会成员了解安全的重要 性。”“而另一些成员却并不了解。”
一家医疗保健组织的 CISO 表示:“我认为,由于最近业内发生 的事件,与三年前相比,人们提高了对渗透测试和网络安全重 要性的认识。” 这证实了另一项令人惊讶的发现结果:86% 的 CISO 的最大责 任是确保管理机构/董事会能够看到安全投资的价值。正如一 位运输领域的 CISO 所言,“董事会真正需要的是风险量化。 他们希望能够以美元和美分量化。” 然而,只有 20% 的董事会将“安全投资的投资回报率”评为衡 量成功的指标,可能是因为他们不了解投资回报率对风险的影 响,而是依赖于其他反映安全态势改善的指标。 他们对投资回报率的要求无疑更加苛刻。近三分之一 (31%) 的 受访者表示,由于缺乏资金,项目被迫推迟,而 30% 的受访者 还表示,团队无法为业务计划提供支持。 此外,84% 的 CISO 表示,他们的董事会/管理机构将强大的安 全性和监管合规性划等号(而不是最佳实践),这可能导致对 “内部和/或监管合规审计的状态和结果”重视程度略有差异。 因此,90% 的 CISO 表示,他们的管理机构/董事会现在关心的 KPI 和安全指标与两年前不同,这并不奇怪。一家运输和物流 公司的 CISO 表示:“我的董事会热衷于数字。”“但网络的问 题是,很难找到一个数字来说明我们的状况。” 对于 CISO 和董事会成员来说,现在应更新方法并确保 始终协调一致。
CISO 可能会面临重大攻击 - 令人震惊的是,90% 的 CISO 在过 去一年至少遇到了一次破坏性攻击(43% 至少遇到一次,34% 遇到几次,13% 遇到好几次) 毫不奇怪,社交工程、OT/IoT 和勒索软件是 CISO 最关心的问 题 — 这些威胁不仅在媒体报道上占据突出位置,而且在财务 上具有破坏性。一家医疗保健组织的 CISO 表示:“您的决定 会影响企业的运营。如果您做出了错误的选择,你可能会毁掉 企业。”
勒索软件:攻击者得偿 所愿
除 4% 外,所有受访者都报告遭到了勒索软件攻击,52% 的受访者表示在遭受的攻击中,业务系统和运营受到严重 影响。 96% 的数字非常惊人,应该做好应对的准备 — 83% 的受 访者表示他们支付了赎金。在支付赎金的受访者中,18% 直接支付赎金,37% 通过网络保险支付,28% 通过第三方 支付。 代价十分高昂。大多数组织支付的赎金为 25,000 美元至 99,999美元 (44%),而超过一半的受访者支付了超过 10 万 美元,令人震惊的是,9% 的受访者(即十一分之一的受访者) 支付了 100 万美元甚至更多。对于勒索软件团伙来说,这是 一项利润丰厚的业务,许多绝望的组织不惜用自己的声誉做 赌注,以期解密数据、恢复系统,防止泄漏敏感材料。
大多数 CISO (69%) 坚持认为,支付赎金会增加未来的法律风 险。然而,即使在支付赎金后,组织也往往无法完全恢复其失 去的能力,窃贼没有信誉可言。网络保险不是灵丹妙药;在无 法全额偿付的情况下,通常很难获得。 净流动资产价值?确保您拥有定期测试的离线隔离备份。规定 维护责任,并定期检查是否成功履行责任。此外,进行董事会 级别的演习,对这些系统施加一些真实而安全的压力。
不要以为董事会不会注意。73% 的 CISO 表示,他们觉得管理 机构/董事会过于担心勒索软件及其对组织构成的潜在威胁。 大多数受访者表示,当面临成功的勒索软件攻击时,管理机构/ 董事会在寻求解决问题时要求定期更新。这种审查可能不会很 快撤销,但它确实给了你更多的理由与董事会一起进行演习。
93% 的组织实际上预计明年的网络安全支出会大幅或略微 增加。这对安全团队来说是个好消息,因为 85% 的 CISO 表 示,支出减少将削弱他们应对威胁的能力,80% 的 CISO 表 示,他们注意到组织在遭遇经济衰退的同时面临着越来越多 的威胁。 然而,83% 的 CISO 见证了组织其他部门的裁员,85% 的 CISO 表示他们担心宏观经济的不确定性及其对自己团队可 能存在的影响。 近三分之一 (31%) 的受访者表示,由于缺乏资金,项目被迫推 迟或取消。87% 的受访者表示,他们已经证明了逐年增加预 算的商业理由,只有 35% 的受访者表示董事会分配了足够的网络安全预算。安全预算有望增加,因此他们有理由 保持乐观。然而,尽管增加了投资,但对于许多为技术 债务而争吵的 CISO 来说,增加资金仍然不够。
我们看到 CISO 在向董事会证明安全投资的投资回报 率,其中一部分投资专门用于工具扩张。绝大多数受访 者 (88%) 表示,他们认为需要通过 SOAR、SIEM 和威 胁情报等解决方案来控制安全分析和操作工具,以解 决工具扩张和复杂性的问题,只有 2% 的受访者认为不 需要整合工具。CFO 总是能很好地认同这一消息,这有 助于证明投资回报率。
(本文仅供参考,不代表我们的任何投资建议。如需使用相关信息,请参阅报告原文。)
