但要保持领先地位,不仅仅需要实施下一套尖端工具或技术,这需要转变思维方式——即将网络安全不仅仅视为一项技术职能,而是视为业务韧性的战略推动者。
为了帮助您在未来道路上导航,以下是每位网络安全领导者都应考虑采纳的12项新年决议。
了解AI是否与您的业务相关
GenAI的崛起已成为各行业的游戏规则改变者,包括网络安全领域,但并非总是带来积极影响。技术和网络安全研究人员Erik J. Huffman警告说:“我们知道AI可能非常有帮助,但我们都在屏住呼吸,想知道它将如何被用来对付我们。我们为善而开发的任何东西,攻击者都会拿过来,反其道而行之用于恶。他们在‘坏家伙’方面的创造力远远超过我们‘好家伙’。”
Huffman指出,WormGPT就是一个早期例子,它如何让威胁行为者的编码变得更容易。“它是ChatGPT,但用于恶意目的。它会为你创建勒索软件。它会为你开发恶意代码和漏洞……它承担了威胁行为者的编码工作,并使其变得非常容易,尤其是对于非英语母语者、非汉语母语者或非意大利语母语者。你现在可以用任何语言编写钓鱼邮件,而且读起来相当不错。”
他建议CISO们在新的一年里花时间弄清楚AI是否适合他们的业务。“问问自己,‘你真的需要它吗?’不要仅仅因为别人都在做就随波逐流,也不要仅仅因为首席执行官说‘嘿,我们这里需要一些AI’就在你的组织中部署AI解决方案。”
提升AI技能并学习如何将其用于善途
仍然在AI的话题上,7Rules Cyber的创始人兼CISO Chirag Joshi认为,AI不仅是攻击者的工具,也是防御者的强大盟友。他指出,如何智能地利用AI可以降低数据泄露的成本和持续时间。
“意识和培训计划,以及AI在人力风险管理方面的应用必须不断发展。如果你的培训和意识工作没有考虑到这些变化,那就是一个缺口,”他说。“智能地使用它可以帮助防御并产生重大影响——无论是在数据泄露的成本方面,还是在减少响应事件和控制事件所需的时间方面。我认为这需要被纳入响应和检测计划中。”
Joshi还敦促CISO们探索AI在风险评估和政策指导等领域的潜力。“你不能消除人为监督;它绝对必须存在,但你能增强它并使其更有效吗?”
侧重于以身份为中心的安全
随着恶意行为者利用AI和深度伪造技术进行攻击,SafeBreach的CISO Avishai Avivi强调了以身份为中心的安全在应对这些威胁方面日益重要。
“意识到恶意行为者正在利用相同的技术来增强他们的能力,以身份为中心的安全以及深度伪造技术所带来的风险,将意味着我们将更加关注那些能够帮助识别、减少或消除这些风险的安全控制。”他说。
加强非人类身份的安全
虽然确保人类身份的安全是优先事项,但正如Avivi所强调的,解决对API和机器对机器通信日益增长的依赖同样至关重要,因为这带来了其自身的风险。
“这些机器对机器连接的安全性变得越来越关键,这是我们需要考虑的另一个风险类别。”他说。
确保安全投资合理
随着组织应对不断演变的威胁,Joshi强调了采用“合理且相称”的方法进行安全投资的重要性。他指出,最近的一些监管行动,如因澳大利亚Medibank和Optus数据泄露而设计的监管行动,就强化了这一点。
“什么是真正合理、无懈可击的安全?我们进行的投资和付出的努力需要及时。这就是董事会正在关注的地方,因为这对他们来说不仅是核心问题,对CISO来说也是责任所在。”他解释道。
获得董事和高管责任保险
CISO还必须考虑个人保护措施。FTI Consulting的高级董事总经理兼澳大利亚网络安全负责人Wouter Veugelen预测,2025年对CISO个人责任的审查将更加严格。随着涉及CISO的法律案件越来越频繁,他认为现在是CISO考虑购买董事和高管责任保险的时候了。
“担任CISO角色的人面临的风险增加,他们未来可能会受到与[首席执行官]相同的审查。传统上,CISO并不包含在组织的[保险]套餐中……所以拥有这种类型的保险肯定会在我的考虑之列。”Veugelen说。
提前了解网络安全法规
在法律准备方面,技术研究和咨询公司ISG的CISO David Hull强调了CISO提前了解即将出台的网络立法的重要性。“仍有大量立法即将出台,”他说,并指出新出台的法律并不总是最清晰的。
然而,他承认,网络安全领域的一个优势在于其紧密联系的社区,这个社区经常团结起来,共同理清和理解新法律。“你会看到社区团结起来,每个人都提出相同的问题,然后大家一起想办法解读。”他说。
教育高管了解数据泄露的成本
但不仅仅是CISO需要关注。虽然许多高管都了解数据泄露的直接影响,但往往忽视了其长期成本。Veugelen指出了2022年发生的、至今仍在法庭上的案件。
“CISO应该继续教育高管们了解这些成本的重要性。因此,他们应该寻求优化网络安全预算,用于主动的网络安全防御,以降低整体风险暴露和遭受如此重大网络安全和数据泄露的可能性。”他说。
使用商业语言
但正如Joshi所言,CISO面临的最大挑战之一是如何将技术风险转化为商业术语。他强调了CISO在帮助更广泛的业务弥补这一差距方面需要发挥的作用。
“你真的需要了解业务是如何赚钱的……作为CISO,你必须了解,否则你就会与正在发生的事情脱节,”Joshi说。“如果你不能就C级高管最关心的拓展新领域、新产品或新战略等首要问题,以一定的能力或权威性进行交谈……你就无法进行风险对话。如果不结合商业风险,你根本无法进行网络风险评估。”
与企业的其他部门合作
网络安全孤立运作的日子已经一去不复返了。2025年,有效的网络安全将取决于与多个业务部门建立持久的关系,从法律和采购到营销和运营。
“确保网络安全目标与业务高管保持一致,”Veugelen警告说。“我仍然经常看到网络安全被视为阻碍者或延缓项目的职能,但最终网络安全应该被视为一种业务推动者,它有助于以安全的方式交付新的数字创新。”
正面应对第三方风险
根据Joshi的说法,第三方供应商仍然是许多组织网络安全策略中最薄弱的环节之一,他以Crowdstrike的中断为例。他建议CISO“想出更好的方法来管理供应链风险,尤其是供应商风险评估”。
“我认为他们需要超越这些问卷调查,开始采用一些更领先的实践,而更好的方法是实际合作,”他说。“合作不仅仅是围坐圆桌讨论,它还意味着要专注于进行更深入的对话……关于这对他们意味着什么,并实际地将对话情境化、个性化。”
将网络恢复重新置于议程之首
虽然这不是一个新概念,但最近的网络攻击强调了将组织的恢复能力与防御策略并重的重要性。正如Hull所解释的那样,“CISO需要睁开眼睛,说,‘我们可能需要在那里做得更好,并重新将注意力集中在恢复上’。”
Huffman表示赞同,并强调恢复速度对于在攻击后留住客户至关重要。“如果你需要两到三周才能恢复,那你现在就是个异类。重点正转向你能否在三天或一周内恢复。你对网络攻击有多准备?你能否在社会可接受的时间内恢复?”
