安全行業(yè)面臨壓力問題

安全行業(yè)普遍存在壓力問題，這一問題影響著從初級(jí)分析師到企業(yè)高管的從業(yè)者。變革的步伐、持續(xù)不斷的威脅以及高風(fēng)險(xiǎn)運(yùn)營(yíng)帶來的壓力，營(yíng)造了一種缺乏心理安全的環(huán)境。

Qualtrics公司首席安全官阿薩夫·凱倫(Assaf Keren)表示：“我們面臨著壓力問題，但很多人羞于承認(rèn)自己無法應(yīng)對(duì)日常工作。”

凱倫認(rèn)為，必須改變這種沉默文化，否則該行業(yè)將面臨人才流失的風(fēng)險(xiǎn)，進(jìn)而加劇行業(yè)的技能差距，他指出：“你不應(yīng)該因?yàn)楣ぷ鞫氜D(zhuǎn)難眠，如果工作讓你夜不能寐，那你應(yīng)該尋求幫助。”

他希望在該行業(yè)中，尋求幫助能成為一種常態(tài)，因?yàn)樵谶@個(gè)行業(yè)里，錯(cuò)誤或不幸所帶來的個(gè)人和職業(yè)成本可能非常高昂。他告訴記者：“我們有資源讓情況變得更好，作為一個(gè)行業(yè)，我們都應(yīng)該付出更多努力。”

凱倫對(duì)AI的潛力感到振奮，比如AI可以處理分類工作或某些手動(dòng)任務(wù)，幫助減輕安全從業(yè)者的負(fù)擔(dān)和相關(guān)的壓力。他表示：“我們能夠越多地減輕人們?nèi)粘７爆嵉墓ぷ鳎屗麄儗Ｗ⒂诤暧^思考，就越能減少對(duì)工作流暢性的干擾。”

AI可能引發(fā)能力危機(jī)

心理健康機(jī)構(gòu)Headspace的CISO賈米卡·亞倫(Jameeka Aaron)看到了AI的許多潛在應(yīng)用，但她在應(yīng)用時(shí)既充滿期待又保持謹(jǐn)慎，不過，亞倫尤其擔(dān)心GenAI對(duì)招聘流程的影響，她指出，雖然優(yōu)秀的開發(fā)人員能夠利用AI為自己助力，但能力較弱的開發(fā)人員在面試和初步評(píng)估中可能會(huì)顯得更有能力。

她表示：“你必須具備相應(yīng)的技能，如果沒有，AI確實(shí)能幫你回答面試問題，但當(dāng)你真正開始工作時(shí)，它就無濟(jì)于事了，而且，我們很快就能發(fā)現(xiàn)某人的能力是否與面試時(shí)的表現(xiàn)相符。”

這讓本就負(fù)擔(dān)過重的CISO們面臨更多難題。她表示：“有了AI，了解潛在員工的能力變得更加困難。”

AI工具可能會(huì)掩蓋技能缺陷，這是CISO們無法輕易通過新控制措施或工具解決的問題。她指出：“我們可能會(huì)招聘到在AI輔助下面試表現(xiàn)良好，但缺乏基本技術(shù)知識(shí)的人，你需要具備專業(yè)知識(shí)和對(duì)所應(yīng)用技術(shù)的深刻理解，如果沒有這些，AI也幫不了你。”

快速行動(dòng)，但不出差錯(cuò)的壓力

讓Fortitude Re公司CISO埃利奧特·富蘭克林(Elliott Franklin)夜不能寐的，不僅僅是威脅行為者，還有CISO們每天都要面對(duì)的內(nèi)部復(fù)雜性。富蘭克林表示：“我們大多數(shù)人都在管理一套拼湊起來的工具和平臺(tái)，這些工具和平臺(tái)原本并非設(shè)計(jì)用來協(xié)同工作的。”

富蘭克林指出，隨著時(shí)間的推移，為了滿足合規(guī)需求、應(yīng)對(duì)事件或滿足審計(jì)要求，各種解決方案層出不窮，CISO們則試圖將這些解決方案整合成一個(gè)有機(jī)的整體，但這種結(jié)構(gòu)本質(zhì)上很脆弱。他表示：“它越脆弱，就越容易出問題，一旦出問題，安全部門就要承擔(dān)責(zé)任。”

第三方風(fēng)險(xiǎn)使情況變得更加危險(xiǎn)，富蘭克林以麥當(dāng)勞近期發(fā)生的招聘機(jī)器人泄露事件為例，該事件是由于供應(yīng)商使用“123456”作為管理員密碼導(dǎo)致的。他表示：“這并非某種尖端的國(guó)家級(jí)黑客攻擊，而是大多數(shù)企業(yè)內(nèi)部都能發(fā)現(xiàn)的基本漏洞，但當(dāng)涉及合作伙伴時(shí)，我們的控制力就有限了，而我們的責(zé)任卻并未減少。”

這也回到了在追求新工具時(shí)忽視基礎(chǔ)的問題。他表示：“這是一個(gè)很好的例子，說明炫酷的技術(shù)正在掩蓋基本的安全漏洞，讓我夜不能寐的不是缺乏創(chuàng)新，而是我們忘記了基礎(chǔ)。”

與此同時(shí)，安全團(tuán)隊(duì)需要在不成為障礙的前提下推動(dòng)創(chuàng)新。他表示：“但如果安全部門沒有盡早介入，我們就會(huì)被迫采取被動(dòng)應(yīng)對(duì)的姿態(tài)，這對(duì)誰都沒有好處。我確實(shí)擔(dān)心攻擊者，但讓我更加擔(dān)憂的是，在脆弱的基礎(chǔ)設(shè)施上快速推進(jìn)、未經(jīng)核實(shí)就信任第三方，以及在跳過基礎(chǔ)步驟的同時(shí)追求新技術(shù)所帶來的內(nèi)部壓力。”

富蘭克林警告稱，AI正在加劇這些挑戰(zhàn)，而且無法解決根本問題。他表示：“我堅(jiān)信在合理的地方使用AI——我們正在利用AI減少手動(dòng)工作并提高速度，但我們必須對(duì)自己誠(chéng)實(shí)：AI無法修復(fù)破碎的基礎(chǔ)。”

企業(yè)很難確定AI在所有地方的應(yīng)用情況，更不用說如何確保其安全了。富蘭克林表示：“如果你缺乏可見性，訪問控制薄弱，或者沒有人審查你的警報(bào)，AI只會(huì)增加一層復(fù)雜性，更糟糕的是，它可能會(huì)給領(lǐng)導(dǎo)層造成一種我們比實(shí)際更安全的錯(cuò)覺。”

深度偽造帶來重大安全隱患

深度偽造正成為另一大安全威脅，它助長(zhǎng)了員工冒充活動(dòng)，隨著這種基于AI的威脅變得越來越復(fù)雜，CISO們面臨著預(yù)防和檢測(cè)這些攻擊以及保護(hù)其企業(yè)的重大挑戰(zhàn)。

深度偽造員工是指利用AI在遠(yuǎn)程面試中冒充他人，在亞倫的企業(yè)中，他們發(fā)現(xiàn)了候選人與簡(jiǎn)歷不匹配的情況，或者在遠(yuǎn)程面試中某人的名字與本人似乎不符的情況。隨著許多企業(yè)進(jìn)行遠(yuǎn)程候選人面試，他們需要更加關(guān)注識(shí)別和阻止這些威脅。

亞倫表示，深度偽造是我們必須關(guān)注的問題。雖然相關(guān)監(jiān)管滯后于技術(shù)發(fā)展，但這是一個(gè)安全從業(yè)者無法獨(dú)自應(yīng)對(duì)的威脅。她表示：“我們需要與供應(yīng)商建立深厚的合作關(guān)系，以確保我們都了解可能發(fā)生的情況，然后盡可能地進(jìn)行防御。”

網(wǎng)絡(luò)釣魚更難防范

隨著GenAI可供網(wǎng)絡(luò)犯罪分子使用，網(wǎng)絡(luò)釣魚郵件變得更加逼真，數(shù)量也大幅增加。這使攻擊者能夠完美地模仿英語。亞倫表示：“現(xiàn)在已經(jīng)沒有用蹩腳英語寫的郵件了。網(wǎng)絡(luò)犯罪分子正在收集信息，并發(fā)送看起來非常逼真的網(wǎng)絡(luò)釣魚郵件。”

她表示：“讓我夜不能寐的不是AI本身，而是它的能力，比如AI模仿人類的能力。”

將安全優(yōu)先級(jí)與業(yè)務(wù)成果掛鉤

CISO這一角色本身就充滿了挑戰(zhàn)和憂慮。將安全舉措轉(zhuǎn)化為業(yè)務(wù)價(jià)值，這一任務(wù)越來越成為該角色中最具挑戰(zhàn)性但也最重要的方面之一。凱倫表示：“將安全優(yōu)先級(jí)與業(yè)務(wù)成果掛鉤的能力是非常需要的，但這很難做到，然而，對(duì)于CISO來說，要在高管層面提供價(jià)值并產(chǎn)生影響，這一點(diǎn)正變得越來越必要。”

當(dāng)成功被定義為沒有發(fā)生的事情——沒有發(fā)生數(shù)據(jù)泄露、漏洞減少或新增工具時(shí)，就很難衡量成功。經(jīng)驗(yàn)豐富的安全領(lǐng)導(dǎo)者已經(jīng)學(xué)會(huì)調(diào)整他們的參考點(diǎn)，特別是在受市場(chǎng)力量影響的業(yè)務(wù)中。凱倫表示：“我們是一個(gè)業(yè)務(wù)部門，我們的衡量標(biāo)準(zhǔn)是公司的股價(jià)。”

然而，如果沒有明確的途徑成為以業(yè)務(wù)為導(dǎo)向的安全領(lǐng)導(dǎo)者，CISO們將面臨不確定的前進(jìn)方向。他表示：“企業(yè)確實(shí)有責(zé)任引導(dǎo)CISO了解業(yè)務(wù)，并讓他們?nèi)谌霕I(yè)務(wù)節(jié)奏，以便他們能夠與業(yè)務(wù)緊密相連。”

凱倫建議CISO們尋求有針對(duì)性的培訓(xùn)、教育和指導(dǎo)，以更好地掌握如何將安全轉(zhuǎn)化為業(yè)務(wù)指標(biāo)。

Agero公司的CISO兼首席信息官鮑勃·沙利文(Bob Sullivan)在銷售和專業(yè)服務(wù)領(lǐng)域擔(dān)任過高管職務(wù)，因此培養(yǎng)了強(qiáng)烈的商業(yè)思維。他將指標(biāo)與重要事項(xiàng)——業(yè)務(wù)使命聯(lián)系起來，展示安全風(fēng)險(xiǎn)對(duì)業(yè)務(wù)可能造成的潛在損害。

例如，一份漏洞列表聽起來很糟糕，但直到他能夠解釋哪些漏洞是無害的，或者不是面向外部的，因此對(duì)現(xiàn)實(shí)世界構(gòu)成的威脅很小，情況才會(huì)變得明朗。對(duì)于那些對(duì)業(yè)務(wù)構(gòu)成風(fēng)險(xiǎn)的漏洞，沙利文會(huì)可視化威脅路徑，以展示漏洞利用如何導(dǎo)致個(gè)人身份信息泄露，以及如果這些信息被泄露、出售或曝光，將會(huì)產(chǎn)生重大影響。沙利文告訴記者：“如果我只是說這是云中的一個(gè)配置問題，那對(duì)他們來說毫無意義，但如果我能將其可視化，我就能創(chuàng)造那種背景，并將其與業(yè)務(wù)故事聯(lián)系起來。”

在許多方面，這是用美元或聲譽(yù)影響來定義風(fēng)險(xiǎn)，因?yàn)樗鼈兪菢I(yè)務(wù)可行性的基礎(chǔ)。他表示：“作為一名網(wǎng)絡(luò)安全專業(yè)人士，你必須能夠說業(yè)務(wù)語言，否則沒人會(huì)聽你的。”