Gartner：摒棄網(wǎng)絡(luò)安全"大轉(zhuǎn)型"策略，采用持續(xù)改進(jìn)模式

根據(jù)Gartner副總裁分析師理查德·阿德斯科特的觀點(diǎn)，采用"大轉(zhuǎn)型"思維模式進(jìn)行網(wǎng)絡(luò)安全建設(shè)的組織實(shí)際上會增加網(wǎng)絡(luò)風(fēng)險(xiǎn)。

在Gartner于悉尼舉辦的安全與風(fēng)險(xiǎn)管理峰會上，阿德斯科特表示，隨著組織將IT支出重新導(dǎo)向人工智能（AI）項(xiàng)目，這種思維模式必須改變。

"這個問題我們可以通過化整為零的方式來更好地解決，"他說道，"我們可以將其分解為具體時刻，進(jìn)行預(yù)判，并形成可以快速實(shí)施的想法。"

為了獲得成功，首席信息安全官（CISO）應(yīng)該采用靈活、響應(yīng)迅速且能快速調(diào)整方向的方法，擁抱持續(xù)改進(jìn)的Kaizen模式，通過連續(xù)的小幅改變實(shí)現(xiàn)可持續(xù)改進(jìn)。

阿德斯科特概述了安全領(lǐng)導(dǎo)者可以應(yīng)用這種漸進(jìn)方法的四個關(guān)鍵領(lǐng)域。

現(xiàn)代化身份和訪問管理

AI智能體的大量涌現(xiàn)將導(dǎo)致數(shù)千個機(jī)器身份需要認(rèn)證。Gartner預(yù)測，到2028年，由于機(jī)器身份管理不當(dāng)，四分之一的安全漏洞將通過基于智能體的攻擊面發(fā)生。

認(rèn)識到在攻擊普遍存在的世界中，優(yōu)秀的身份管理可以成為競爭差異化因素，網(wǎng)絡(luò)安全團(tuán)隊(duì)必須以與保護(hù)人類身份相同的嚴(yán)格性來對待和保護(hù)機(jī)器身份。阿德斯科特建議投資身份、可視化和智能平臺（IVIP），以獲得對所有身份的持續(xù)實(shí)時觀測能力。

實(shí)施守護(hù)智能體

組織應(yīng)該監(jiān)管AI智能體的行為，特別是防止智能體與大語言模型之間的意外數(shù)據(jù)泄漏。這可以通過部署小型、簡單的"守護(hù)"智能體來實(shí)現(xiàn)，這些守護(hù)智能體可以快速訓(xùn)練——通常只需一個下午——來過濾敏感數(shù)據(jù)，如個人身份信息和商業(yè)機(jī)密。

"你可以使用這種小型守護(hù)模型創(chuàng)造驚人的價(jià)值，即使只是作為工作協(xié)調(diào)器，因?yàn)闆]有任何理由說AI必須提供所有邏輯，特別是對于確定性業(yè)務(wù)規(guī)則，"阿德斯科特說道。

應(yīng)對網(wǎng)絡(luò)攻擊的常態(tài)化

持續(xù)不斷的網(wǎng)絡(luò)攻擊已經(jīng)導(dǎo)致敏感性下降，這可能會誘使高管削減安全支出。CISO不應(yīng)直接反對預(yù)算削減，而應(yīng)該通過提問來重新構(gòu)建對話："為什么有些企業(yè)在遭受攻擊時承受的損失更小？"

阿德斯科特表示，答案是韌性："這是一種思維轉(zhuǎn)變，如果我們能夠減輕威脅行為者的危害，這與預(yù)防攻擊是一樣的。"

"影響閾值"的概念可以幫助將韌性理念轉(zhuǎn)化為行動。影響閾值定義了特定業(yè)務(wù)流程的最大可接受停機(jī)時間。例如，超市的采購系統(tǒng)停機(jī)時間不能超過一到兩天，否則新鮮農(nóng)產(chǎn)品就會從貨架上消失，但如果供應(yīng)商有90天付款期限，支付處理中斷可能可以容忍更長時間。這些閾值為高管建立了一套共同的目標(biāo)和關(guān)鍵績效指標(biāo)（KPI）。

"我們在這里所做的是為網(wǎng)絡(luò)安全定義了一套勝利條件。不再是要預(yù)防一切，而是要防止任何事情超出商定的閾值。這也集中在我們最有可能獲勝的行動集合上，那就是韌性，"阿德斯科特解釋道。

然而，真正的韌性需要定期練習(xí)。Gartner的數(shù)據(jù)顯示，一些擁有不可變備份的組織在遭受攻擊后仍然支付贖金，因?yàn)樗麄儗ψ约夯謴?fù)數(shù)據(jù)的能力缺乏信心，這往往是由于測試不夠頻繁。要讓利益相關(guān)者放心，需要對恢復(fù)手冊和部分災(zāi)難恢復(fù)故障轉(zhuǎn)移進(jìn)行一致、真實(shí)的測試，以證明維持公司運(yùn)營所需的最低系統(tǒng)可以快速恢復(fù)。

將AI應(yīng)用于安全運(yùn)營中心

即使是高級威脅行為者也以平常的方式使用AI，使用被盜憑據(jù)滲透系統(tǒng)，然后應(yīng)用AI搜索日志尋找容易攻擊的目標(biāo)。安全團(tuán)隊(duì)?wèi)?yīng)該效仿這種做法，將日志輸入檢索增強(qiáng)生成（RAG）管道，識別攻擊者可能利用的相同漏洞，然后修復(fù)它們。

來自安全工具的遙測數(shù)據(jù)也可以輸入大語言模型，為個別員工創(chuàng)建定制的安全意識內(nèi)容和威脅模擬——可能包括深度偽造。

Gartner預(yù)計(jì)，到2028年，在安全運(yùn)營中心有效部署AI的組織將大幅減少對人工干預(yù)事件的需求，將安全分析師的角色從響應(yīng)者提升為監(jiān)督者。阿德斯科特舉了一個大型企業(yè)的例子，該企業(yè)在單個報(bào)告期內(nèi)檢測到超過50,000個事件；絕大多數(shù)由AI驅(qū)動的自動檢測和響應(yīng)處理，只留下幾百個需要人工關(guān)注。不過，他警告說，團(tuán)隊(duì)必須首先確定其基線性能指標(biāo)，以有效衡量改進(jìn)并證明未來預(yù)算的合理性。

阿德斯科特最后提醒聽眾，雖然這些策略具有協(xié)同作用，但應(yīng)該本著持續(xù)改進(jìn)的精神逐步應(yīng)用。他指出，在此過程中交付價(jià)值至關(guān)重要。

"在為機(jī)器身份和AI智能體實(shí)現(xiàn)企業(yè)現(xiàn)代化方面，我們面臨著巨大的、事業(yè)定義性的挑戰(zhàn)，但同時也有巨大的機(jī)會將我們的使命改變?yōu)槲覀儗?shí)際上可以獲勝的東西，那就是韌性，"他說道，"即使我認(rèn)為我們無法通過大轉(zhuǎn)型的方式擺脫這種'一切、到處、立即'的混亂，我實(shí)際上非常有信心我們在網(wǎng)絡(luò)安全領(lǐng)域絕對可以通過創(chuàng)新找到出路。"

Q&A

Q1：為什么Gartner建議摒棄網(wǎng)絡(luò)安全"大轉(zhuǎn)型"策略？

A：根據(jù)Gartner分析師的觀點(diǎn)，采用"大轉(zhuǎn)型"思維模式進(jìn)行網(wǎng)絡(luò)安全建設(shè)的組織實(shí)際上會增加網(wǎng)絡(luò)風(fēng)險(xiǎn)。相比之下，通過化整為零的方式，將問題分解為具體時刻，進(jìn)行預(yù)判并形成可以快速實(shí)施的想法，能夠更好地解決安全問題。

Q2：什么是守護(hù)智能體，它們?nèi)绾伪Ｗo(hù)企業(yè)安全？

A：守護(hù)智能體是小型、簡單的AI程序，專門用來監(jiān)管其他AI智能體的行為，特別是防止智能體與大語言模型之間的意外數(shù)據(jù)泄漏。這些守護(hù)智能體可以快速訓(xùn)練，通常只需一個下午就能學(xué)會過濾個人身份信息和商業(yè)機(jī)密等敏感數(shù)據(jù)。

Q3：網(wǎng)絡(luò)安全中的"影響閾值"概念是什么意思？

A：影響閾值定義了特定業(yè)務(wù)流程的最大可接受停機(jī)時間。例如，超市的采購系統(tǒng)停機(jī)不能超過一到兩天，否則新鮮農(nóng)產(chǎn)品會從貨架消失。這些閾值幫助企業(yè)建立共同的安全目標(biāo)和關(guān)鍵績效指標(biāo)，重點(diǎn)不再是預(yù)防一切攻擊，而是防止損失超出可接受范圍。