影响:
脱钩工作对网络安全和数据安全的影响涉及:
- 监管合规性。由于目标地区的新法规提出了新的且常常相互冲突的要求,合规工作和审计的复杂性大大增加。
- 数据迁移和集成实践。应用程序和数据存储的解耦可能会导致隔离和互操作性挑战,从而降低信息保真度并阻碍业务连续性和创新。跨国公司可以整合边缘操作和可组合架构来缓解其中一些挑战。
- 数据架构和存储。数据本地化要求正在导致应用程序和数据托管的快速发展,这进一步扩大了攻击面。与此同时,需要重新构想数据访问和威胁管理编排,因为对数据本地化的相同要求使得从一个中心位置执行此类活动变得困难。
- 安全的开发实践。随着应用程序的改进,出现了将安全要求“融入”开发实践的机会,而不是后来“附加”。如果应用需要解耦,不同辖区之间的安全标准可能会有所不同。因此,如果存在此类差异,则需要在开发应用程序时对它们进行协调。
行动:
- 与业务、IT 和法律团队持续合作,为组织已运营的国家和计划扩展的国家制定数据本地化要求。法律部门必须识别任何不合规和法律冲突的情况,并制定联合制定的缓解策略,其中包括成本效益分析。
- 维护数据清单和地图,以识别符合本地化要求的信息资产。优先投资能够持续发现云中敏感数据和个人数据的工具。这将为数据安全策略提供信息,并作为数据或信息治理设置的输入,以最大限度地提高业务利益相关者的知识和支持。
- 将安全开发实践(例如安全软件开发框架 (SSDF) 和 LINDDUN 注重隐私的威胁建模框架中的实践)纳入软件开发生命周期。通过采用模块化方法来应用安全架构控制,以配合向可组合应用程序、微服务架构、云/容器部署等的整体转变。
生成式人工智能引发短期怀疑,但激发长期希望
**战略规划假设:**到 2025 年,生成式 AI 将导致保护其安全所需的网络安全资源激增,导致应用程序和数据安全方面的支出增加超过 15%。
描述:
ChatGPT 等大型语言模型 (LLM) 应用程序已将生成式人工智能 (GenAI) 提上议程,纳入许多业务、IT 和网络安全路线图。GenAI 一词描述了从数据和模型工件的表示中学习以生成新工件的技术。
GenAI 引入了需要保护的新攻击面。这需要改变应用程序和数据安全实践以及用户监控。GenAI 还将改变网络安全市场的动态。
GenAI 已经以多种方式影响 SRM 领导者:
- 直接且紧急:首先,需要解决 ChatGPT 不受管理和不受控制的使用,以最大程度地降低风险。最值得注意的问题是在第三方 GenAI 应用程序中使用机密数据,以及使用未经审查的生成内容可能导致的版权侵权和品牌损害。很快,业务计划推动了对保护 GenAI 应用程序的需求,为传统应用程序安全保护的攻击面增加了新的攻击面。
- 直接且大肆宣传为紧迫:网络安全提供商发布了一波双曲线人工智能公告,旨在激发人们对 GenAI 可能做的事情的兴趣。这些早期的公告大多涉及交互式提示。这些提高了人们对安全团队生产力的好处的期望(主要来自安全领域之外的领导者),尽管这些公告大多数只是早期预览,有时接近“人工智能清洗”。我们已经看到 GenAI 功能用于安全操作和应用程序安全,但尚未观察到网络安全产品直接使用 GenAI 技术来检测或预防威胁。
- 间接且可怕:随着 SRM 领导者对 2024 年的计划,由于隐私问题和威胁行为者获得了 LLM 技术,他们正在提出有关新风险和威胁的合理问题。他们需要忽略“恐惧、不确定性和怀疑”,并通过监控现有安全控制中的检测性能偏差,并加倍加强弹性和暴露管理举措,应对GenAI 可能导致的威胁环境中不可预测的变化。
- 间接和潜在:随着组织内越来越多的团队(可能几乎每个团队)抓住机会将 GenAI 功能集成到其系统中,网络安全团队将必须不断适应流程的变化。例如,人力资源团队可能会将 GenAI 纳入招聘流程,采购团队可能在选择或续签产品合同时使用 GenAI。即将出台的法规和合规要求也将影响安全团队。
为什么热门:
GenAI的使用增加是不可避免的。在2024 年Gartner CIO 和技术高管调查中,只有 3% 的受访者表示他们对 GenAI 不感兴趣。SRM 领导者如果推迟采用 GenAI 应用程序的新安全实践,或者忽略 GenAI 的安全用例(即使基于当今的基本实现和示例),则可能会在其他公司效仿时失去其组织的竞争优势。同一项调查发现,三分之一 (34%) 的组织计划在未来 12 个月内部署 Gen AI 。
SRM领导者还需要为快速发展做好准备,因为 ChatGPT 等 LLM 应用程序只是 GenAI 颠覆的开始。多模式 GenAI(涉及不同类型数据的训练模型)已经将 GenAI 用例的范围扩展到文本之外。“大型动作模型”——可以自动执行动作的基础模型——也即将出现。
影响:
安全团队定期证明他们适应范式变化的能力。然