1、2024 年安全现状报告驯服 AI 的竞赛2024 年安全现状报告|Splunk作为一名从业 20 多年的安全专家和领导者,我见证了这个行业的多次发展。但这次不同。随着生成式 AI 的兴起,网络安全正在成为一个充满机遇和风险的全新领域。在 Splunk 的 2024 年安全现状报告中,我们发现许多 CISO(首席信息安全官)和从业者正在一往无前地探索这条道路。但考虑到新的合规法规及其对 CISO 问责制的影响,他们也不确定未来将面对怎样的情形。在今天的网络环境中,我们希望安全专业人员探索生成式 AI 如何为其韧性构建过程提供支持,同时,声称采用这一技术手段的受访者比例高达惊人的 93%,这说明
2、,许多受访者已经将其视为创新的关键点。他们正在使用生成式 AI 来构建更好的网络防御机制,执行更明智的决策,并填补关键技术的空白。与此同时,至少三分之一的受访者没有制定生成式 AI 策略。他们表达的最大的担忧是什么?各种基于 AI 技术的攻击。与此同时,美国出台了更加严格的事件报告规则。美国证券交易委员会(SEC)和欧盟的 NIS2 正在要求 CISO 群体承担更大的责任。但我们相信,安全专业人员也会发现新的机遇,以便重塑他们的角色和团队。对于广大 CISO 来说,这意味着在董事会中确定优先事项,而对于安全从业者来说,这需要与 ITOps、工程和云团队进行更紧密的合作,以扩大可见性,实现响应时
3、间的最小化,并实现更大的韧性。安全专业人员继续开辟这条新道路的同时,在 Splunk,我们对生成式 AI 可为防御人员提供的潜力感到兴奋,并为安全优先事项成为业务优先事项的速度深受鼓舞。Jason LeeSplunk 首席信息安全官32024 年安全现状报告|Splunk2024 年安全现状报告有些矛盾。尽管安全专业人员的道路困难重重,比如说严格的合规要求、不断升级的地缘政治紧张局势和更复杂的威胁环境,但整个行业还是在取得进展。许多组织表示,与前几年相比,网络安全变得更容易管理。组织之间的协作更多,威胁检测的速度更快,而且大多数组织都具备解决所面临问题所需的能力和资源。但完全胜利仍然难以实现,
4、因为防御人员试图在驯服生成式 AI 的竞赛中超越对手。安全团队担心生成式 AI 会加剧他们多年来通过各种技术手段挫败的攻击的影响,这是可以理解的。我们认为防御人员能够胜任这项任务。生成式 AI 对网络安全的全部影响可能是未知的,但有一种情况我们是确定的:这种竞赛已经开始。不断变化的创新之路目录3 不断变化的创新之路6加入 AI 热潮14 领先组织的构造块18 威胁环境评估23 不断攀升的合规压力27 奋进31 行业数据34 典型国家/地区42024 年安全现状报告|Splunk网络安全逐渐变得越来越容易作为一名防御人员意味着你很少看到自己的劳动成果。人们很自然地会思考:这些方法有用吗?在满足网
5、络安全需求方面,受访者的观点几乎平分秋色:41%的受访者认为这方面的工作变得更容易了,46%的受访者则认为更难了。但总体趋势仍充满希望。自 Splunk 发布 2022 年安全现状报告以来,网络安全管理变得越来越容易。考虑到环境的复杂性和攻击的复杂性,这种看法可能会令人惊讶。但对于拥有完善安全管理机制和流程的组织来说,依靠久经考验的攻击策略,可能更容易领先于威胁行为者。合作可能是网络安全变得越来越容易的原因之一:87%的受访者表示,与一年前相比,他们与其他团队的合作更加紧密。四分之三(75%)的受访者表示,今年将更多地与 IT 运维部门开展合作。此外,54%的受访者正在加深与软件工程部门的合作
6、如果在设计和代码开发阶段早期就开始考虑安全问题,解决漏洞问题就会变得更加易于管理。组织检测威胁的速度也在加快。55%的受访者估计他们检测造成中断的事件的平均检测时间(MTTD)为 14 天或更短。这标志着,与去年相比,这方面已经有了显著的提升,当时只有 28%的受访者估计在同一时间段内检测到此类事件。但与攻击者访问系统所需的时间相比,这一时间仍然过长。在过去两年中,满足网络安全要求更加困难没有更加困难更容易2024 年2022 年2023 年17%34%41%66%53%46%18%13%13%说明:52024 年安全现状报告|Splunk但战斗还没有结束在认为网络安全工作越来越困难的受访者中
7、,38%的受访者认为威胁环境的复杂性是导致这一情况的原因。地缘政治紧张局势和网络战争正在升级。物联网、AI 和多云环境正在以指数方式增加数据量。因此,仍在努力实施基本网络安全管理机制的组织将难以确保更多的资产和端点。他们也将更难防止简单的人为错误,如配置错误,这是今年的头号威胁向量。更加严格的合规性要求也会增加风险,特别是对于现阶段个人需要为组织的违规行为承担责任的安全主管。28%的受访者认为遵守相关法规会让工作变得更加困难。新出台的政府条令只会让工作压力更大。与前几年类似,27%的安全团队难以在解决各种突发状况的同时投入足够的时间来提高网络安全,这表明缺乏长期战略和投入。连串的安全警报也会让
8、局面难以为继26%的受访者认为警报数量过多,应对起来比较麻烦。对 AI 的呼声高于云今年进行的调查中最值得注意的发现之一是,对 AI 的宣传与实际情况相符。近一半(44%)的受访者将 AI 列为 2024 年三大主要举措之一,这一比例超过了云安全。虽然安全团队认识到 AI 的许多好处,但不受法律和政策阻碍的威胁行为者也意识到了这一点。当被问及AI 会让天平偏向防御人员还是对手时,受访者的态度几乎各占一半:45%的受访者预测对手将受益最大,43%的受访者认为防御人员将受益最大。生成式 AI 的迅速崛起激发了 人们对未来的无限遐想,但同样也提出了我们实际将面临何种情形的严重问题。这对 SOC 将意
9、味着什么?组织是否会引入政策来鼓励安全和有效的使用?他们如何在不妨碍创新的情况下执行这些政策?答案正在逐渐明朗。2024 年主流安全措施AI云安全安全分析44%35%20%62024 年安全现状报告|Splunk加入 AI 热潮在加利福尼亚淘金热潮期间,成千上万怀揣发财梦的淘金者向西部迁移。同样,在今天的生成式 AI 热潮中,我们看到人们以极快的速度寻找机会,进入一个充满无限可能和危险风险的未知前沿领域。每个人都想找到主矿脉,享受先发优势。这是可能的只是需要一点一点地去挖掘。生成式 AI 的采用速度超过了制定政策的速度业务部门的采用率为 93%安全团队的采用率为 91%34%的受访者缺乏完整的
10、生成式 AI 策略93%91%34%生成式 AI 的前景和可能性生成式 AI 已经成为主流,许多组织正在积极实施这种方案,进而实现业务转型。从在电子商务中提供个性化客户推荐服务,到绘制人类大脑图谱,再到模仿伦勃朗的笔触,生成式 AI 几乎在每个行业都有各种各样的用例。这些不仅仅是猜测。93%的受访者表示,业务线终端用户依赖公共生成式 AI 工具来帮助他们完成工作。这会为安全团队提供更多的工作机会,他们需要确保业务免受数据泄漏等生成式 AI 相关漏洞的影响。即使对其怀疑态度最为坚决的安全专业人士,面对大家对生成式 AI 的乐观态度也会动摇自己的想法。安全团队的采用率几乎与企业的整体采用水平一样高
11、,91%的受访者都在使用公共生成式 AI。更重要的是,他们对生成式 AI 取得的成功持一种支持的态度,46%的受访者表示,生成式AI将为他们的安全团队“改变游戏规则”。驾驭生成式 AI 的竞赛异常激烈,50%的受访者表示,他们的组织正在制定将生成式AI 用于网络安全的正式计划,但该计划尚未完成或在内部达成一致。如果处理得当,安全和创新可以齐头并进。与此同时,我们还想了解来自企业或董事会的压力(或者只是很害怕错过这一热潮而落后)是否正在推动安全团队采用生成式AI。就在两年前,询问组织有多少最终用户正在使用公共生成式 AI 工具几乎是荒谬的,但今天生成式 AI 在业务中的地位举足轻重。Splunk
12、 欧洲、中东和非洲首席技术官,战略顾问 Kirsty Paine”82024 年安全现状报告|Splunk生成式 AI 策略是一个未知领域“快速行动,打破常规”可能听起来违反大多数安全从业者的直觉,但当组织寻求快速创新时,这可能是一种正确的理念。虽然安全团队很少拒绝制定策略的机会,但 34%的组织没有制定生成型 AI 政策,尽管这一技术手段的采用率很高。Splunk SURGe 首席安全策略师 Shannon Davis 表示:“对生成式 AI 的限制过于严格的公司不仅有可能落后于竞争对手,还很容易让自己受到大力推崇这些工具的威胁行为者的攻击。”我们从云计算或物联网技术的应用中吸取的教训告诉我
13、们,缺乏流程和规划可能会给安全团队带来困扰。企业操之过急,盲目跟风的做法导致了不良后果,例如个人信用卡支付的不合规的云服务,或充满软件漏洞的不安全的物联网设备。安全团队必须在创新速度与深思熟虑和可持续的过程之间权衡利弊。强有力的策略源自对一项技术真正意义的深入理解,然而 65%的受访者坦言,他们缺乏关于生成式 AI 的培训。但对组织中的其他人员进行生成式 AI 的相关培训应该不是网络安全团队的唯一负担。“组织应该成立一个跨部门的治理委员会,以一个负责任的 AI 的全面框架来监督 AI 的开发和采用,”Splunk AI 事业部副总裁 Hao Yang 如是说。生成式 AI 的影响是广泛的,因此
14、要搞清楚它,我们需要从多个视角和特殊领域出发。例如,Splunk 的 AI 委员会横跨多个业务部门,包括产品和技术、法务、隐私、安全、人力资源、市场和营销。当然,深思熟虑的安全策略并不一定能转化为万无一失的预防措施,但它们可以大大减少数据泄漏和其他新的漏洞。生成式 AI 必须接受法律监管虽然就目前而言,就像内部监管一样,生成式 AI 的前沿领域仍然相对不受任何可执行法律的控制和监管。但 AI 合规的要求正在开始成形。例如,欧盟的 AI 法案旨在引入基于风险类别的共同监管框架。2023 年,欧洲议会修订了其最初的建议,将生成式 AI 纳入其中,要求其必须符合一定的透明度要求。这些要求包括在数据库
15、中注册基础模型,以及制定和保留技术文档。在美国,拜登政府的 AI 权利法案建议,在与自动化系统通信时,应向用户进行通知,并允许选择退出并与真人互动。这些指导方针可能预示着政府未来的行动。即将出现的政府严格监管的局面可能是 45%的受访者将更好地符合合规要求列为仅次于数据泄露的首要改进方面的原因。要针对这一趋势提前做好应对,就需要重新关注内部合规控制。组织应该成立一个跨部门的治理委员会,以一个负责任的 AI 的全面框架来监督 AI 的开发和采用。Splunk AI 事业部副总裁 Hao Yang”2024 年安全现状报告|Splunk它们会相互抵消防御人员将受益最多 对手受益最大生成式 AI:是
16、敌还是友?生成式 AI 对谁更有优势?受访者各有高见。102024 年安全现状报告|Splunk生成式 AI 用例在实际工作中的表现如何 识别风险 生成式AI 可以通过快速聚合不同的数据集来增强基于风险的警报,进而为安全分析师提供富有语境的警报。大型语言模型(LLM)有助于以远远超出人类能力的速度和效率传递这些信息。识别风险威胁情报分析威胁检测/优先处理安全数据汇总39%39%35%34%主流生成式 AI 网络安全用例威胁情报分析 LLM 可以确定威胁情报报告中描述的漏洞和 MITRE ATT&CK 技术指标。情报团队可以通过该功能从大量繁重的工作中解脱出来,并能够更快地进行更深入的分析。威胁
17、检测和优先处理 对警报进行优先排序和分类是特别容易受到分析师错误分类、疲劳和人为错误影响的任务。生成式 AI 可以同时处理多个威胁,同时提高准确性。对安全数据进行汇总 生成式AI 可以快速、全面、准确地进行总结,帮助安全团队节省时间并跟上新闻和信息的节奏,例如拜登关于改善美国网络安全的行政命令。生成式 AI 作为保证安全的得力助手人们对生成式 AI 的认识正在快速发展。就在 8 个月前,在我们的 CISO 报告中,只有 17%的受访者认为生成式 AI 将对防御人员有所帮助。现在,几乎一半(43%)的受访者持有相同的看法。越来越多的供应商正在将生成式 AI 纳入他们的产品中,反映这一手段在安全工
18、作流程中的使用,而防御人员也开始看到这种可能性。虽然新出现的生成式 AI 攻击和 AI 中毒的可能性仍然存在,但这些威胁还没有变得普遍。防御人员似乎持有一种乐观的态度,并一致认为生成式 AI 很适合若干网络安全用例,并将威胁情报分析和风险识别视为主要的两个应用场景。112024 年安全现状报告|Splunk解决网络安全技能短缺问题技能熟练的专业人员是任何 SOC 的核心,许多组织仍在应对人才短缺的问题。生成式 AI 可以为解决这一切实的需求提供一些喘息的机会。86%的组织认为,生成式 AI 将帮助他们聘请更多入门级网络安全人才,58%的组织表示,它将帮助他们更快地聘用入门级人才。90%的受访者
19、表示,入门级员工入职后,可以依靠生成式 AI 来帮助自己提升 SOC 技能这可能包括编写 Python 脚本或启动测试环境等基本任务。经验丰富的安全专业人员也可以通过生成式 AI 让自己的工作事半功倍。65%的受访者认为这项技术手段会让使他们的工作更高效,让有经验的从业人员更容易合成各种新闻和信息,并加速研究和检测工程进度。虽然对 AI 取代自己工作的担忧并非完全没有根据大约一半(49%)的受访者表示,生成式 AI 将让一些现有的安全工作岗位消失但它更有可能帮助组织培训新的人才,防止员工出现倦怠情绪。它还可以重新划分网络安全人员的就业格局,因为它可以引入提示工程这样的新工作岗位。的受访者认为它
20、可以帮助组织雇佣更多入门级人才 的受访者认为它将让经验丰富的安全专家更高效86%65%生成式 AI 如何缩小技能差距122024 年安全现状报告|Splunk生成式 AI 沦为攻击者的工具安全团队也有理由担心,生成式 AI 会成为对手武器库中的另一个工具。45%的受访者认为,网络攻击者将凭借生成式 AI 在双方的角逐中大获全胜,77%的受访者认为它会将攻击面扩大到令人担忧的程度。同样的攻击,已经不可同日而语生成式 AI 会为全球带来怎样的独特威胁?人们面临的一种可能的情况是,生成式 AI 不会产生立竿见影的奇特效果,而是会放大安全团队已经面临的各种威胁。32%的受访者最担心攻击者使用生成式 A
21、I来优化现有攻击,例如制作更真实的钓鱼邮件或改进恶意脚本。技术较差的机会主义黑客将对生成式AI 加以利用,从而推动社会工程攻击的情况显著增加。28%的受访者担心生成式 AI 还会帮助对手增加现有攻击的数量。内部敌人并非所有 AI 威胁都来自外部;77%的受访者赞同这一观点,即随着生成式 AI 的使用日益增加,我们将面临更多数据泄露的情况。但只有 49%的受访者正在积极采取措施,优先考虑数据泄漏的问题这可能是因为目前还没有很多解决方案来控制进出生成式 AI 工具的数据流。缺乏关于生成式 AI 的培训会加剧这些担忧。如果有 65%的安全管理人员承认,他们不完全理解生成式 AI,我们就可以合理地猜测
22、,非安全角色的人员更是丈二和尚摸不着头脑。如果没有适当的培训,最终用户肯定会犯一些错误,比如将敏感的公司数据导入LLM,而这会让安全团队成为众矢之的。威胁行为者对生成式 AI 的主要用途 让现有攻击更加有效 构建新的攻击类型 侦查 让现有攻击数量增加32%23%17%28%这就好像一个问题:您想对抗 1 只马一样大的鸭子,还是 100 只鸭子一样大的马?专注于单个威胁可能更容易管理,但生成式 AI 将产生没有那么明显的情况,作为现有攻击的增力因素。Splunk 欧洲、中东和非洲首席技术官,战略顾问 Kirsty Paine”的受访者表示,机器学习的经验将影响他们未来对生成式 AI 的处理方法9
23、3%132024 年安全现状报告|Splunk生成式 AI 未来展望生成式 AI 将何去何从?没有人能预知未来,但安全团队对传统形式的 AI(如机器学习(ML))加以利用已经有一段时间,93%的受访者表示这些经验将对他们未来的生成式 AI 方案产生影响。许多组织已经尝到了 ML 工具带来的生产效率提升的甜头,其中 92%的组织获得了实质性的好处。但这项技术并不完美,我们需要特别注意:73%的受访者表示,具有传统 AI 和ML 功能的工具可能会产生误报,91%的受访者表示这些工具需要调整。同样,我们需要对生成式 AI 进行监督,以发现和防止可能破坏其价值的错误认知。那些已经用传统 AI 和机器学
24、习建立了坚实基础的先驱们可能会发现自己正处于生成式 AI 采用过程的快车道上。142024 年安全现状报告|Splunk领先组织的构造块在防御威胁的竞赛中,一些组织遵循卓越中心模式建立成熟的网络安全实践方案。2024 年,47%的受访者认为他们的安全方案“非常先进”。我们正在将这一群组归类为领先组织,并会对他们的特有特征和在调查中的回答与那些将他们的方案标记为“正在制定”的群组进行比较。152024 年安全现状报告|Splunk首先,领先组织对自己应对威胁环境的能力充满信心。49%的领先组织表示,管理网络安全要求变得越来越容易,而对于正在制定方案的组织,只有29%的受访者表示有同样的想法。领先
25、组织在其他几个方面的表现也优于那些正在制定方案的组织,描绘了一幅可能被认为是黄金标准的做法的画面。适当地提供资源和授权领先组织不是天生就可以领先;这是它们努力的结果。他们的成功方法可以反映与董事会和业务利益相关者的深度联系、跨部门合作和稳定的投入。领先的安全团队预算积极主动67%的受访者会在未来一到两年内显著增加网络安全支出,而正在制定方案的受访者中,这一比例仅为28%。与企业的密切联系也会为领先组织带来回报。令人印象深刻的是,95%的受访者表示他们有资源和权力来应对挑战,这反映了我们在 CISO 报告中的发现,47%的 CISO现在直接向 CEO 报告。展开合作并认识韧性的重要性与企业建立联
26、系不仅仅需要CEO的倾听,还需要整个企业的合作。领先组织会与这些技术部门进行更多的合作:合作的部门领先组织正在制定方案的组织软件工程56%46%工程运维51%31%IT 运营76%67%合作还会延伸到合规领域。49%的领先组织强烈认为,安全团队中的每个人都将合规作为他们工作的一部分,相比之下,正在制定安全方案的组织中只有 27%的受访者持这种观点。领先组织意识到,在数字韧性方面存在很多风险。他们更强烈地认为,更强的数字韧性可以带来更多的创新(41%),更少的业务中断(39%),还可以规避合规惩罚(39%)可能是因为它们与业务成果更紧密地联系在一起。没有高管的支持,实现网络安全的成熟是一场失败的
27、战斗。Splunk CISO Jason Lee”162024 年安全现状报告|Splunk通过生成式 AI 进行更多创新领先组织也更有可能通过 AI 进行创新,48%的受访者将其视为最重要的举措,相比之下,不太成熟的组织中,只有 30%的组织将其视为最重要的举措。生成式 AI 在他们的安全团队中的采用率也更多、更广泛75%的领先组织表示,大多数安全团队成员都在使用生成式 AI,而对于正在制定方案的组织,只有 23%的组织有相同的说法。与正在制定方案的组织相比,领先组织中生成式 AI 的使用似乎实验性更低,更有条理:82%的领先组织已经建立生成式 AI 安全政策,而在正在制定方案的组织中,只有
28、 46%的组织采取了相同的做法。55%的领先组织有将生成式 AI 用于网络安全用例的正式计划,而正在制定方案的组织中,只有 15%的组织这样说。更快的事件检测和响应速度网络成熟度高并不意味着网络攻击少。但领先组织比其他同类组织的检测和响应速度更快,这样就可以减轻攻击力度及其后果。领先组织指出,对于导致中断的事件,平均检测时间(MTTD)为 21 天,而正在制定方案的组织平均会花费一个月以上的时间(34 天)来检测其网络中的威胁。领先组织在恢复模式上花费的时间也少得多。他们的业务关键型工作负载的平均恢复时间(MTTR)略大于44 小时,而正在制定方案的组织平均恢复时间则需要5.7 天。“缩短检测
29、和响应时间的能力直接说明安全方案的成熟度。这就是为什么 MTTR 和 MTTD 对董事会和高管来说是如此重要的指标。他们希望看到长期可衡量的成功,”Splunk SURGe 安全研究团队的全球安全顾问 Mick Baccio这样说道。缩短检测和响应时间的能力直接说明安全方案的成熟度。这就是为什么 MTTR 和 MTTD 对董事会和高管来说是如此重要的指标。他们希望看到长期可衡量的成功。Splunk 全球安全顾问 Mick Baccio”172024 年安全现状报告|Splunk领先组织的构造块适当地提供资源和授权67%28%95%79%将在未来一到两年内大幅增加网络安全支出:表示他们有资源和权
30、力来应对挑战:展开合作并认识韧性的重要性通过生成式 AI 进行更多创新51%31%76%67%去年与工程部门加强了合作:去年与 IT 运维部门加强了合作:82%46%75%23%已经制定生成式 AI 安全政策:表示大多数安全团队成员都在使用生成式 AI:更快的事件检测和响应速度21 天造成中断的事件的 MTTD:34 天1.8 天5.7 天业务关键型工作负载的 MTTR:方案非常先进的组织正在制定方案的组织那些将自己的网络安全方案描述为极其先进的组织,在四个关键维度上始终优于同行。2024 年安全现状报告|Splunk威胁环境评估虽然安全团队可以打一场漂亮仗,但威胁行为者仍然会找到方法,即使采
31、取最好的防御措施。2024 年安全现状报告表明,攻击者并没有放慢脚步,2021 年以来,数据泄露和勒索软件分别增加了 13%和 14%。192024 年安全现状报告|Splunk2024 年,我们看到攻击者使用了不同的战术例如从利用人类欺骗的商业电子邮件入侵到依靠蛮力的 DDoS 攻击。尽管方法各异,但这些威胁都有一个共同的目标:造成破坏。网络安全事件仍然具有深远的声誉、法律和财务后果,但组织似乎更善于吸收打击即使同时还在承受更多攻击。例如,只有 44%的受访者表示,今年恢复事件需要大量的时间和人员,该数字比去年下降了 13%。此外,今年出现生产效率下降和机密数据泄露的受访者有所减少,这表明数
32、字韧性举措正在发挥作用。过去两年出现的事件有所增多数据泄露商务电子邮件入侵网络勒索身份管理攻击DDoS 攻击勒索软件违反法规软件供应链攻击数字资产欺诈系统损害52%49%48%47%46%45%43%43%43%49%202024 年安全现状报告|Splunk网络焦虑并不总是与现实相符尽管数百万美元的赎金、CISO 吃官司和零日事件可以成为很好的头条新闻,但这些情况并不常见。当网络安全专家被问及他们最担心的威胁与他们实际上正在经历的威胁时,他们的恐惧有时其实没有必要。例如,尽管受访者表示 AI 攻击是他们最担心的问题,但他们更常见的问题则是数据泄露、商业电子邮件入侵、系统入侵和基于身份的攻击。
33、相反的情况也是如此他们认为的威胁与实际攻击相比显得苍白无力。只有 18%的受访者将商业电子邮件入侵(BEC)列为最令人担忧的威胁,但它在 2024 年最常见的事件排行榜上却高居第二。但也有一些担忧与现实相符。例如,数据泄露是人们最关注的问题,也是遭受攻击最频繁的事件,有 52%的受访者表示在过去两年中至少发生过一次数据泄露事件。恐惧来自未知。组织制定了相关流程和程序来防御数据泄露等常见的攻击,但他们还不知道靠什么(如果有)来阻止基于 AI 技术的攻击。Splunk SURGe 总监 Marcus LaFerrera”基于 AI 技术的攻击数据泄露网络勒索商务电子邮件入侵数据泄露系统损害勒索软件
34、网络勒索系统损害身份管理攻击最令人担忧的网络攻击是什么?你经历过哪些网络攻击?36%52%24%49%23%49%21%48%21%47%212024 年安全现状报告|Splunk人类是出现问题的常见薄弱环节 破坏分子如何获得可乘之机?尽管自动化和生成式 AI 逐渐兴起,但人类仍然是薄弱的环节。受访者认为配置错误的系统是最常见的威胁向量(38%)和最令人担忧的威胁向量(35%)。这种问题和经验之间的一致表明,安全团队知道错误配置是一个问题(监控的功劳!),但无法有效地管理这个问题。系统越来越复杂和安全人才稀缺可能会加剧这个问题,使消除错误配置看起来像是一场打地鼠游戏。主要威胁向量38%31%2
35、9%28%30%系统配置错误内部开发的应用程序中的漏洞已知软件漏洞横向运动零日漏洞222024 年安全现状报告|Splunk以经济利益为目标的攻击持续存在 当涉及到数据泄露、勒索软件和勒索这三种以经济利益为目标的攻击时,攻击者的面孔会非常可怕。曾遭遇数据和系统劫持的受访者比例从 2022 年的35%上升到2024 年的42%。网络勒索比勒索软件本身更常见,这种勒索软件策略包括窃取并威胁公开公司数据。48%的受访者表示他们经历过网络勒索,而 45%的受访者都曾经是勒索软件的受害者。网络勒索的流行可能归因于 2021 年 Colonial Pipeline 事件的成功,以及最近的MOVEit 攻击
36、,在该事件中,俄罗斯勒索软件集团 Clop 预计从勒索中获得了 7500 万至 1 亿美元的不法收入。当组织意识到测试备份的重要性时,网络罪犯可能会从加密转向数据泄露和勒索这些技术涉及的工作较少,产生的回报较高,并且不依赖失败的备份。地缘政治问题加剧了网络危机 2024 年,全球动荡不安。这些日益加剧的地缘政治紧张关系对网络产生了影响,甚至影响到了看似与政治无关的组织。2023 年,一名激进黑客攻击了宾夕法尼亚州的一家水处理厂,这凸显出,面对整个国家的对手和恐怖组织,没有人是绝对安全的。86%的受访者表示,当前的地缘政治气候使他们的组织更容易成为攻击目标。科技公司尤其强烈地认同这种观点(42%
37、),而整体受访者中持这一观点的组织则占 29%。SolarWinds 等与地缘政治关系有关的高调事件提醒科技公司,尤其是 IT 服务提供商,它们可以成为具有政治动机的威胁实施者实现一系列目标的桥梁。有趣的是,只有 17%的公共部门受访者强烈认为,不断加剧的地缘政治紧张局势使他们更容易成为攻击目标,这可能是因为政府组织一直是(很可能永远是)地缘政治攻击的目标。Splunk SURGe 安全分析师 Audra Streetman 说:“激进黑客行为并不总是那么高深莫测。”“出于政治动机的攻击者经常利用比较老的漏洞、默认密码和其他容易实现的目标来攻击组织,这也说明网络卫生比以往任何时候都更重要。”不
38、断加剧的地缘政治紧张局势将继续增加风险,甚至对看似不关心政治的组织也是如此。我们全球供应链的一个副产品是每个数字环节继承的风险。Splunk 全球安全顾问 Mick Baccio”2024 年安全现状报告|Splunk不断攀升的合规压力对于安全专业人员而言,遵守法规就像死亡和税收一样不可避免。事实上,62%的受访者表示,他们已经受到了不断变化的合规要求的影响,这些政策要求披露重大的违规行为。242024 年安全现状报告|Splunk安全专业人士敏锐地意识到,监管环境将以有意或无意的方式造成他们工作的变化。例如,87%的受访者同意,一年后他们将以非常不同的方式处理合规问题。虽然,合规和网络安全无
39、论如何都不会矛盾,但我们可能会遇到为了另一个项目而牺牲一个项目的意外后果。86%的受访者表示,他们将调整预算,以优先处理合规性法规带来的问题,而不是安全最佳实践。这些回答与我们 2023 年 10 月的 CISO 报告相呼应,在该报告中,84%的 CISO 受访者担心因网络安全事件而出现个人责任问题。在同一项研究中,84%的CISO 表示,他们的董事会或管理机构将强大的安全策略等同于监管合规,而不是传统的安全成功指标。原因不难理解。美国新规要求受证券交易委员会(SEC)监管的组织每年对所有“重大”网络安全事件进行披露和说明,并分享有关其风险管理方案的信息。如果不遵守相关规定,可能会受到严厉的经
40、济处罚、法律起诉,甚至高管会因此入狱。在欧盟,NIS2 指令要求组织建立适当的小组来应对事件和信息系统,以交换信息。领先组织可能要为侵权行为承担个人责任。安全专业人员陷入两难境地。低估损失,他们将面临欺诈指控和可能的牢狱之灾。过高估计,或凭空想象会导致公司股价暴跌,并引发董事会的集体不信任。这在一定程度上提出了一个道德难题:你会少报入侵事件,希望它不被发现吗?或者在这个过程中,明知公司股价可能会下跌,却过度报告某个事件,以对自己进行最大的保全,包括你自己?现阶段,监管无疑是安全策略的支柱手段。像桌面游戏这样的模拟练习可以帮助企业发现差距,同时还可以向监管机构证明,在它们成为下一个头条新闻之前,
41、它们在持续改进方面投入了资金。的受访者认为,企业将过度报告违规行为,以此作为规避处罚的手段。的受访者预测,上市组织的估值将因报告重大违规行为而下降。的受访者认为两种情况都会发生。63%61%26%报告重大违规行为的新规带来的后果252024 年安全现状报告|Splunk安全、法律和合规团队联合起来之前,合规部门主要是一个事务性部门。合规团队独立运行,通常不与安全团队沟通,甚至不完全理解安全团队的角色,反之亦然。监管的缺失让这种情况成为历史,因为不合规会带来更多严重的后果。2023 年10 月,美国证券交易委员会(SEC)指控 SolarWinds 前首席信息官欺诈和内部控制失误,导致了2020
42、 年毁灭性的网络攻击,指控他在公司的网络安全实践方面误导了股东。董事会、法律、合规和安全团队之间的沟通是没有商量余地的,所以学会和睦相处是必须的。组织和他们的董事会将不得不长远考虑,认真思考,当违约发生时(而不是如果发生的话),谁应该承担最大的责任。而这个角色往往是 CISO。但也可能包括首席技术官(CTO)、首席信息官(CIO),甚至是董事会中的网络专家,他们可能成为衍生诉讼的目标,或遭受额外的审查。这些发展对安全专业人员产生了深远影响,大多数受访者都加强了安全实践,并促进了法律和合规团队之间的一致。让每个人都站在同一条战线上会有好处。调整优先任务、角色和职责会让安全态势更加有效,同时让法律
43、和合规团队具有更高权限,并提升自我管理能力。安全和合规团队如何展开合作的受访者正在加强对法律和合规团队的安全培训的受访者正在加强对安全团队的法律和合规培训的受访者表示他们的安全团队中的每个人都把合规作为工作的一部分90%91%91%262024 年安全现状报告|Splunk合规业务涉及个人对 SolarWinds 的起诉是一个分水岭这是 SEC 首次就网络安全事件起诉 CISO。这一前所未有的操作标志着全球网络安全态度的一个转折点,这将对安全领导人及其团队产生持久的影响。现在,网络风险和商业风险毫无疑问是同义词。SEC要求高管和其他利益相关者承担责任,他们没有刻意隐瞒。除了一系列全面实施的全新
44、全球指令外,安全团队还必须更快地报告事件。欧盟的NIS2 允许 24 至 72 小时,而美国证券交易委员会(SEC)则会提供稍多一点的喘息空间,最多可达 4 个工作日。尽管如此,窗口期仍在缩小这一发展可能也意味着我们对最老练的专业人士的需要。更多的事件问责制可能会带来更好的安全实践,但它也可能对这一职业产生寒蝉效应。有多少人愿意因为工作中的一个错误而坐牢呢?这种恐惧可能被夸大了,但这些特殊情况代表着一种真正的威慑。当网络团队面临人才短缺时,对合规惩罚的担忧是人员流失的又一个理由。合规压力导致员工对职业的不确定的受访者认为,个人责任的风险正在削弱网络安全领域的吸引力。的受访者表示,由于工作压力大
45、,他们考虑过彻底离开这个行业。36%的受访者表示,他们曾多次考虑离开这一行业。76%70%272024 年安全现状报告|Splunk2024 年,网络安全将受到一系列全球动态的影响,包括新的合规要求和地缘政治紧张局势,但我们也有理由抱有希望。对 AI 持自信和乐观态度对防御人员而言是一种好现象特别是如果组织可以降低风险并保持对员工使用 AI 工具的方式进行控制。另一个乐观的理由是,企业正在加大对网络安全的投入。几乎所有接受调查的组织(96%)都表示,他们将在未来一到两年内增加在网络安全方面的支出。奋进未来两年排名最靠前的网络安全优先任务1.为网络安全和 IT 运维人员提供安全运营培训2.购买有
46、助于实现自动化/协调 SecOps 流程的安全运维工具3.积极开发和构建安全分析和运营工具的集成软件体系结构4.除了现有的工具之外,研究、测试和/或部署基于云的安全分析/运营技术5.增加安全运维的外采资源(例如第三方托管安全服务供应商)282024 年安全现状报告|Splunk最后的建议面对如此多的变化和不断发展的技术,组织可能很难确定应将精力集中在哪些领域。Splunk 的专家结合今年的数据提出了他们的建议。在整个企业中采用生成式 AI。这一技术手段已经在整个企业(93%)和安全团队(91%)得到广泛采用。对生成式 AI 持抵制态度的组织可能会逐渐落后。试图完全禁止这一手段则会扼杀创新,同时
47、为影子 AI 提供可乘之机。在不牺牲创新的情况下制定经过深思熟虑的生成式 AI 策略。在不考虑风险和影响的情况下仓促采用生成式 AI 是一个错误。围绕生成式 AI 制定策略,并为业务和安全用例制定计划,以领先于 34%尚未制定成文策略的组织。确定哪些生成式 AI 风险最令人担忧(49%的受访者认为最大风险是数据泄漏)并制定专门用于解决这些问题的策略。强调团队之间的协作和工具之间的整合。具备数字韧性的组织正在打破软件工程、工程运维,以及最重要的 IT 领域相互孤立的局面。76%的领先组织今年加强了与 IT 运维部门的合作,以提升数字韧性。减少摩擦的另一种方法是工具整合,它可以防止仪表板超载,并帮
48、助团队专注于有意义的威胁。43%的受访者表示,他们在过多不同的安全工具和管理控制平台之间进行转换。与法律和合规团队统一步调。今年将迎来安全领导合规的一个新时代,他们应该与法律和合规团队密切合作,以最大限度地保持步调一致。91%的受访者表示,安全团队已经把合规作为他们工作的一部分。组织可以依靠模拟练习(如桌面游戏)来帮助发现安全性和合规性差距,同时向监管机构证明他们在持续改进方面进行了投入。292024 年安全现状报告|Splunk学习如何有效地协调资源。网络安全的成熟度来自于自上而下的整个协调95%的领先组织表示他们有资源和专门的机构来解决问题。CISO 尤其应该能够从商业角度讨论和转化安全风
49、险,以便在与高管们的谈判桌上获得一席之地。以强调网络安全投资商业价值的方式与董事会沟通。这包括报告网络安全事件对企业的影响,或阐明可以产生严重法律或财务后果的合规性要求。跳出思维定式,弥合人才短板。数据显示,领先组织的招聘和培训方式相对没有那么传统。53%的领先组织正在使用 AI 和机器学习来填补招聘空缺,而在正在制定方案的组织中,这一比例仅为 28%。这些创造性的招聘和培训策略(比如允许非安全角色的人员进入 SOC 的方案)可以帮助缩小技能差距,并为安全团队实现急需的多样性。勿忘基本方案。虽然网络安全威胁变得越来越复杂,但对手仍然依赖于可靠的技术,系统配置错误仍然是 2024 年的主要威胁。
50、实施基本管理方案可以保证组织获得最大的投资回报,使其更容易满足长期需求。尽管 76%的受访者认为完成 IT 资产清单花费的时间过长,但花这些时间是值得的。对资源及其依赖关系的最新视图可以防止出现危险的盲点。关注影响网络安全环境的全球动态。网络安全不是存在于真空环境的问题。政治、全球冲突和严格的合规要求对威胁环境有直接和间接的影响。86%的受访者表示,当前的地缘政治气候使他们成为更大的攻击目标,62%的受访者表示,他们受到了不断变化的合规要求的影响。当组织意识到这些动态变化时,他们可以更加轻松地绕过相关的障碍。302024 年安全现状报告|SplunkSplunk 的视角来自领导者,针对领导者想