日前,全球网络信息安全行业最受关注的年度盛会——RSAC 2024, 在美国旧金山顺利举办。本届大会以“可能的艺术(The Art of the Possible)”为主题,吸引了全球网络安全领域众多专家、学者和厂商的参与。
与往年一样,RSAC 2024是促进行业交流与学习的广泛互动平台,.会议通过高峰论坛、竞赛活动、展览等多种方式,呈现了网络安全行业当前发展中的新理念、新技术、新产品和新应用。大会举办期间,Proofpoint、Rubrik、Mimecast、Trellix、Palo Alto Networks、Check Point和Zscaler等多家知名网络安全公司的高级管理者或技术负责人,发表了自己对当前全球网络安全产业发展挑战和未来趋势的看法。在本文中,专业媒体CRN的编辑们对这些产业大佬的精彩观点进行了梳理和盘点:
1
Proofpoint CEO —— Sumit Dhawan
观点:组织需要一种可持续的网络安全架构
我认为,企业组织目前应该更加关注安全性和IT系统之间的关系,而要确保这种关系健康有序,关键在于制定一种可持续的网络安全架构方法,这种架构的包括包括身份及访问、EDR、SASE、以人为本以及自动化等5个核心要素,在此基础上可以整合更多的扩展组件。如果组织依靠太多的单点产品来执行安全防护任务,而不是在基础设施和人员层面统一管理风险,那么其数字化系统的底层关系就会变得不健康、不可靠。在我看来,只有采用统一架构的方法,CIO和CISO才能建立起比以往更牢固的安全体系。
2
Rubrik联合创始人兼CEO——Bipul Sinha
观点:网络弹性与预防不可或缺
网络弹性是指从网络安全整体态势的角度评估安全性,即了解数据和用户在数据方面的活动,然后提供补救措施。现在有越来越多的组织开始意识到,之前的网络安全工作和讨论或许偏离了正确方向。相比网络安全事件发生后的处置,事前预防至关重要。因此,每个组织都应该提前关注风险和威胁,并且应该意识到,改变组织的网络卫生状况不是一起孤立的事件。网络攻击不可避免。因此要确保即便在攻击得逞的情况下,贵企业依然能够正常运转?
3
Check Point CTO—— Dorit Dor
观点:AI技术的应用发展加剧了数据安全挑战
数据一直是企业组织无法妥善解决的问题,而AI的使用正在放大原有的数据安全问题。数据问题一直存在,但企业很多时候会忽略了它。现实中,企业会将海量的数据放在不同的地方并隔离起来,为访问者授予相应的访问权限,并添加了控制措施。但AI技术加大了这种数据保护模式的难度,因为AI需要让所有的数据都能相互交流,并允许收集更多数据。这让数据安全性变得非常难以控制。因此,需要新的方法和思路,以针对数据保持合理的授权和控制级别。
4
Mimecast CEO ——Marc van Zadelhoff
观点:通过平台整合去做更多的事情
我从事网络安全领域已有25年。网络安全领域的平台化发展一直是起起伏伏。在我刚进入网络安全领域时,迈克菲和赛门铁克都是大平台建设的倡导者,但现在日渐式微。而现在企业组织的基础设施中,却看到了一些非常有意思的新型平台。我认为,全球企业组织的网络安全工作目前都面临较大的资金预算压力,他们希望在行业中寻找到一些有特点的安全供应商,以便“为我做更多的事情”。一个可能的趋势是,把钱尽量花在有限的几家固定供应商上,这或许是接下来网络安全平台整合的一个趋势。
5
Palo Alto Networks首席产品官——Lee Klarich
观点:要追求实时性的安全
纵观整个网络安全界,我认为当前最大的话题是网络安全需要实时性。但是在很多时候,安全防护技术的发展跟不上攻击者的步伐。根据我们统计的数据发现,2023年攻击者从最初攻击到突破平均需要40天,但在2023年观察到的数据显示,攻击突破平均只需要5天。甚至我们还观察到仅用几小时就取得成功的攻击。因此,企业必须在更小的时间窗口内能够实现检测和修复,以便在攻击得逞之前及时阻止它们。我认为,留给威胁检测人员的时间窗口会继续缩小,这就要求企业的安全防护尽可能接近实时。
6
Trellix CEO—— Bryan Palma
观点:CISO的责任和能力之间存在较大差距
当前,我们看到了网络安全行业中的一个现象,就是CISO们的责任相比以往大大提高了,要对可能给组织造成巨额损失的潜在安全事件承担更多责任,此外还需要经常向董事会阐述组织面临的潜在风险,并将其列入议程。然而,很多CISO在公司的管理层会议上却没有一席之地,他们所能够利用的资源非常有限,也缺少应有的安全预算。这种矛盾正加大企业的安全缺口。
7
Netskope联合创始人兼CEO ——Sanjay Beri
观点:CIO需要更多的了解网络安全
在很多大型企业组织中,往往会分别设立的CISO和CIO岗位,他们会独立完成各自工作。而随着数字化业务发展,我认为CIO们已意识到,他们必须更多的了解网络安全,这是好事。CIO们通常负责网络系统、基础设施和应用软件系统的运行维护,但在此过程中,他们需要与安全部门密切合作,很多工作目标都在趋同。CIO应该意识到形势在变化。不管CIO以前是否了解网络安全工作,今天的数字化发展模式正在变了。因此,我认为CIO必须更好地了解如何正确应对网络安全工作。
8
Securonix CEO ——Nayaki Nayyar
观点:网络安全需要创新应对基于AI的攻击
过去几年的网络攻击情况很糟糕,但以后只会更糟糕。我们现在已经看到了很多基于AI的攻击,AI技术将会使网络攻击更加的普及化。以前也许只有经验丰富或技术高超的人才能发动这类攻击,而将来可能会变的没有任何技术含量。在防御方面,很多组织对自己跟进的节奏仍然是自我感觉很好。设想一两年后,会有更多的AI创新应用涌入市场,安全从业者和安全供应商们需要共同联合,才能打好这场AI技术引发的网络保卫战。
9
CrowdStrike CTO ——Elia Zaitsev
观点:生成式AI不会取代安全分析师
我认为,在网络安全行业中,人们对这项技术及其如何发展还存在严重误解。我和一些人谈过,他们问我是否所有的安全分析师都会下岗,到时会以完全自动化的AI技术唱主角。我认为不会出现这样的情况。人类在网络安全领域的作用是不可取代的。安全分析师只会在AI的帮助下行动越来越快、能力越来越强。同样的,攻击者并不可能让AI技术取代自己,而是借助AI变得更危险、更狡猾。
10
Cato Networks联合创始人兼CEO ——Shlomo Kramer
观点:网络安全团队正面临全所未有的压力
对所有企业来说,网络安全的支出在企业整体IT支出中的比重在不断加大。网络安全保险的费用也在上涨,但安全状况并未改善。安全团队面临着预算和人手有限的窘境,他们在设法确保安全。攻击者采用AI后,情况变得极为复杂,这意味着更大规模更复杂的攻击、更逼真的深度伪造和金融欺诈。攻击者继续力求创新。因此,网络安全团队感受到的压力只会变得更大。
11
Snyk CEO—— Peter McKay
观点:安全团队需要尽快跟上应用软件开发的步伐
应用软件的开发团队和安全团队之间一直存在明显的脱节。开发人员的数量往往会比安全人员多得多。而由于生成式AI,现在开发人员编写代码的效率比以前提高了40%。在应用程序安全方面更积极学习的公司对更多的系统实现了自动化。他们已经将生成式AI融入到软件开发生命周期中,至少为GenAI做好了准备。然而对于其他还没有左移的公司来说,安全与开发人员和软件步伐之间的脱节越来越严重,安全团队需要尽快跟上步伐。
12
Secureworks总裁兼CEO—— Wendy Thomas
观点:基于优先级的漏洞防护
当前,企业三分之一的漏洞发现仍然来自基础性扫描和渗透测试,这是远远不够的。应该通过关联资产和威胁情报以实现对漏洞的最佳检测、调查和响应。当然,这对网络安全行业来说是仍然是一个需要不断提升的能力挑战。此外,企业中存在了大量的漏洞,而安全团队的资源是有限的,因此我们需要能够优先为真正面临威胁、风险最高的漏洞打上补丁,把资源集中在最需要防护的环节上。
13
Abnormal Security联合创始人兼CEO ——Evan Reiser
观点:通过长期规划应对日益严峻的网络攻击
我们看到很多企业在数字化发展中苦苦挣扎,他们会感到非常沮丧,觉得从来没有在网络安全上花过这么多的钱,但却遇到了前所未有的网络攻击。这让很多企业觉得网络安全投资是打了水漂。其实,让企业感到不知所措的原因,主要是缺乏长期规划的能力。想象一下五年后,网络攻击者可能会使用ChatGPT 7来编写更复杂的社会工程攻击,并通过每一条沟通渠道趁虚而入时,我们该怎么办?AI技术该如何帮助我们在安全防护方面发挥更好的作用?
14
Zscaler CTO ——Syam Nair
观点:AI技术的安全使用是头等大事
AI技术的使用越来越广泛。如何安全地使用AI对所有人来说都是头等大事。对于组织而言,不仅需要将零信任用于用户和工作负载,还需要零信任来保护AI应用的安全性。根据我看到的情况,大部分的企业还不知道如何安全地实时AI应用。要么是“禁用一切”,要么“完全开放态度,看看会发生什么”。大家都在谈论AI,也都想要用好AI,因为它能提高生产力,但是对AI技术应用的风险因素却了解的非常有限。
15
SonicWall CEO—— Bob VanKirk
观点:供应商应该重视合作伙伴的安全需求
在过去这几天中,我听到很多企业的安全负责人对我抱怨,‘你知道吗,我的供应商根本不关注我们所重视的安全问题。’或者‘供应商在回避我们的安全要求。’这对企业的网络安全工作影响重大。当前的供应链攻击能够在组织不知觉的情况下将漏洞、不安全内容或恶意代码引入到应用程序中。这些组件如果没有得到适当的保护,可能会带来各种安全风险。
16
Dazz联合创始人兼CEO ——Merav Bahat
观点:要全面看待AI技术的各方面影响
在理想的世界中,我们希望各种先进的技术能够在“阳光”下被使用,然而,现实世界从来不是乌托邦,AI技术的应用也是如此。其影响是多维度、多层面的,即会增加安全风险,也能够增强安全防护能力,还有法规监管层面的要求。因此对于AI技术应用,将会有众多的可能性。企业组织不能仅仅把AI应用的挑战看作是网络安全或数据安全的问题,它还牵涉法律问题及其他伦理等问题。同时,我们也要认识到,AI技术也同样可以加强安全。
17
Fortanix联合创始人兼CEO—— Anand Kashyap
观点:量子计算的潜在威胁已越来越近
量子计算的安全威胁就像千年虫时刻,区别在于,人们清楚的知道千年虫问题会出现的日期和时间,而对量子计算而言,还没人知道确切的日期和时间。但量子计算机能够破解传统密码的威胁是切实存在的。为了解决这个问题,人们现在必须升级加密密钥、算法和应用程序,才能开始使用量子安全机制。后量子加密就是这类算法,可以抵抗量子计算机破解。目前,我们看到许多组织、大企业和政府开始做准备,试图清点其环境中与加密资产相关的方方面面。准备就绪后,他们需要一项计划,以便能够从传统加密升级到后量子加密。所以我认为,企业组织应该从现在开始就为即将到来的威胁做好防备。
18
Qualys总裁兼CEO ——Sumedh Thakar
观点:要让业务部门了解网络安全风险
我认为,企业组织面临一个严重的安全问题是,如何将网络安全工作与预算支出联系起来。很多CISO想在董事会占有一席之地,向董事会阐述网络安全问题,但是他们说的话董事会完全听不懂。因此在现实工作中,CISO们应该首先关注的是,如何采取一种基于整体风险的方法来管理网络安全工作?如何从业务影响方面量化风险?如何向董事会、首席财务官和业务部门阐明这个风险?
19
RSA Security CEO ——Rohit Ghai
观点:通行密钥的安全性存在误解
当前,行业中有一种普遍的误解以为,通行密钥(passkey)不会像密码一样可以被窃取,但这是错误的。通行密钥实际上是存储在设备上的数字证书或加密密钥。谷歌、亚马逊和苹果基本上都支持FIDO标准,表示可以将通行密钥存储在设备上,并会把它同步到云端。这看起来没有问题。但由于通行密码现在被同步到云端,它就有可能被窃取。不能因为通行密钥不是密码就认为意它不会被窃取。因此,为了确保通行密钥对企业来说足够合适和安全,必须有明确的安全策略来管理通行密钥的传输、通行密钥实际存储的位置、如何存储以及谁可以访问。
20
Cribl联合创始人兼CEO—— Clint Sharp
观点:数据量的增长带来挑战
在今年的大会上,与我交谈的几乎每个客户都有一模一样的问题,‘无论我们将数据发送到哪里,数据都存满了。而在这上面我们已经花费了大量的资金。’即便企业已经满足2024年的数据存储需求,但这能满足十年后的存储需求吗?在此背景下,企业都在寻找如何保持可持续的数据存储和管理策略。所以企业现在非常关心,我们现在该怎么办?我不可能每年都追加30%的数据管理预算。
参考链接:
https://www.crn.com/news/security/2024/here-s-what-20-top-cybersecurity-ceos-and-ctos-were-saying-at-rsac-2024
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。