捕捉隐藏在机器中的恐惧: 2025年赋予CISO的挑战
文章重点
非人身份 (NHI) 的安全威胁日益严重,对企业安全造成重大影响。安全团队需要优先关注AI安全,特别是针对大型语言模型的攻击。CISO 在预算请求上面临挑战,需寻找新方法以提高效率及自动化流程。对于企业而言,NHI带来的网络安全威胁不容小觑,就如同僵尸浩劫一般随处可见。因此,企业必须加以警惕!以下是需要在2025年优先采取行动的三个关键趋势:
NHI攻击对组织最具破坏性
谈论僵尸可能让人忍俊不禁,但NHI对企业安全的威胁却是相当严肃的。根据IBM研究,基于非人身份的攻击已经成为第二频繁类型的攻击,且对组织造成的影响最为严重。根据我们的 研究显示,每个人类身份平均涉及92个非人身份。然而,有91的前雇员令牌依然有效,使得组织面临潜在的安全风险。甚至有40的现有效秘密未被任何应用程序工作负载使用,而97的NHI拥有过多的权限,这对组织而言无疑是巨大的风险。研究人员还发现了一个超过20年的活跃密钥,这更是表明了管理不当的潜在危险。为了减轻这些风险,组织必须实施更严格的控制以及对NHI和秘密管理实践的定期审核,确保及时轮换身份及撤销前员工的存取权限,减少秘密的过度使用和重复,并避免在不安全的环境中曝光这些秘密。
安全团队必须优先考虑AI安全
AI的出现使得许多工作流程、过程甚至代码生成自动化,这无疑会导致创建属于自身的非人身份。然而,这引发了人们的担忧根据Pillar Security的研究,对大型语言模型的攻击平均不到一分钟便可完成,且成功时泄露敏感数据的机率高达90。这些研究基于超过2000个AI应用的遥测数据及实际攻击范例,显示大型语言模型的逃脱攻击有20的成功率。随著生成式AI的攻击面不断扩大,迅速且轻松的LLM利用展示了其带来的真实风险。AI应用与代码的迅速普及使得企业在追求AI带来的利益同时,也必须认识到它扩大了攻击面,优先考虑AI网络安全,特别是针对NHI。因为突破一个LLM便可获取潜在数千个NHI的访问权限。
CISO预算请求需采取新思路
每年,未获资金的预算请求都令CISO深感忧虑。根据 PwC的2025全球数位信任洞察 调查,CEO中不到一半表示他们的CISO在战略规划、董事会报告和技术部署的监督方面参与度很高。此外,仅有15的组织在相当程度上衡量网络风险的财务影响。
黑洞加速器app永久免费考虑到这些现实,预算请求与实际获得间的巨大差距将持续存在。企业层面的网络韧性至关重要,而实现这一目标需要CISO及其
