根據一項調查,有86%的CISO認為AI和自動化是DevSecOps成功的關鍵,並且可以克服資源挑戰。DevSecOps是一種將安全整合到開發和運營的方法,可以加快軟體交付的速度和質量,同時降低安全風險。AI和自動化可以幫助DevSecOps實現以下目標:提高安全測試的覆蓋率和準確性,減少人為錯誤和遺漏。
加速安全漏洞的發現和修復,減少攻擊者的利用機會。
增強安全監測和響應的能力,及時發現和處理異常和威脅。
優化安全配置和管理,確保符合法規和標準的要求。
提升安全意識和文化,促進安全責任和合作的分配。
然而,AI和自動化也不是萬能的,CISO需要注意以下挑戰和風險:AI和自動化可能會引入新的安全漏洞,例如模型被竊取、操縱或欺騙,或者自動化流程被破壞或濫用。
AI和自動化可能會降低安全人員的參與和控制,造成安全盲點或失誤。
AI和自動化可能會增加安全的複雜度和不透明度,使安全決策和行為難以理解和驗證。
AI和自動化可能會影響安全的倫理和社會責任,例如對數據和隱私的保護,或者對偏見和歧視的防範。
因此,CISO需要在使用AI和自動化的同時,也要設置合適的安全防護,以確保AI的安全和可信任。這些安全防護包括:制定和執行AI的安全政策和標準,規範AI的開發和使用的流程和規則。
實施和監督AI的安全評估和測試,檢查AI的安全性能和風險水平。
建立和維護AI的安全日誌和審計,記錄和追蹤AI的安全活動和事件。
提供和更新AI的安全教育和培訓,提高安全人員和其他相關人員的AI安全知識和技能。
參與和推動AI的安全研究和創新,探索和應用AI的安全最佳實踐和解決方案。
總之,AI是一種既有機會又有挑戰的技術,CISO需要在平衡AI的利益和風險的同時,也要設置合適的安全防護,以保護企業和客戶的利益。
詳情請看:
Put guardrails around AI use to protect your org, but be open to changes