現今組織正面臨著內部溝通障礙的挑戰,這阻礙了他們有效應對網路安全威脅的能力。根據Dynatrace的調查報告顯示,資訊安全長(CISOs)在協調安全團隊與高層主管之間存在重大困難,導致組織對於網路風險的認知存有落差。因此,在人工智慧(AI)驅動的攻擊日益增加之際,企業反而更容易遭受先進的網路威脅。
該報告是根據對1,300名資訊安全長以及10名來自員工人數超過1,000人的企業的CEO和CFO所做的訪談而得出。調查結果揭示了資訊安全長在組織內部所面臨的挑戰。
資訊安全長與高階主管之間存在組織層面挑戰
高達87%的資訊安全長表示,應用程式安全對於CEO和董事會而言是一個盲點。然而,訪談中有7成的高階主管則指出,安全團隊往往只用技術術語描述,缺乏商業背景說明。不過,75%的資訊安全長則強調,問題的根源在於目前的安全工具無法產生高階主管和董事會能夠理解的商業風險和威脅洞見。
隨著AI驅動攻擊和網路威脅的日益增加,解決這種技術和溝通差距變得更加重要,因為它們大幅增加了企業的風險。在這種背景下,72%的資訊安全長表示,他們的組織在過去兩年內曾遭遇過應用程式安全事件。這些事件帶來重大風險,其中47%的資訊安全長指出已經影響收入,36%被處以監管罰款,28%導致市場份額流失。
Dynatrace技術長Bernd Greifeneder表示:"網路安全事件對組織及其客戶可能造成毀滅性影響,因此這個問題理所當然地已成為董事會關注的重要議題。然而,由於無法將對話從位元組提升到特定的商業風險層面,許多資訊安全長都在努力推動安全團隊與高層主管之間的協調一致。資訊安全長迫切需要找到一種方式來克服這一障礙,並建立共同分擔網路安全責任的文化。這對於提高他們有效應對安全事件的能力並降低風險曝露至關重要。"
資訊安全長強調DevSecOps自動化在風險緩解措施中的重要性
隨著AI的興起,推動安全團隊與高層主管之間更緊密的聯繫變得更加重要,因為AI為組織帶來了額外的風險。52%的資訊安全長擔心AI可能使網路犯罪分子更快創建新的漏洞並在更大範圍內執行;另有45%的資訊安全長則擔心AI可能使開發人員加快軟體交付速度而缺乏適當監督,從而帶來更多漏洞。
為了尋求解決方案,83%的資訊安全長表示,DevSecOps自動化對於管理AI帶來的漏洞風險至關重要。此外,71%的資訊安全長認為DevSecOps自動化對於確保採取合理措施來盡量降低應用程式安全風險至關重要。
再者,77%的資訊安全長表示,目前的XDR和SIEM等工具由於缺乏推動大規模自動化所需的智慧,因此無法管理雲端複雜性。另外70%的資訊安全長認為,需要多種應用程式安全工具會因為必須整合不同數據源而導致操作效率低落。
Greifeneder總結道:"AI的日益使用是一把雙刃劍,為數位創新者和試圖入侵防禦者創造了效率提升。一方面,開發人員透過AI生成的代碼在未經充分測試的情況下更容易引入漏洞;另一方面,網路犯罪分子可以開發出更自動化和先進的攻擊來利用這些漏洞。另外,組織還必須遵守新出台的法規,例如證券交易委員會的規定,要求他們在四天內識別和報告攻擊的影響。組織迫切需要現代化其安全工具和實踐,以保護其應用程式和數據免受當代先進的網路威脅。最有效的方法將建基於統一平台,推動成熟的DevSecOps自動化,並利用AI來處理任何規模的分佈式數據。這些平台將提供整個企業都可以團結一致並用於證明符合嚴格法規的洞見。"
Next DLP的資訊安全長Chris Denbigh-White向Help Net Security表示:"資訊安全長對技術細節的關注可能會掩蓋了更廣泛的業務策略和風險管理背景。相反,高層主管往往將網路安全只視為眾多營運事務中的一個。資訊安全長需要全面理解網路安全對於支持組織的業務目標(如收益創造)的重要性,而不是在一種假設下運作,認為業務需要支持一個網路安全議程。事實並非如此!高層主管和資訊安全長都必須超越自己的觀點,了解網路安全在更廣泛的業務環境中所扮演的角色。只有這樣,才能在任何有意義的層面上取得進展。"
總的來說,本文闡述了目前組織內部存在溝通鴻溝,使得資訊安全長和高層主管對於網路風險有著認知落差的困境。隨著AI威脅的日益增加,這種落差將進一步加劇組織的風險曝露程度。報告建議透過DevSecOps自動化、智能化安全平台等措施來加強協調合作,提升組織的應對能力。資訊安全長和高層主管雙方都需要展現更高的認知共識,方能真正達成網路安全防護的目標。
詳情請看:
