本文来自微信公众号“嘶吼专业版”,作者/布加迪。
Forrester在其2024年网络安全、风险和隐私预测报告中警告到,开发运维(DevOps)团队更多地依靠AI编程助手来提高团队生产力,使编程任务实现自动化,但常常忽视了最终代码的安全缺陷。
Forrester预测,不一致的合规和治理实践,加上许多DevOps团队同时试用多个AI编程助手以提高生产力,将导致有缺陷的AI代码,2024年至少会造成三起公开承认的重大安全事件。Forrester还警告,AI代码缺陷将带来API安全风险。
AI编程助手重新定义影子IT
49%了解AI编程助手的业务和技术专业人士表示,所在组织正在试点、实施或已经在组织中实施了AI编程助手,Gartner预测,到2028年,75%的企业软件工程师将使用AI编程助手,而2023年初这个比例还不到10%。
DevOps负责人表示,随着每天开发代码的压力越来越大,在团队中使用多个AI编程助手司空见惯。编写更复杂的代码时间更紧迫,加上市面上AI编程助手遍地开花(已有40多种),导致了一种新形式的影子IT:DevOps团队从一种AI助手切换到另一种AI助手,看看哪个在处理某项任务时效果最好。
企业竭力满足其Devops团队对获准用于整个企业的新AI编程工具的需求。
AI编程助手可以从一些领先的人工智能和大语言模型(LLM)提供商获得,包括Anthropic、亚马逊、GitHub、GitLab、谷歌、Hugging Face、IBM、Meta、Parasoft、Red Hat、Salesforce、ServiceNow、Stability AI和Tabnine等。
2024年,CISO面临艰难的平衡
Forrester的网络安全、风险和隐私预测表明了CISO将面临充满挑战的一年,他们需要兼顾生成式AI带来的生产力提升以及要求开发中的AI和机器学习模型加强合规、治理和安全的需求。
尽管如今生成式AI在逐步带来效益,但没有人愿意将知识产权这种资产置于险境之中,做好合规工作对于保护知识产权至关重要.
2024年时,CISO及其团队如何同时做好创新、合规和治理这三个方面,从而为公司带来竞争优势,将比以往任何一年都更重要。
兼顾风险的同时确保生成式AI的生产力提高,另外需要可靠的护栏,这也将是每个CISO明年可能要处理的一个关键问题。
目标:在降低风险的同时实现AI的创新效益
Forrester对2024年的网络安全、风险和隐私预测将指导每家组织实现更大的AI创新效益,同时降低人和代码引起的泄露风险,从基于生成式AI的编程和DevOps工具中获得的生产力提高以最低的风险提供了最大的收益。
Forrester在网络安全预测中写道:“到2024年,随着众多组织欣然接受生成式AI,治理和问责制将成为确保AI使用合乎道德,且不违反监管要求的关键组成部分。这将使组织能够安全地从基于AI的新技术的试验过渡到实施。”
Forrester的2023年数据显示,所在组织已改变了生成式AI方面政策的AI决策者中53%正在完善其AI治理计划,以支持AI用例。
以下是调研公司对2024年的预测
随着攻击者找到使用生成式AI的新方法,社交工程攻击数量激增
FraudGPT是攻击者将生成式AI变成武器并展开攻势的开始,2024年,社会工程攻击在所有入侵企图中的比重将从74%飙升至明年的90%。
现有的安全意识培训方法起不到作用。Forrester指出,眼下需要一种更加以数据为导向的方法来改变行为,从而量化人类风险,并为员工提供实时培训反馈,消除他们在识别威胁方面可能存在的感知差距。
Lacework的现场CISO Merritt Baer说:“科技是由人类创造的,为人类服务。将安全漏洞归咎于人为因素已经行不通了。如果你为安全和身份使用细粒度的逻辑和基于边界的控制,如果你针对持续调整做好治理,并‘铺平道路’,让人们做安全的事情(这是容易做的事情),如果你在为环境创建模板,如果你注意到异常情况以便智能优化这些权限,我们会看到更少的人为错误。”
网络保险公司将加紧标准,将两家科技供应商列为高风险公司
结合更丰富的实时遥测数据和更强大的分析和生成式AI工具以分析数据,将为保险公司提供多年来降低风险一直需要的可见性。Forrester表示,保险公司还将从安全服务和技术合作中获得更深刻的洞察力以及更多源自数据的洞察力,包括来自理赔的研究分析结果。
考虑到像MOVEit这样的重大安全事件的数量和严重程度不断增加,Forrester预测,安全供应商将通过风险评分和计算来加以评估,这也将用于计算投保客户的保费。
基于ChatGPT的应用程序预计会因错误处理个人身份信息(PII)而被罚款
这个预测暗示了身份和访问管理(IAM)系统很容易受到攻击。活动目录(AD)是任何身份动机攻击中最青睐的目标之一,每天大约9500万个活动目录帐户受到攻击,这是由于90%的组织使用身份平台作为主要的身份验证和用户授权方法。KuppingerCole网络安全研究总监兼首席分析师John Tolbert在报告《身份与安全:应对现代威胁形势》中写道:“活动目录组件是攻击活动中的高优先级目标,一旦被发现,攻击者可以创建额外的活动目录森林和域,并在它们之间建立信任,以便更容易访问。攻击者还可以在全然不同的域之间创建联合信任。”
Forrester特别指出,OpenAI将继续受到监管部门更严格的审查。因此,欧洲数据保护委员会成立了一个特别工作组,以协调针对OpenAI的ChatGPT的执法行动。虽然OpenAI拥有技术和财力资源来保护自己免受监管机构的干扰,但其他运行ChatGPT的第三方应用程序却缺少这样的资源。
全球公共和私营部门的高级零信任职位和头衔将增加一倍
目前,LinkedIn上的招聘广告显示,美国有92个零信任职位,全球有151个。Forrester乐观地预测,在未来12个月内,零信任职位会增加一倍,NIST零信任架构框架在客户群中的广泛采用佐证了这个预测。
Forrester预测,零信任也将组织加大对具有工程、治理、策略和领导专业知识的网络安全专业人员的需求且这些职位将设在联邦机构安全部门下。Forrester建议客户做好准备,审查本组织中零信任角色的要求,并确定一群人来获得零信任认证。