近年来,随着人工智能(AI)的崛起和数字化进程的加速,网络安全格局发生了剧烈变化,CISO们每天都面临前所未有的艰巨挑战。在这种快速变化的环境下,安全团队必须积极打破那些长期以来被奉为圭臬的观念,因为昨日的最佳实践,或许已成为今日的致命谎言。
谎言一:人工智能将取代网络安全领域的人类专家
许多高管对AI在网络安全中的作用持有极端看法,但事实是,AI虽擅长高速处理数据和发现模式,却缺乏人类的关键特质。
ReliaQuest的首席技术官Joe Partlow指出:“这不是‘人类或AI’的选择题,而是两者协同工作,以消除‘噪音’并抵御真正的威胁。 即便是最优秀的AI也无法理解有效应对网络攻击所需的微妙业务背景。” AI通过自动化重复性任务,使人类分析师能专注于战略决策。人类与AI的协作,是安全团队在不断演变的威胁中保持领先的唯一途径。
谎言二:大型科技平台拥有强大的身份验证能力,可以防止身份冒用
大型科技平台宣称其拥有强大的身份验证流程,但现实并非如此。Reality Defender的首席执行官Ben Colman表示:“事实是,即使是先进的验证过程也很容易被绕过。”
他的团队在OpenAI发布其文生视频平台Sora 2的24小时内,就成功利用深度伪造技术创建了多位CEO和名人的视频,并通过了该平台包含实时视频和语音验证的多步骤“Cameo”验证。这证明了当前的验证工具远不足以应对AI生成的操纵。单纯信任验证是远远不够的,组织需要分层的、自适应的防御体系。
谎言三:投资身份提供商就能免受最新攻击
身份解决方案和SASE(安全访问服务边缘)平台并非万能。组织仍然容易受到网络钓鱼、凭证盗窃等传统攻击手段的侵害。
AppOmni的联合创始人兼首席技术官Brian Soby警告说:“如果您在身份和SASE项目上花费了数百万美元,却仍在遭遇重大安全事件,问题不在于技术无效,而在于您的安全方法未能跟上现代攻击者的行为模式。” 他认为,许多企业的安全策略类似于航空业的“大天空理论”——赌自己不会成为目标。然而,如今的网络空间早已拥挤不堪,碰撞随时可能发生。
谎言四:购买更多工具就能加强网络安全防护
企业陷入的最大陷阱之一,就是认为购买更多的工具和平台就能解决问题。Arctic Wolf的现场首席技术官Ian McShane指出:“这绝不是成功的关键。”
许多组织面临的不是工具问题,而是运营问题。他们应该优先考虑并加强安全运营,充分利用现有投资的价值,而不是无休止地更换供应商和采购新产品。
谎言五:招聘更多人员就能解决网络安全问题
真正有才华且敬业的安全专业人士非常难找。因此,企业应优先考虑留住现有的网络安全人才,投资于他们的技能提升。
Ian McShane表示:“拥有一个规模较小但训练有素的专业团队,比一个规模庞大但技能不匹配的团队更能保障组织安全。将招聘新员工的时间和金钱用于加强现有团队技能培训和安全基础设施会更有效。”
谎言六:解决了最新的攻击,我们就安全了
许多公司陷入了“追逐上一次漏洞”的陷阱,将防御资源集中在已知威胁上,而忽略了更广泛、更主动的战略。Black and Veatch的全球工业网络安全副总裁Ian Bramson说:“只关注已经发生的事情,是确保被下一次攻击命中的好方法。”
随着数字化和自动化的普及,网络安全已成为战略增长的核心。采用全方位的监控方法,可以帮助组织在威胁进入其运营技术(OT)环境之前就发现模式并采取行动。
谎言七:只要进行足够多的测试和分析,就能堵住所有漏洞
虽然详尽的测试可以发现许多安全漏洞,但没有任何系统是绝对安全的。NCC Group的内部安全总监Katy Winterborn表示:“攻击技术和威胁行为者在不断演变,所以最好在假设网络攻击一定会发生的前提下进行防御。”
CISO和他们的组织需要从“是否会发生”转变为“何时会发生”的思维模式,平衡预防与准备。建立纵深防御、演练事件响应并确保备份可恢复至关重要。
谎言八:应定期更改密码并使用多因素认证(MFA)
“经常更改密码”这一传统建议已经过时。根据最新的NIST(美国国家标准与技术研究院)指南,除非有迹象表明密码已泄露,否则没有必要频繁更改。强制用户定期更改一个强密码(例如,长度超过15个字符),反而会导致他们创建出可预测的、安全性更低的变体(如Summer2025!->Winter2025!)。
专家的建议是:
- 使用密码管理器为每个账户生成并存储唯一的强密码。
- 启用MFA,但要清楚MFA也可能被绕过。
- 为了获得更高安全性,请使用通行密钥(Passkeys)。
谎言九:可以用电子表格手动管理企业网络中的所有数字证书
一个企业同时运行着数千个数字证书,试图用电子表格手动跟踪它们无异于一场灾难。任何一个证书过期都可能导致关键系统中断等连锁故障。
Sectigo的高级研究员Jason Soroko指出:“手动管理数字证书的想法比以往任何时候都更加过时。” 随着公钥基础设施(PKI)行业的变化,公共SSL/TLS证书的生命周期将持续缩短,预计到2029年将缩减至仅47天,届时手动跟踪将完全不可能。
谎言十:合规即安全
正如军队里的一句格言:“做好迎检准备是一回事,但做好战斗准备是另一回事。” Ian Bramson表示,许多公司过于关注满足合规要求,而忽略了真正的安全。
法规的更新速度永远跟不上创新的步伐。合规仅仅是满足最低标准,这在当今的威胁环境下是远远不够的。要达到高级的网络成熟度,需要一个更全面、更个性化的安全计划。
谎言十一:量子计算的威胁还很遥远
犯罪集团和国家级行为者正在积极采用“立即捕获,后续解密”(Harvest Now, Decrypt Later, HNDL)策略。他们今天大量收集加密数据,赌注于未来量子计算机的突破能够破解这些数据。
Jason Soroko警告说:“量子威胁已经启动,它不会等到‘Q日’(量子霸权日)的到来。即使您的数据现在看起来安全,一旦量子计算达到临界点,它就可能被完全暴露。” NIST已经发布了抗量子攻击的加密工具,并敦促各系统尽快过渡。企业应“从小处着手,但现在就行动”,例如,从自动化数字证书更新这类低门槛的工作开始。
谎言十二:为了公共安全,必须允许执法部门破解端到端加密
一些政府试图通过立法,允许执法机构拦截甚至解密通过WhatsApp、Signal等应用交换的即时消息。独立安全研究员Sabina-Alexandra Stefanescu指出,这种做法“有效地打破了端到端加密的承诺”。
她认为,为执法部门开设后门“会使每个人都变得脆弱,每台设备都变得更不安全”。对于在危险环境中工作的记者或人权活动家来说,加密通信是他们进行调查的“最后堡垒”。
谎言十三:放松对生成式AI的监管是推动创新的必要条件
有人认为放松对生成式AI的监管会促进创新,但证据恰恰相反:我们需要更强的保障措施。
Stefanescu引用了由麻省理工学院(MIT)主导的“AI事件追踪器”项目,该项目记录了AI系统在现实世界中造成的危害。数据显示,近年来令人担忧的案例稳步上升,其中与信息误导和恶意行为者活动相关的案例激增最为显著。“我们期望生成式AI能够无害演化,然而所有证据都指向相反的方向。”她补充道。
本文转自:GoUpSec,转载此文目的在于传递更多信息,版权归原作者所有。如不支持转载,请联系小编demi@eetrend.com删除。
