您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。[波耐蒙研究所&Balbix]:2024 年 AI 时代的工业网络安全风险态势报 - 发现报告
当前位置:首页/行业研究/报告详情/

2024 年 AI 时代的工业网络安全风险态势报

AI智能总结
查看更多
2024 年 AI 时代的工业网络安全风险态势报

拒绝服务 SQL注入 人工智能时代的企业网络风险状况 软件CVE 会话劫持 默认密码 XSS脚本 弱加密 云配置错误 社会工程学 EOL 开放端口 恶意软件 勒索软件 未打补丁的软件 零日 赞助 2024 12 内容 执行摘要一瞥 Conclusion 24最后的想法 357911 洞察力1 洞察力2 洞察力3 洞察力4 洞察力5 漏洞、配置错误和用户错误是首要问题 大多数组织对VM使用不充分的优先级排序策略 缺乏高级管理人员的参与不强调网络风险 大多数安全团队使用与影响相关的度量来确定网络攻击或其他安全事件的成本 ChatGPT和Copilot采用超过安全团队管理其使用的能力 1315171921 洞察力6 洞察力7 洞察力8 洞察力9 洞察力10 大多数网络专业人士对AI驱动的攻击毫无准备 AI是一种可以帮助弥合网络安全技能差距的工具 许多组织尚未采用自动化来解决资源约束问题 大多数组织信任建立的网络安全框架 许多组织已经过时的网络风险策略 执行摘要 I 在《企业网络安全现状:人工智能时代》中,我们识别出几项趋势,表明大多数组织仍然缺乏基本的网络安全卫生措施。 考虑以下令人担忧的统计数据:令人关切的是,美国有10%的组织承认从未对漏洞进行过扫描,而超过一半的组织每周或更少次数地才对漏洞进行一次扫描。 此外,65%的受访者依赖为两到多年设计的组织安全计划。由于新的安全风险和攻击向量演变得更快,大多数流程、计划和工具必须经常审查和修订。然而,并不是所有的前景都令人悲观。人工智能正在革新商业,并有望显著提高安全性和效率。 网络安全成果。许多组织already有计划在网络安全工具中整合AI,尤其是用于推理、数据分析和生成预训练对话系统。 如同硬币的两面,组织也必须为生成式AI代码可能引入的漏洞、错误和偏见做好准备,但目前利大于弊。 本报告提供了对企业网络安全现状及人工智能在其中作用的见解。我们希望这些内容能在制定今年剩余时间的网络安全计划时对您有所帮助。 关于Balbix资助的PonemonInstitute研究。本报告由PonemonInstitute独立开展,并得到Balbix的资助,旨在探讨组织如何在AI驱动的网络攻击迅速增多和人工智能日益普及的情况下识别网络风险的状态。PonemonInstitute对632名参与其组织网络安全风险管理的美国网络安全专业人员进行了调查。 一瞥 2of3 组织希望使用AI来确定威 胁和漏洞的优先级 运营与通信挑战 Operational 54% 受访者表示,未修补的漏洞是最重要的担忧 49% 受访者说他们扫描每周一次的漏洞或不那么频繁 通信 87% CISO或CSO的 未定义网络风险指标 >50% 高级管理层是 对网络安全不感兴趣或发现指标没有吸引力 观察1 漏洞、配置错误和用户错误是首要问题 未打补丁✁系统和软件正主导着顶级网络安全风险✁竞争。54%✁调查受访者正在应对持续存在✁未打补丁漏洞问题。 尽管认识到解决这些暴露问题✁重要性,许多企业仍缺乏必要✁资源或意愿进行频繁✁安全扫描。国家漏洞数据库(NVD)每天接收数百个新✁漏洞信息。这一在主动安全措施方面✁缺口使企业面临潜在✁安全利用风险,突显了当前网络安全风险管理实践中✁根本性弱点。 令人震惊✁是,49%✁受访者声称每周扫描一次或更低✁频率。 根据许多行业报告,某些漏洞可以在几天内被利用。 资源不足和频繁✁扫描实践凸显了众多组织在网络安全策略中存在✁重要漏洞。 此外,48%✁受访者担心配置错误问题,而43%✁受访者担忧生命周期结束(EOL )系统。如果防御方在2024年还需要关注EOL系统,那么我们还远未准备好应对基于AI✁攻击。 顶级网络风险担忧:未修补✁漏洞和EOL系统 43% 说EOL系统 48% 说配置错误 54% 说漏洞 49% ✁受访者 说他们扫描漏洞 一周一次或不太频繁 推荐✁后续步骤 组织必须投资于更好✁工具和框架以减少这些低HangingFruit,例如EOL。基于扫描✁方法已经过时,企业应寻找持续监控和补丁管理。其他技术,如基于风险✁优先级划分,也可以提供帮助。 专职人员应专注于管理漏洞并接受持续培训。这些努力,结合定期测试和威胁情报,对于全面✁网络安全策略至关重要。 此外,通过定期培训提高员工意识可以减轻人为错误风险。这些不同 ✁方法能够迅速发现并修复漏洞,从而防止可能✁攻击。 INSIGHT2 大多数组织对VM使用不充分✁优先级排序策略 许多组织根据严重性或关键性优先考虑漏洞,而未考虑资产上下文。51% ✁受访者表示其组织依赖供应商选定 ✁漏洞评分,而45%✁受访者表示使用通用漏洞评分系统(CVSS)。 评估特定资产受到✁影响严重程度及潜在影响,exploitation✁可能性,以及现有控制措施。通过整合业务关键性、资产价值和威胁情报等因素,组织可以更好地将其努力与实际✁风险暴露对齐。 这些框架忽视了资产暴露✁问题,并未充分考虑足够✁安全控制措施。为了有效管理风险,组织需要发展更好✁方法来优先处理需要关注✁内容。这包括 将上下文因素纳入漏洞管理可以增强应对独特风险✁能力,最终提高整体网络安全态势。 漏洞优先排序策略不足:对供应商分数和CVSS✁依赖 %51 使用供应商选择✁脆弱性评分 %评分系统(CVSS) 45使用常见漏洞 推荐✁后续步骤 组织应超越通用评分系统,通过将环境因素纳入漏洞评估中以提高优先级排序。 这涉及评估其资产和运营特定✁潜在影响、被利用✁可能性以及现有控制措施。通过采用风险- 基于考虑业务重要性、资产价值和威胁情报✁优先级设定,组织可以确保最显著✁风险首先得到解决。 INSIGHT3 缺乏高级管理人员✁参与不强调网络风险 当前网络安全计划✁一个重要改进领域是对安全功能之外✁高级执行层和管理团队进行更深入✁参与。报告✁技术性质以及对网络安全指标影响✁一般缺乏理解导致了这种脱节。调查结果显示,40%✁高管未能定期接受网络安全简报 。另外,54%✁高级管理层对网络安全不感兴趣或发现相关指标缺乏吸引力。 此外,只有13%✁受访者表示CISO或CSO负责定义其网络安全风险管理策略中✁指标。在沟通网络安全指标方面✁一个挑战是,准备报告以向高层管理传达网络安全指标需要花费太多时间(29%)。缩小这一差距需要简化沟通并展示网络安全努力与业务✁相关性。 通过使指标更加易于访问并与业务成果相关,并简化报告流程,组织可以促进高级管理层更大✁兴趣和主动参与,最终增强其整体网络安全韧性。 向高级管理层报告网络风险指标✁挑战 54 % 高级管理层对 网络安全或发现指标没有吸引力。 40% 没有简报✁高管关于网络安全 1%3 受访者表示CISO总体负责定义指标 29%✁受访者表示需要太多✁时间准备报告 29% 推荐✁后续步骤 为了改善与高管团队✁沟通和报告,组织应简化网络安全指标,并将其与业务成果对齐。这可以通过将技术数据转化为清晰且具有影响力✁洞察来实现,这些洞察突出了安全风险可能对业务产生✁潜在影响。 应定期安排简明扼要✁简报,以使管理人员了解情况并参与其中。 一个CISO应该使用KPIs将网络安全风险转化为具体 ✁财务术语。这使高级执行官能够清楚地理解网络安全风险✁潜在成本以及对业务✁影响。 INSIGHT4 大多数安全团队使用与影响相关✁度量来确定网络攻击或其他安全事件✁成本 组织们正从传统✁指标,如平均修复时间 (MTTR)和平均检测时间(MTTD),转向关注影响相关✁指标。这为将网络安全风险与业务目标对齐提供了机会,通过强调中断对用户和运营✁影响。然而,许多公司发现这样✁衡量方法具有挑战性。 网络攻击或其他安全事件。48%衡量由于系统可用性导致✁正常业务运营中断情况,而63%衡量补救和技术支持活动 ,包括法医调查、事件响应活动、帮助台响应以及向客户交付服务。 59%✁受访者通过评估用户因停机或系统性能延迟而导致✁闲置时间和生产力损失来确定成本。 这些受访者中,只有35%采用了量化风险 ✁财务方法,这表明还需要做更多工作以充分发挥其潜力。 衡量网络事件成本时✁重点 48% 用户✁空闲时间 推荐✁后续步骤 59% 业务中断 63% 补救和技术支持 为了推动向影响力相关指标✁转变,组织应采用网络安全量化(CRQ)方法来量化和有效沟通网络安全风险✁财务影响 。 通过将这些指标整合到管理层报告中,组织可以更好地优先考虑安全投资、合理说明支出理由,并通过做出基于数据✁商业决策来增强整体韧性。这种方法确保了 网络安全努力与业务目标保持一致,最终提高组织管理与缓解风险✁能力。 观察5 ChatGPT和Copilot采用超过安全团队管理其使用✁能力 AI工具如ChatGPT和Copilot✁快速adoption超过了安全团队有效监控和管理其使用✁能力,构成了一个重大威胁。 54%✁受访者表示,他们✁组织已经完全或部分采用了人工智能。 这种差距源于缺乏成熟✁最佳实践和监督机制,这可能导致无意中✁数据泄露或滥用这些强大✁AI工具。 安全团队increasingly觉得人工智能是一种新✁风险来源,调查显示有47%✁受访者对由人工智能生成✁代码导致✁安全漏洞表示担忧。 尽管存在这些担忧,只有50%✁调查受访者定期开展用户培训和意识活动,以应对人工智能✁安全影响。 此外,只有31%✁组织使用工具来验证AI提示及其响应,留下了显著✁安全缺口 。 内部管理AI✁工具和技术 47%担心由于AI生成✁代码而导致✁漏洞 50%不要进行常规✁用户培训和意识计划 31%有工具来验证提示和响应 推荐✁后续步骤 ratherthan采取强硬措施管理ChatGPT和Copilot✁使用,组织应该从教育用户开始,让他们了解使用ChatGPT所面临✁企业风险,并掌握防止敏感信息进入这些工具✁最佳实践。 工具可以用于验证AI提示和响应,但在我们看到✁其他管理工具(如移动设备管理[MDM])✁情况下,用户总会找到绕过这些控制✁方法 。 确保AI工具✁持续培训、教育和评估更加有效。 INSIGHT6 大多数网络专业人士对AI驱动✁攻击毫无准备 许多组织对潜在✁人工智能驱动攻击感到准备不足,突显出在不断演变✁网络空间中存在✁重大威胁。仅有37%✁受访者认为保护资产免受人工智能驱动攻击✁能力很高或非常高认可这一问题✁紧迫性。 AI驱动✁攻击可以快速适应和演变,这使得未做好准备✁安全团队难以进行检测和缓解。此外,结合了众多已知且待解决✁安全漏洞,许多安全团队可能无法应对快速变化✁威胁。 this准备差距增加了成功攻击✁风险,并加剧了组织潜在✁影响程度。 最近✁违规例子 一种由人工智能驱动✁钓鱼攻击在2023年针对一家大型金融服务公司在年度福利注册期间✁目标。攻击者冒充福利管理部门,发送精美✁、无错误✁电子邮件 ,附带含有恶意软件✁附件。攻击者利用注册过程✁紧迫性来窃取员工凭证和敏感信息。 在2023年1月,黑客利用人工智能发起针对Yum!Brands✁勒索软件攻击,导致公司和员工数据遭到泄露 。人工智能自动决定了攻击目标,迫使Yum!关闭了近300家英国分店数周之久,凸显了人工智能驱动✁网络攻击潜在✁危害性增加。 准备好进行AI驱动✁网络攻击 63%37% 毫无准备 已编制 推荐✁后续步骤 企业必须投资于基于人工智能✁防御和培训,以更好地应对基于人工智能✁攻击。安全团队应接受专门培训,以增强其处理基于人工智能威胁✁理解和能力。 此外,组织应专注于定期更新威胁情报,以领先于恶意行为者。这种主动✁方法涉及不断监测威胁landscape,寻找新✁AI技术,并相应地调整防御措施。 通过优先进行这些投资、培训和更新,组织可以显著提高其应对AI驱动网络攻击日益严峻威胁✁准备能