Nick McKenzie / Bugcrowd資訊長暨資安長AI 在許多方面都是一項顛覆性技術。一項針對全球 209 位資安長及資安領導者的調查顯示,資安專業人士對於 AI 對其組織和自身角色的影響,仍在努力達成共識。
儘管存在各種不同且有時相互矛盾的觀點,報告《Inside the Mind of a CISO》幾乎毫無疑問地指出,AI 是一股強大的變革力量。至於這種變革是好是壞,目前尚不明朗。也許現在要資安長或任何人來回答這個問題還為時過早。
調查指出,資安專業人士中存在著令人擔憂的高水準倦怠感,有多達三分之二的資安長認為,資安從業人員的倦怠率高於其他角色。導致這種情況的因素包括招聘市場:超過一半的資安長表示,他們的團隊人手不足,87% 目前正在招聘。
然而,對於 AI 至少在自動化某些低技能角色方面將帶來正面影響的信心正在增加。近四分之一的受訪者 (23%) 表示,AI 工具已經讓他們能夠減少或重新調配人手,而 71% 預計在未來三到五年內會進行裁員。
Gartner 支持這一趨勢。他們曾公開表示,到 2028 年 AI 將拉近技能差距。然而,這一預測的關鍵點在於,Gartner 提到的是「入門級技能」。這引發了關於資安勞動力整體的一些重大問題。應對下一波 AI 驅動的威脅需要什麼技能?AI 工具是否也能緩解這些威脅?或者我們只會看到未來的門檻提高?
為了不讓這些問題懸而未決,我認為答案是「我們還不知道」,「不完全是」,以及「是」。雖然認為 AI 會拉近技能差距是令人安心的,但我認為更準確的預測是,它將改變這一差距。對於各種組織來說,找到合適的人來進行有效防禦在可見的未來將是一個挑戰。
資安長對其組織面臨的威脅有現實的認識。當被問及他們的首要任務時,只有 18% 的人以「始終避免資料外洩」為目標。大多數的回答比樂觀更務實,17% 選擇「平衡風險與業務目標」,20% 選擇「建立韌性」。換句話說,很少有資安長認為他們正在進行一場短期的戰爭。大多數人正在為一場持久戰做好準備。
31% 的資安長的首要任務是「建立資安品牌」,反映了他們相信有效的資安現在已成為競爭優勢的重要因素。這是一項重要的發現,反映了態度的轉變,從「做到足夠」到「做得更多」已成為衡量企業生存力和成為業務啟動力量的關鍵標準。
然而,調查中的大多數資安長認為,今天的組織還做得不夠。他們大多數認為,絕大多數組織尚未充分理解被攻擊的風險,因此防禦能力並未達到應有的水準。
儘管他們也理解,許多組織的決策將在業務利益與資安風險之間進行權衡,但資安長們擔心,有些組織可能會為了短期節省而採取風險,從而損害客戶的長期隱私或資安。
至於 AI,儘管目前資安長們對其使用持分歧意見,但這更多是時間問題,而非根深蒂固的信念。
近八成 (78%) 的資安長已經在其資安團隊中使用 AI,而剩下的只有 3% 表示他們永遠不會使用 AI 。 AI 在某些網路過程中是否超過了某些資安專業人士?44% 的人認為是,而大多數剩下 47% 的人則認為,隨著技術的進步,AI 最終將取代團隊成員。這一觀點並未得到道德駭客的認同,他們認為雖然 AI 的採用會增加,但永遠無法取代人類的創意。
情況可能更加微妙。正如我們前面所看到的,毫無疑問,AI 將取代具有某些操作型特徵的低級別資安角色。技能層次更高的情況如何,尚不明朗。
即使從招聘的角度來看,AI 的好處也不明確。 58% 的資安長認為,AI 的風險大於其好處。資安長們正在爭先恐後地制定防禦措施,以應對這一挑戰,95% 的資安長已經實施了基於 AI 的防禦措施,包括眾包和滲透測試。
從某種意義上說,這部分的辯論是學術性的。 AI 的列車正在前進,不管喜歡與否,大多數資安長已經上車。