根据 Check Point 亚太区首席信息安全官 Jayant Dave 的说法,缩小网络安全与企业风险管理计划之间的差距是风险专业人士的重要优先事项。
他指出,二十年前网络安全主要关注外围防御,如防火墙、入侵检测系统,以及在终端上依赖签名的杀毒软件。当时的网络安全策略被视为技术风险管理的一部分。
Dave 说:“在 2025 年,网络安全已更多地涉及到业务风险,而不再只是技术风险。将您的网络安全风险承受声明与业务风险对齐,对于许多首席信息安全官来说是当前面临的挑战。如何将网络安全风险与财务风险、声誉风险、运营风险和战略风险等联系起来呢?”
他说,为此,网络安全领导者必须了解他们所防护的业务。“作为首席信息安全官,你需要开始讲业务语言。这正是澳大利亚董事会层级讨论的方向。”
与此同时,如澳大利亚审慎监管局 (APRA) 的审慎标准 CPS 234 等法规要求董事会级别的监督和治理。这意味着技术领导者需要了解业务,而业务领导者也需要了解技术方面的内容。
Dave 提出,美国国家标准与技术研究院 (NIST) 的网络安全框架 (CSF) 2.0 和 Cyber Risk Institute 的 CRI Profile 2.1 等框架,有助于网络安全领导者将其风险承受度与更广泛的业务环境对齐。
他说:“这也有助于你与监管机构建立关系,因为与 APRA 类似,香港金融管理局 (HKMA) 也已开始将 CRI 作为其评估框架之一。所以,如果你符合 CRI Profile 的要求,你也就是在与监管框架保持一致。”
这一过程的一部分是确保外部供应商的风险承受声明经过董事会审查和批准,并且符合监管要求。安全投资——如实施零信任架构或采用安全访问服务边缘 (SASE)——将由董事会决定,因为机构的整体风险承受水平已超出允许范围。
Dave 指出,在监管较少的行业,董事会可能缺乏相应的意识,导致投资“从网络角度来看可能没有被优先考虑”。
Dave 警告说,一个重要的考虑因素是,安全控制措施不应影响最终用户体验,否则用户会寻求绕过这些措施。“作为网络安全领导者,有时你必须以创新方式在确保安全的前提下执行某些操作,同时不影响用户体验,”他说。“这正是对齐的关键所在。”
另一个挑战出现在企业组织为多个业务单元时,例如一家银行涵盖市场服务、证券和财富管理。Dave 建议,应在每个单元中嵌入一位首席风险官 (CRO),作为风险事务的可信顾问,从一开始就帮助对齐技术与业务风险。
建立融合中心也可以弥合业务与信息安全之间的差距。融合中心将“那些了解网络细节的优秀防御者”与了解业务欺诈、运营风险以及法律和合规问题的同行聚集在一起。
技术团队从技术角度量化风险,而业务团队则从业务角度审视问题,因此“通用风险分类得以统一”。融合中心的会议可以是每天、每周或每月举行,其活动应包括网络安全演习。
然而,这些演习应当旨在考察业务风险。例如,一次分布式拒绝服务 (DDoS) 攻击的技术流量不如其业务影响重要:它是否影响了关键基础设施?潜在的业务损失是多少?有多少客户受到了影响?这些信息使技术团队能够明白最需要防御的地方,并帮助业务团队了解可能攻击的性质和后果。
Dave 说:“这不会是一锤定音的演习,而是一场持续不断的旅程,确保每个人都了解他们在危机中的角色。”
虽然预防优先,但网络韧性在于危机发生时能迅速响应和恢复。像 Check Point 的 ThreatCloud 等网络情报中心帮助组织预见可能的攻击,从而采取适当措施。
但技术措施并非总能充分应对风险。Dave 举例说明,近期发生的事件中,尽管防御坚固,个人身份信息仍通过操纵员工的社会工程学攻击而被窃取。发生这种情况时,关键在于拥有全面的事件响应计划、迅速付诸实施,并从事件中吸取教训以降低再次发生的可能性。
Dave 表示,人工智能可以帮助防御者更快地响应,但仍需具备相应的技能。最终,首席信息安全官和业务利益相关者——而非人工智能——需要对监管机构和股东负责。
尽管澳大利亚的网络安全成熟度较高,但这种成熟度并不均衡分布。政府和受监管行业十分清楚这些问题,但即使是中小企业,也可能没有足够的预算来解决这些问题。
例如,Dave 了解到一些医疗企业仍在使用 Windows XP。“从宏观层面来看,确实,人们有所意识,”他说。“但仔细观察具体行业,肯定有提升之处。”
攻击者不太可能以防御严密的银行为目标,而会将注意力转向存在薄弱环节的行业。“你会发现许多网络卫生状况不佳的机会,”他说。
Dave 警告不要在薄弱基础上构建人工智能系统,例如未打补丁的计算环境。他说,脆弱的底层技术堆栈为不法分子提供了巨大的机会。
他建议各组织通过基本的“安全基线实践”来实施关键控制,而无需在新技术上花费大量资金。诸如安全编程和安全构建运行环境等基础工作,任何组织,即使是预算紧张的,也应能实现。
最后,对于无法自建安全运营中心的组织,他建议:“寻找一个战略合作伙伴来为你完成这项工作。”
好文章,需要你的鼓励
Gartner预测,到2030年所有IT工作都将涉及AI技术的使用,这与目前81%的IT工作不使用AI形成鲜明对比。届时25%的IT工作将完全由机器人执行,75%由人类在AI辅助下完成。尽管AI将取代部分入门级IT职位,但Gartner认为不会出现大规模失业潮,目前仅1%的失业由AI造成。研究显示65%的公司在AI投资上亏损,而世界经济论坛预计AI到2030年创造的就业机会将比消除的多7800万个。
CORA是微软研究院与谷歌研究团队联合开发的突破性AI视觉模型,发表于2023年CVPR会议。它通过创新的"区域提示"和"锚点预匹配"技术,成功解决了计算机视觉领域的一大挑战——开放词汇目标检测。CORA能够识别训练数据中从未出现过的物体类别,就像人类能够举一反三一样。在LVIS数据集测试中,CORA的性能比现有最佳方法提高了4.6个百分点,尤其在稀有类别识别上表现突出。这一技术有望广泛应用于自动驾驶、零售、安防和辅助技术等多个领域。
人工智能正从软件故事转向AI工厂基础,芯片、数据管道和网络协同工作形成数字化生产系统。这种新兴模式重新定义了性能衡量标准和跨行业价值创造方式。AI工厂将定制半导体、低延迟结构和大规模数据仪器整合为实时反馈循环,产生竞争优势。博通、英伟达和IBM正在引领这一转变,通过长期定制芯片合同和企业遥测技术,将传统体验转化为活跃的数字生态系统。
中国电信研究院联合重庆大学、北航发布T2R-bench基准,首次系统评估AI从工业表格生成专业报告的能力。研究涵盖457个真实工业表格,测试25个主流AI模型,发现最强模型得分仅62.71%,远低于人类专家96.52%。揭示AI在处理复杂结构表格、超大规模数据时存在数字计算错误、信息遗漏等关键缺陷,为AI数据分析技术改进指明方向。