根据 Check Point 亚太区首席信息安全官 Jayant Dave 的说法,缩小网络安全与企业风险管理计划之间的差距是风险专业人士的重要优先事项。
他指出,二十年前网络安全主要关注外围防御,如防火墙、入侵检测系统,以及在终端上依赖签名的杀毒软件。当时的网络安全策略被视为技术风险管理的一部分。
Dave 说:“在 2025 年,网络安全已更多地涉及到业务风险,而不再只是技术风险。将您的网络安全风险承受声明与业务风险对齐,对于许多首席信息安全官来说是当前面临的挑战。如何将网络安全风险与财务风险、声誉风险、运营风险和战略风险等联系起来呢?”
他说,为此,网络安全领导者必须了解他们所防护的业务。“作为首席信息安全官,你需要开始讲业务语言。这正是澳大利亚董事会层级讨论的方向。”
与此同时,如澳大利亚审慎监管局 (APRA) 的审慎标准 CPS 234 等法规要求董事会级别的监督和治理。这意味着技术领导者需要了解业务,而业务领导者也需要了解技术方面的内容。
Dave 提出,美国国家标准与技术研究院 (NIST) 的网络安全框架 (CSF) 2.0 和 Cyber Risk Institute 的 CRI Profile 2.1 等框架,有助于网络安全领导者将其风险承受度与更广泛的业务环境对齐。
他说:“这也有助于你与监管机构建立关系,因为与 APRA 类似,香港金融管理局 (HKMA) 也已开始将 CRI 作为其评估框架之一。所以,如果你符合 CRI Profile 的要求,你也就是在与监管框架保持一致。”
这一过程的一部分是确保外部供应商的风险承受声明经过董事会审查和批准,并且符合监管要求。安全投资——如实施零信任架构或采用安全访问服务边缘 (SASE)——将由董事会决定,因为机构的整体风险承受水平已超出允许范围。
Dave 指出,在监管较少的行业,董事会可能缺乏相应的意识,导致投资“从网络角度来看可能没有被优先考虑”。
Dave 警告说,一个重要的考虑因素是,安全控制措施不应影响最终用户体验,否则用户会寻求绕过这些措施。“作为网络安全领导者,有时你必须以创新方式在确保安全的前提下执行某些操作,同时不影响用户体验,”他说。“这正是对齐的关键所在。”
另一个挑战出现在企业组织为多个业务单元时,例如一家银行涵盖市场服务、证券和财富管理。Dave 建议,应在每个单元中嵌入一位首席风险官 (CRO),作为风险事务的可信顾问,从一开始就帮助对齐技术与业务风险。
建立融合中心也可以弥合业务与信息安全之间的差距。融合中心将“那些了解网络细节的优秀防御者”与了解业务欺诈、运营风险以及法律和合规问题的同行聚集在一起。
技术团队从技术角度量化风险,而业务团队则从业务角度审视问题,因此“通用风险分类得以统一”。融合中心的会议可以是每天、每周或每月举行,其活动应包括网络安全演习。
然而,这些演习应当旨在考察业务风险。例如,一次分布式拒绝服务 (DDoS) 攻击的技术流量不如其业务影响重要:它是否影响了关键基础设施?潜在的业务损失是多少?有多少客户受到了影响?这些信息使技术团队能够明白最需要防御的地方,并帮助业务团队了解可能攻击的性质和后果。
Dave 说:“这不会是一锤定音的演习,而是一场持续不断的旅程,确保每个人都了解他们在危机中的角色。”
虽然预防优先,但网络韧性在于危机发生时能迅速响应和恢复。像 Check Point 的 ThreatCloud 等网络情报中心帮助组织预见可能的攻击,从而采取适当措施。
但技术措施并非总能充分应对风险。Dave 举例说明,近期发生的事件中,尽管防御坚固,个人身份信息仍通过操纵员工的社会工程学攻击而被窃取。发生这种情况时,关键在于拥有全面的事件响应计划、迅速付诸实施,并从事件中吸取教训以降低再次发生的可能性。
Dave 表示,人工智能可以帮助防御者更快地响应,但仍需具备相应的技能。最终,首席信息安全官和业务利益相关者——而非人工智能——需要对监管机构和股东负责。
尽管澳大利亚的网络安全成熟度较高,但这种成熟度并不均衡分布。政府和受监管行业十分清楚这些问题,但即使是中小企业,也可能没有足够的预算来解决这些问题。
例如,Dave 了解到一些医疗企业仍在使用 Windows XP。“从宏观层面来看,确实,人们有所意识,”他说。“但仔细观察具体行业,肯定有提升之处。”
攻击者不太可能以防御严密的银行为目标,而会将注意力转向存在薄弱环节的行业。“你会发现许多网络卫生状况不佳的机会,”他说。
Dave 警告不要在薄弱基础上构建人工智能系统,例如未打补丁的计算环境。他说,脆弱的底层技术堆栈为不法分子提供了巨大的机会。
他建议各组织通过基本的“安全基线实践”来实施关键控制,而无需在新技术上花费大量资金。诸如安全编程和安全构建运行环境等基础工作,任何组织,即使是预算紧张的,也应能实现。
最后,对于无法自建安全运营中心的组织,他建议:“寻找一个战略合作伙伴来为你完成这项工作。”
好文章,需要你的鼓励
Colt科技服务公司推出超低延迟云连接服务Colt ULL DCA,专门面向加密货币交易商和AI应用开发企业的高速需求。该服务结合超低延迟网络和专用云接入平台,绕过公共互联网提供专用高速路径。在AWS亚洲区域测试中,平均延迟比原生路由降低15%。随着亚太地区数字资产交易成熟和AI需求爆发,企业对安全高性能连接需求激增,Colt正加速在东南亚扩张布局。
约翰霍普金斯大学研究团队开发了ETTIN模型套件,首次实现了编码器和解码器模型的公平比较。研究发现编码器擅长理解任务,解码器擅长生成任务,跨界训练效果有限。该研究为AI模型选择提供了科学依据,所有资料已开源供学术界使用。
皮尤研究中心最新分析显示,谷歌搜索结果页面的AI概述功能显著降低了用户对其他网站的点击率。研究发现,没有AI回答的搜索点击率为15%,而有AI概述的搜索点击率降至8%。目前约五分之一的搜索会显示AI概述,问题类搜索中60%会触发AI回答。尽管谷歌声称AI概述不会影响网站流量,但数据表明用户看到AI生成的信息后更容易结束浏览,这可能导致错误信息的传播。
博洛尼亚大学团队开发出情感增强的AI系统,通过结合情感分析和文本分类技术,显著提升了新闻文章中主观性表达的识别准确率。该研究覆盖五种语言,在多项国际评测中取得优异成绩,为打击虚假信息和提升媒体素养提供了新工具。