Gartner：摒弃网络安全"大转型"策略，采用持续改进模式

根据Gartner副总裁分析师理查德·阿德斯科特的观点，采用"大转型"思维模式进行网络安全建设的组织实际上会增加网络风险。

在Gartner于悉尼举办的安全与风险管理峰会上，阿德斯科特表示，随着组织将IT支出重新导向人工智能（AI）项目，这种思维模式必须改变。

"这个问题我们可以通过化整为零的方式来更好地解决，"他说道，"我们可以将其分解为具体时刻，进行预判，并形成可以快速实施的想法。"

为了获得成功，首席信息安全官（CISO）应该采用灵活、响应迅速且能快速调整方向的方法，拥抱持续改进的Kaizen模式，通过连续的小幅改变实现可持续改进。

阿德斯科特概述了安全领导者可以应用这种渐进方法的四个关键领域。

现代化身份和访问管理

AI智能体的大量涌现将导致数千个机器身份需要认证。Gartner预测，到2028年，由于机器身份管理不当，四分之一的安全漏洞将通过基于智能体的攻击面发生。

认识到在攻击普遍存在的世界中，优秀的身份管理可以成为竞争差异化因素，网络安全团队必须以与保护人类身份相同的严格性来对待和保护机器身份。阿德斯科特建议投资身份、可视化和智能平台（IVIP），以获得对所有身份的持续实时观测能力。

实施守护智能体

组织应该监管AI智能体的行为，特别是防止智能体与大语言模型之间的意外数据泄漏。这可以通过部署小型、简单的"守护"智能体来实现，这些守护智能体可以快速训练——通常只需一个下午——来过滤敏感数据，如个人身份信息和商业机密。

"你可以使用这种小型守护模型创造惊人的价值，即使只是作为工作协调器，因为没有任何理由说AI必须提供所有逻辑，特别是对于确定性业务规则，"阿德斯科特说道。

应对网络攻击的常态化

持续不断的网络攻击已经导致敏感性下降，这可能会诱使高管削减安全支出。CISO不应直接反对预算削减，而应该通过提问来重新构建对话："为什么有些企业在遭受攻击时承受的损失更小？"

阿德斯科特表示，答案是韧性："这是一种思维转变，如果我们能够减轻威胁行为者的危害，这与预防攻击是一样的。"

"影响阈值"的概念可以帮助将韧性理念转化为行动。影响阈值定义了特定业务流程的最大可接受停机时间。例如，超市的采购系统停机时间不能超过一到两天，否则新鲜农产品就会从货架上消失，但如果供应商有90天付款期限，支付处理中断可能可以容忍更长时间。这些阈值为高管建立了一套共同的目标和关键绩效指标（KPI）。

"我们在这里所做的是为网络安全定义了一套胜利条件。不再是要预防一切，而是要防止任何事情超出商定的阈值。这也集中在我们最有可能获胜的行动集合上，那就是韧性，"阿德斯科特解释道。

然而，真正的韧性需要定期练习。Gartner的数据显示，一些拥有不可变备份的组织在遭受攻击后仍然支付赎金，因为他们对自己恢复数据的能力缺乏信心，这往往是由于测试不够频繁。要让利益相关者放心，需要对恢复手册和部分灾难恢复故障转移进行一致、真实的测试，以证明维持公司运营所需的最低系统可以快速恢复。

将AI应用于安全运营中心

即使是高级威胁行为者也以平常的方式使用AI，使用被盗凭据渗透系统，然后应用AI搜索日志寻找容易攻击的目标。安全团队应该效仿这种做法，将日志输入检索增强生成（RAG）管道，识别攻击者可能利用的相同漏洞，然后修复它们。

来自安全工具的遥测数据也可以输入大语言模型，为个别员工创建定制的安全意识内容和威胁模拟——可能包括深度伪造。

Gartner预计，到2028年，在安全运营中心有效部署AI的组织将大幅减少对人工干预事件的需求，将安全分析师的角色从响应者提升为监督者。阿德斯科特举了一个大型企业的例子，该企业在单个报告期内检测到超过50,000个事件；绝大多数由AI驱动的自动检测和响应处理，只留下几百个需要人工关注。不过，他警告说，团队必须首先确定其基线性能指标，以有效衡量改进并证明未来预算的合理性。

阿德斯科特最后提醒听众，虽然这些策略具有协同作用，但应该本着持续改进的精神逐步应用。他指出，在此过程中交付价值至关重要。

"在为机器身份和AI智能体实现企业现代化方面，我们面临着巨大的、事业定义性的挑战，但同时也有巨大的机会将我们的使命改变为我们实际上可以获胜的东西，那就是韧性，"他说道，"即使我认为我们无法通过大转型的方式摆脱这种'一切、到处、立即'的混乱，我实际上非常有信心我们在网络安全领域绝对可以通过创新找到出路。"

Q&A

Q1：为什么Gartner建议摒弃网络安全"大转型"策略？

A：根据Gartner分析师的观点，采用"大转型"思维模式进行网络安全建设的组织实际上会增加网络风险。相比之下，通过化整为零的方式，将问题分解为具体时刻，进行预判并形成可以快速实施的想法，能够更好地解决安全问题。

Q2：什么是守护智能体，它们如何保护企业安全？

A：守护智能体是小型、简单的AI程序，专门用来监管其他AI智能体的行为，特别是防止智能体与大语言模型之间的意外数据泄漏。这些守护智能体可以快速训练，通常只需一个下午就能学会过滤个人身份信息和商业机密等敏感数据。

Q3：网络安全中的"影响阈值"概念是什么意思？

A：影响阈值定义了特定业务流程的最大可接受停机时间。例如，超市的采购系统停机不能超过一到两天，否则新鲜农产品会从货架消失。这些阈值帮助企业建立共同的安全目标和关键绩效指标，重点不再是预防一切攻击，而是防止损失超出可接受范围。