"别慌"：冷静评估AI风险成网络安全峰会主旋律

马里兰州国家港湾——在本周举行的年度Gartner安全与风险管理峰会上，多位专家指出，在AI时代，首席信息安全官（CISO）最重要的职责之一，就是保持冷静，并对本组织的风险敞口进行审慎评估。

"别慌。"Gartner副总裁分析师Katell Thielemann在周二的一场演讲中如此说道。该演讲聚焦于AI对工业控制设备等信息物理系统安全的影响。

"没错，事情变化很快，"Thielemann说，"但有一些唾手可得的事情"是CISO可以立即着手处理的，比如将关键设备与互联网断开连接，以及对其余基础设施的远程访问进行监控。

近期，Anthropic推出的Claude Mythos与OpenAI发布的Daybreak相继亮相，这两款强大的AI新模型能够以远超以往工具的速度发现软件漏洞，令网络安全领域的负责人深感震动，纷纷寻求应对之策。技术厂商和咨询公司争相满足这一需求，其中不乏不必要甚至适得其反的建议与产品。在Gartner本次峰会上，专家们敦促CISO及其他安全高管回归基本面，而非追逐炒作热潮。

"Mythos或Daybreak改变了什么？速度和规模。"Gartner副总裁分析师Dennis Xu在周二的一场议题中表示。攻击者"向我们发起攻击的速度快得多，而在未来12个月内，攻击量将大幅上升。"

尽管如此，Xu强调，CISO应牢记两件事："别慌"和"沟通"。

"你需要向高管团队、向董事会传达一个信息：我们现在面对的是一场不同以往的对抗。"他补充说，安全高管不必害怕借助新的威胁态势，争取更大的预算支持。

但Xu同时指出，尽管攻击速度与规模有所提升，企业的防御重心总体上应保持不变，仍需聚焦于资产风险暴露管理，并优先向最重要的系统推送补丁。

在演讲中，Xu曾向台下听众发问：有多少人已为本企业定义了"最低可运营标准"，即企业运作不可或缺的核心系统与流程。举手者寥寥无几。对此，Xu表示，企业应将这项工作列为重点任务。

"我不希望你花六个月时间来完成它，但这件事我认为很有必要，"他说，"哪怕只是因为它提供了一种共同语言，让大家都能认同和理解什么是重要的，继而让各方利益相关者能够在关键领域优先作出网络安全韧性方面的决策。"

在峰会期间的多场演讲中，Gartner分析师们指出，企业领导者必须清醒认识到自身在AI应用上的实际效果，以及这项技术当前究竟产生了哪些影响、哪些影响尚未显现。

OpenAI、Anthropic等AI公司正积极游说企业为其工具付费购买高价订阅服务，承诺将革新企业复杂而耗时的业务流程。然而，现实与宣传往往大相径庭——企业发现AI工具大量消耗Token，却未能产生显著成效。

安全领导者"感到自己既缺乏话语权，又资源匮乏，"Gartner副总裁分析师Bart Willemsen说，"因为我们的预算正流向——恕我直言——那些生成式AI平台。这些平台起初几乎免费，后来开始按用户每月收费……再后来，又改成了按Token计费。"

"我们是否正在把预算烧在那些人工反而能做得更好的事情上？"Willemsen反问道，"我坚信，我们确实如此。"

他还提醒企业，切勿轻易用AI模型取代经验丰富的员工，因为一旦AI工具被证明力有不逮，重新招募这些员工或寻找合适的替代者将并非易事。

"对于那些心想'有了AI，我就能用更少的人做任何事'的人，我要告诉你，一旦你把他们裁掉，你就再也找不回来了。"他说。

另一场议题同样就AI时代忽视员工能力培养的弊端发出警示。

"我们正面临来自高层管理团队和董事会的巨大压力，需要证明AI投资的价值，"Gartner总监级分析师Alex Michaels表示，"多年来的过度炒作进一步加剧了这种紧迫感。然而，AI的宏大抱负，却遭遇了一支尚未做好大规模快速AI落地准备的人才队伍。"

Michaels的发言聚焦于安全运营中心（SOC）领域。企业管理层热衷于用AI实现SOC的自动化，但Michaels指出，这一领域需要持续投入，不断提升人的技能。然而，随着AI承担越来越多的SOC任务，对人员保持关键技能训练的需求将随之降低，这可能危及组织的核心知识积累。

"即便我们成功实现了AI自动化的大规模落地，"Michaels警告说，"我们也面临侵蚀未来一代SOC人才潜力的风险。"

专注于信息物理系统议题的Thielemann则表示，关键基础设施运营商应将重心放在网络分段和访问控制等网络安全基础工作上，而不必为一场可能数年后才会降临的、由AI驱动的破坏性网络攻击而忧心忡忡。

"我们知道AI已经敲响了大门，"她说，"时间会证明一切，但这种噩梦般的场景目前尚未出现。"

Anthropic已邀请部分设备厂商和关键基础设施运营商加入Claude Mythos的预览计划——"Project Glasswing"，但Thielemann指出，迄今为止，尚无工业控制系统厂商公开披露其参与情况。

"如果面向信息物理系统的特定厂商已加入Mythos，他们并没有声张，"她说，"我们没有听到西门子、罗克韦尔或霍尼韦尔发出任何声音。"

"在我们看到更多信息之前，"她补充道，"请不要轻信'Mythos用于制造业，我们都要完蛋了'这类说辞——而这类论调我已经见得不少了。"

Q&A

Q1：AI模型Mythos和Daybreak对网络安全威胁有哪些具体改变？

A：根据Gartner分析师Dennis Xu的说法，Mythos和Daybreak主要改变了网络攻击的"速度和规模"。这两款强大的AI模型能够比以往工具更快速地发现软件漏洞，使攻击者发起攻击的速度更快，预计在未来12个月内攻击量也将大幅上升。但专家强调，企业的防御重心仍应保持不变，聚焦于资产风险管理和关键系统的补丁优先部署。

Q2：企业大量购买AI工具订阅真的值得吗？

A：Gartner分析师Bart Willemsen对此持怀疑态度。他指出，安全预算正大量流向生成式AI平台，这些平台从最初近乎免费，演变为按用户收费，再到按Token计费。然而，企业实际使用中发现AI工具大量消耗Token却未能产生显著成效。Willemsen明确表示，他坚信企业正在把预算烧在那些人工反而能做得更好的事情上，并警告不要轻易用AI替代经验丰富的员工，因为一旦裁员便很难再找回合适的人才。

Q3：关键基础设施运营商该如何应对AI带来的网络安全威胁？

A：Gartner分析师Katell Thielemann建议，关键基础设施运营商不必过度恐慌，应优先做好网络安全基础工作，例如网络分段、访问控制以及将关键设备与互联网断开连接。她指出，由AI驱动的毁灭性网络攻击目前尚未出现，在看到更多实质性信息之前，不必轻信"AI将导致制造业全面崩溃"之类的极端言论。