網路資安威脅
2023 年 RSA Conference 資安大會重要趨勢與洞察
疫情之後,RSA Conference 資安大會又再度滿血復活。2023 年大會吸引了數萬名資安界人士齊聚探討資安產業目前最熱門的趨勢、挑戰及主題:從資源和人才的發掘到零信任架構的營運化,再到生成式人工智慧 (AI) 和大型語言模型 (LLM)。 此外,透過單一操作介面、平台式方法以及託管式服務來簡化資安營運,並希望將技術工具整合、簡化工作流程及程序、減少情境切換與警報疲勞的問題,同時也希望藉由平台式技術與 7 天 24 小時的威脅監控、資安風險管理以及事件回應支援來解決資安人才短缺的問題。
重大趨勢
生成式 AI 遍地開花
OpenAI 和 ChatGPT 的強大威力,讓生成式 AI 和 LLM 成了大會的焦點。 雖然 AI 在對抗網路釣魚及勒索病毒攻擊方面已經展現了具體的成果,但這項創新也激發了更多利用 AI 來改善資安與資安分析師工作體驗的全新契機。這波新的浪潮引發了有關 AI 可以有什麼全新應用來協助對抗駭客攻擊的討論,當然,免不了的還有駭客如何濫用 AI。
不論資安營運中心 (SOC) 的一般人員或特殊職務都有很好的理由對於一些新的應用情境感到振奮,其中最重要的包括:新的即時威脅回應方式、威脅追蹤查詢、查詢與腳本翻譯、調查輔助功能等等。
從高階主管的角度而言,除了前面提到的資安效益之外,掌握及控管 ChatGPT 和其他 AI 工具的使用情況以防範資料外洩、內賊風險,以及身分威脅偵測及回應,越來越受到重視。使用 AI 來監控 AI 的使用情況,這樣是不是有點太難理解?
在實務人員與資安領導人之間,我們認為資安風險管理 (後面會再深入討論) 是一個越來越適合 AI 發揮的領域。將大量資料、攻擊路徑分析、整合式威脅情報與 AI 的發展結合,也許能協助資安團隊達成以下目標:
- 提供主動式資安決策所需的參考資訊。
- 採取客製化的風險防範措施並判斷優先次序。
- 更快、更準確地預測攻擊。
- 執行自動化回應與矯正。
當然,若無適當的資料,這一切都不可能達成。剛開始接觸 AI 的資安部門應該尋找一些有能一從整個數位環境當中擷取大量資料的平台。
儘管有些廠商已經在 RSA Conference 大會之前或會中發布了應用程式內建助理功能的上市時間表,但很清楚的是,今日沒有任何單一技術廠商已取得了競爭優勢,一場最有效、最安全的 AI 體驗競賽才剛開始。
零信任將無所不在,我是說,真的無所不在
零信任 (Zero Trust) 的基本概念就是「絕不信任、持續驗證」,這樣的想法早已存在十年以上,但直到最近才因為近幾年嚴重的勒索病毒災情,再加上美國聯邦機構和監理單位頒布的框架和指引,而使得零信任開始流行起來。
零信任的概念本身就很完善,再加上一些非限定廠商的零信任營運化指引,都在協助現代化企業捨棄傳統過時的邊境防禦,以便更快跟上駭客最新的攻擊速度,同時也讓員工擁有更的高彈性及行動性。其效益已通過市場考驗,許多移轉至零信任的企業都減少了網路攻擊相關的停機時間,並且整體的資安狀況都有所改善。不過,要讓零信任真正發揮作用,就必須讓它「無所不在」。尤其必須深植在端點、網路、身分、資料,以及工作負載/應用程式這五大支柱當中,並且整合每一支柱的數據分析、可視性、自動化以及協調功能。
如此包山包海的議題在舊金山現場又是怎樣的情況?答案是:整個展覽廳隨處可見零信任產品。
儘管展覽場上充斥著一些意義不大的誇大宣傳,但今日並無一家廠商可提供端對端的零信任體驗,因此請小心那些所謂「全方位」及「單一通用」的解決方案。反倒是,您應該優先找出自己的應用情境、有哪些風險需要解決、您目前部署了些什麼、您缺乏哪些可視性,以及目前市面上有哪些平台解決方案能符合您的諸多需求,並能藉由特化的整合功能與一些單一面向的解決方案無縫接軌。
從不同的角度看風險與韌性
今年,韌性與資安風險管理的議題突然受到各種關注,因為企業正在試圖採取更主動的資安策略。
就大環境來看,從市場領先的企業級廠商到小型廠商都大張旗鼓地展示受攻擊面管理、曝險管理,以及受攻擊面分析產品,這證明:發掘與盤點內部及對外連網的資安資產對於防範風險、不讓駭客趁機利用這些暴露的受攻擊面至關重要。
經濟強烈逆風的外在條件,再加上員工及開發人員因為使用 ChatGPT 而發生資料外洩的新聞,因此,內賊風險及資料外洩防護是會場上極為熱門的解決方案話題,同時也是與會者熱烈討論的話題。
就資安事件後續處理來看,數位鑑識分析與事件回應解決方案及服務,是資安韌性策略規劃流程當中被視為重要且較少提及的一個步驟,也就是:發掘、評估、防範,以及復原 (當未解決的風險演變成威脅活動時)。
雖然科技和 AI 對於建置一套更具韌性的資安策略充滿潛力,但我們也無法忽略人的因素。在 RSAC 這樣的活動上,主動重新訓練並提升實務人員的技能是很容易被人遺忘的一件事,但卻是我們在面對人才短缺問題時必須謹記在心的議題。在 RSAC 大會上,一項有關資安風險的有趣討論是教育訓練解決方案以及針對分析師客製化的訓練計劃,這有助於學習及培養新的技術與技能,並且掌握新的犯罪集團情報 (如零日情報) 與新的框架。
XDR 大爆發
如果您以為 XDR 已經沒有什麼新鮮事可講,那就大錯特錯。這次的 RSA Conference 大會上,我們看到多家主要廠商和合作夥伴都針對 XDR 和 MXDR 發布了新的消息。從使用者與分析師的角度來看,我們聽到的是 NDR 以及網路活動監控越來越重要。
除了媒體熱潮之外,更有趣的是話題是雲端偵測及回應、雲端原生與 XDR 匯流,以及機器學習在身分、使用者、個體行為與數據分析方面的應用情境。看來,身分、雲端、資料偵測及回應接下來即將成為企業需要思考的最重要資安領域,同時也是廠商聚焦的重點。儘管這些領域的需求和熱度逐漸攀升,但我仍不禁想起本週聽到的一句名言:「代理程式不是件容易的事」。能夠在 XDR 之爭當中勝出的廠商,必須要能提供涵蓋這些領域以及其他資安管道的原生監測資料,以便與端點偵測及回應的活動資料進行進階交叉關聯分析。
RSAC 大會上一些有關服務的討論
每家廠商都想在服務市場上分一杯羹,包括但不限於那些希望擴大產品線的傳統零售業者、在偵測及回應產品上提供更多加值服務的廠商,以及提供託管式服務的資安險公司。甚至傳統的託管式服務業者也在客戶的壓力下被迫提供更多資安服務,有些甚至邁入了 MSSP 市場。
更上層樓
那優先次序安排呢?
在業界驚人的發展與創新下,這次的 RSAC 大會讓我不禁問問自己:「那優先次序該如何安排?」
當越來越多資安團隊都想擁有更透明的風險評估、降低風險的建議以及更自動化的選項來管理高風險資產時,優先次序是一個很重要的問題。廠商若能提供一種有意義的優先次序判斷方式,將有助於企業降低跨環境分析的障礙、減少警報數量、更有效管理風險,並且將心力集中在資安團隊身上。當 AI 成了話題的焦點,那些致力提供優秀的 AI/ML 輔助及使用者導向優先次序判斷機制與自動化來彌補人才短缺問題的廠商將擁有大好機會。
資安風險量化的下一步
資安領導人正在尋找新的契機好讓資安在 IT 與資安部門之外更獲得重視,尤其是在 CXX 級高階主管與董事會之間。除了平均偵測時間 (MTTD)、平均回應時間 (MTTR,回應或矯正) 以及平均防範時間 (MTTP) 之外,他們還得運用一些更能轉換至其他業務風險的關鍵績效指標。
然而對大部分的評量方法來說,最大的問題在於我們 (整個業界) 目前並無專業能力將資安活動量化成一種對業務關係人更有意義的指標。
因為,風險的全球共通語言是「錢」。隨著資安領導人的角色不斷演變,廠商也正在努力透過有意義的 SOC 指標、人類可閱讀的報表,以及資料視覺化來將資安成果與風險管理策略連結到業務目標以及其他任務,例如:藉由證明企業的資安狀況良好以便降低資安險保費。
雖然這個主題並非今年的前五大熱門議題,但我預料隨著需求的不斷成長,明年應該有機會看到這點。
生成式 AI 的治理
威脅研究人員非常清楚 AI 模型很可能遭駭客濫用,還有生成式 AI 的治理將是有興趣採用這項技術的企業最擔心的問題。隨著近日 ChatGPT 造成資料外洩的議題登上媒體版面,技術廠商在針對最重要的資安情境打造解決方案時,應該將 AI 治理列為優先要務。
合作與更多併購傳聞
有關業界整合的傳聞在 RSAC 大會上也甚囂塵上,這項議題涉及了諸多因素,包括:
- 資安團隊希望看到平台式方案、希望減少工具、希望廠商進一步整合。
- 企業巨頭與小型廠商之間的合作消息甚囂塵上。
- ISV 之間更強調生態系整合。
- 經濟逆風影響新創公司的生機。
2023 年是否會看到更多廠商之間的合併?RSAC 2024 大會是否將出現不一樣的風貌?咱們拭目以待。