CISO注意!AI重塑安全格局:LLM成新攻击面,身份管理需高度自适应。拥抱AI驱动的DevOps安全,自动化日常任务,前置漏洞识别,提升云原生应用安全性。法规遵从与安全挑战并存,迎接AI安全新时代!
译自:How AI Is Reshaping CISO Priorities
作者:Josh Lemos
安全团队一直需要适应变化,但今年将出现的新发展可能会使 2025 年面临特别的挑战。 AI 创新的加速、日益复杂的网络威胁和新的监管要求将要求 CISO 应对更加复杂的局面。
供应商正在迅速将支持 AI 的功能添加到现有产品中,并且他们使用的基础 LLM 呈现出一种新的攻击面,恶意行为者将试图利用它。 CISO 需要了解他们面临这些威胁的程度以及如何减轻这些威胁。
与此同时,网络安全法规的动态变化,特别是在欧盟和加利福尼亚州等地区,需要安全团队和法律团队之间加强协作,以确保合规并降低风险。 新技术和法律的融合意味着 CISO 必须平衡董事会层面的合规性需求与新的安全挑战,以保护他们的组织。
尽管生成式 AI 带来了潜在的安全挑战,但它也提供了改进软件开发流程安全性的机会。 通过主动识别漏洞并实现更高的自动化,AI 将有助于缩小开发人员和安全团队之间的差距。
以下是 2025 年将主导企业安全领域的三大趋势。
软件供应商正在争先恐后地将支持 AI 的功能添加到他们的产品中,通常使用专有的基础 LLM。 随着攻击者开始在这些模型中发现漏洞,他们将打开一个新的攻击向量,并可能产生广泛的后果。 行业整合增加了风险。 专有模型几乎不透露有关其来源或内部防护措施的信息,这使得安全专业人员更难理解和管理它们。 因此,攻击者可以将恶意软件嵌入到模型的功能空间中,或者利用模型的功能空间中鲜为人知的攻击面。
由于该行业严重依赖少数专有 LLM,因此这些攻击可能会在整个软件生态系统中产生连锁反应,从而可能导致大规模中断或影响。
云原生和 AI 应用程序的增长为身份管理系统带来了新的挑战。 明年,访问控制必须变得更具适应性,以应对非人为的、基于服务的身份的增加。
管理身份和权限的系统已经从传统的静态状态过渡到更具临时性和适应性的框架,反映了现代数字交互所需的敏捷性。 在未来的一年里,这些需求将会变得更大。
特别是,AI 驱动的应用程序需要对传递身份有深刻的理解。 这些应用程序需要提供安全和高效访问的系统,即使角色和需求不断发展。
在最近的一项调查中,58% 的开发人员表示,他们对应用程序安全负有一定的责任。 然而,对具有安全技能的 DevOps 专业人员的需求仍然超过供应。
AI 将通过自动化日常任务、提供智能编码建议并进一步弥合技能差距,继续在 DevOps 团队中普及安全专业知识。 安全性将集成到整个构建管道中,通过利用可重用的可以集成到开发人员工作流程中的安全模板,从而能够在设计阶段及早识别潜在漏洞。
身份验证和授权也将得到改进,随着服务部署到云环境中,AI 会自动分配角色和权限。
最终的结果将是改善安全结果、降低风险并加强开发人员及其安全同行之间的协作。
随着技术格局的不断发展和网络威胁变得越来越复杂,首席信息安全官 (CISO) 必须认识到 AI 可能带来的新威胁,同时拥抱 AI 驱动的解决方案,才能在威胁面前保持领先地位。
通过使用 AI 自动化安全任务、识别漏洞并实时响应威胁,组织可以加强其安全态势,并在快速演变的威胁环境中保持领先地位。