编者按: 几个ISACA成员参加了本月早些时候在旧金山举行的2024 RSA会议, 加州, 并分享了他们在安全行业趋势会议上的主要收获, 尤其是考虑到人工智能风险加剧的情况, 现在加入ISACA. 下面是他们的见解. 有关ISACA的更多人工智能资源,包括新的ISACA人工智能培训课程信息,请访问 3i4.bobbyingano.com/ai. 有关即将举行的ISACA会议的信息, 包括2024 GRC会议和ISACA欧洲会议, 访问 3i4.bobbyingano.com/training-and-events/conferences.
罗伯·克莱德,前ISACA董事会主席
与去年相比,更多的供应商在宣传他们如何在产品中使用人工智能. 例如, 我看到各种各样的产品,通过生成式人工智能提供简单的英语对话,询问有关安全事件或姿势的问题, 利用人工智能分析安全事件和安全态势, 或者自动检测带有敏感数据的文件和电子邮件. 在某些情况下, 这些公司诞生于人工智能领域,并利用人工智能从零开始开发网络安全解决方案. 在大多数情况下,人工智能是具有不同程度整合和成功的补强工具. 在某些情况下,很明显 声称的人工智能的使用大多是口头上的.
组织正在寻求超越事件管理,转向网络弹性. 例如, 即使面对持续的勒索软件攻击,该组织的运营也将保持正常运行. 这将减轻我们所看到的许多组织一次关闭数天或数周的事件. 即使一个组织可能有数据和系统备份, 通常需要很长时间才能恢复, 有时,受害者支付赎金是为了更快地恢复正常运营.
Varun普拉萨德, BDO USA高级经理,ISACA新兴趋势工作组成员
The recently concluded RSA conference in San Francisco had a landmark year; as one would expect this was the year AI took center stage and was the focus of virtually every presentation, 小组讨论及展览产品. 这些对话围绕的主题是在网络防御技术中使用人工智能,以改善我们的网络安全态势和人工智能治理, 风险与安全.
我从关于人工智能的小组讨论中得到的最大收获之一是,重要的是不要陷入微观层面的风险,如人工智能使用政策或特定的法学硕士风险, 而是要着眼于大局,在更广泛的宏观层面上解决人工智能开发和使用带来的风险. The key enterprise-level AI risks could be categorized into three buckets - data risks (data management for training and fine tuning); AI development risks (algorithmic risks, 模型的开发和部署)和人工智能操作风险(监控准确性), 偏置或漂移). 这个概念真的引起了我的共鸣,因为对于一个组织来说,识别与这些领域相关的最大风险是至关重要的, 制定框架并实施相关流程和控制,以帮助实现组织的人工智能相关目标, 提高人工智能系统的安全性和可信度.
另外, 还有一些会议围绕着云安全的传统主题, 容器和应用程序安全性. 主要的信息是,由于当前的地缘政治气候, 我们看到威胁行为者在增加. So, 重要的是要有“突破心态”,积极地管理攻击面, 修补系统并认识到基本的社会工程策略.
是克利夫特, Liberty Mutual Insurance网络风险工程首席执行顾问
RSA大会最大的收获可能是无处不在的“人工智能”.来自新兴人工智能技术的场外会议, 关于治理和最佳实践的讨论, 向展会上的许多供应商展示了他们的系统如何使用人工智能功能, 到处都是. 但我们是否对人工智能有一个完整的理解或描述? 曾经是科幻小说里的东西,现在是一个标签,适用于从统计学、机器学习到神经网络和大型语言模型的所有领域. 在未来,所有这些将在工具和技术上有所区别? 我们如何保护这些处于婴儿期的特定类型的系统, 并针对不同类型的型号具有不同的要求, 什么样的妥协会特别影响到这些?
关于事件和法规遵从性,“物质性”是一个新词. 什么是物质的,什么不是? 我们似乎正在远离最初只有像FAIR这样的方法中的风险量化, 更广泛地理解网络事件的影响. 这是一件好事, 虽然一开始事件可能看起来不重要,但要确定这一点, 若干年后仍有可能产生影响. 律师和网络领袖们都讨论了 证券交易委员会要求的影响, 网络领导人对网络事件对个人法律后果的担忧也引起了广泛讨论, 妥协的长期影响, 董事会需要考虑到将首席信息安全官纳入董事会的既得利益&O保险,以及在董事会桌上. 随着可能导致监禁或对参与网络事件的个人处以高额罚款的情况日益逼近, 会议上到处都是这些讨论, 在场外也是如此.
另一件值得注意的事情是,活动中一些供应商空间的缩小,以及来自供应商的更多场外活动. 围绕网络产品的营销预算似乎正在缩减, 这可能意味着网络预算的缩减, 或者只是网络服务提供商的收缩, 这是一段时间以来一直期待发生的事情.
流行Koanda, CISA, CISM
我从RSA大会上得到的收获是多方面的,深刻的见解. 主题和小组成员的质量给我留下了深刻的印象. 会话, 尤其是关于隐私的过去和现在, 信息量惊人, 数据收集问题已经存在了几十年, 因此,隐私成为一个长期存在的问题. 1987年的CIA三合会凸显了解决这些隐私问题的迫切需要.
人工智能在讨论中的普及尤其引人注目, 与人工智能相关的话题占会议的85%. 这凸显了人工智能日益增长的重要性,以及了解和减轻其对隐私的潜在威胁的迫切需要. 作为RSA的新人, 这种对人工智能的关注令人大开眼界,并强调了了解人工智能技术进步的重要性.
另外, 我对出席会议的形形色色的代表感到高兴, 有色人种和女性的大量参与. 像WiCyS和Cyversity这样的组织在促进科技行业的多样性和包容性方面取得了显著进展.
王伟基,ISACA新兴趋势工作组成员
人工智能的新兴趋势带来了极大的效率,同时也带来了新的安全挑战(先进ransomware, deepfakes,针对性攻击,机器人等.)这波AI有三个重点:文本到文本、文本到图像和文本到视频. 当文本到文本的焦点跨越安全和遵从性的每个关键领域(如IAM)时,您可以看到许多组合, 安全操作, 等.同时,我们也看到一些公司利用涵盖所有视角的多种检测模型. 从AI层的角度来看, 大多数产品都在人工智能应用层,而少数产品还涵盖了数据基础设施和模型层的网络安全和合规风险. 请与我联系 LinkedIn 我们可以进一步讨论.
