开释群众的创造力:打赢网络犯罪战争
https://i-blog.csdnimg.cn/direct/32a466419e054b7b8717a431f19fad0a.pnghttps://i-blog.csdnimg.cn/direct/929af0709e1148e581cf9e63f2f7018f.png
https://i-blog.csdnimg.cn/direct/e429277905a043e2857c6ae63e937b28.png
关注公众号网络研究观获取更多内容。
企业业非但没有享受到技能带来的利益,反而遭受着高昂的成本。
事情不应该是这样的。
企业投资 IT 是由于相信它可以改变他们与客户的关系、供应链和业务灵敏性。在过去 12 个月中,我们还看到人们对 AI 怎样增强 IT 厘革气力的兴奋感与日俱增。然而,掩护企业免受网络犯罪陵犯的成本不停上升,给这个充满可能性的天下蒙上了一层阴影。
因此对于许多企业来说,安全已经成为重中之重,数字化转型则被推到了第二位。这此中的原因并不难明白。
各构造将更多的资源投入到掩护业务上,而不是发展业务上。尽管 IT 付出增长迅速,但网络安全付出增长更快。
2024 年全球 IT 总付出将达到 5 万亿美元,比 2023 年增长 6.8%。同一消息来源估计,2024 年网络安全付出将达到 2150 亿美元,比上一年增长 14.3%。
网络安全付出仅占全球网络犯罪成本的一小部分,研究机构估计,到 2024 年,全球网络犯罪成本将达到 9.5 万亿美元。这险些是全球年度 IT 付出的两倍。
如果网络犯罪是一个经济体,它将是仅次于美国和中国的天下第三大经济体。
传统防御不起作用
只要我们继续以传统方式对网络犯罪分子发动战争,我们就会继续失败。
攻击者人数众多,构造严密。他们并不是在昏暗的地下室里挤在电脑前的孤独操作员。他们有办公室、管理层和战略,就像正当企业一样。他们拥有先辈的 IT 技能,并且对潜在回报的规模非常感兴趣。犯罪是他们的核心业务。
相比之下,防御者是被迫参战的,他们并不想打这场战争。别的,他们孤军奋战,每家企业都会雇佣尽可能多的网络安全专家。前提是他们能找到这些专家。
根据 2023 年网络安全劳动力研究,网络安全领域的技能短缺问题日益严重,估计有 400 万个职位空缺。这一数字正在稳步上升,部分原因是供应无法跟上需求,部分原因是网络安全领域的工作压力越来越大且重复性越来越强。研究将网络安全劳动力的高运动率归咎于职业疲倦和工作满意度下降。
这场战争从根本上来说也是不平等的,防御者必须 100% 正确,而攻击者只需正确一次。这种不对称有助于表明为什么网络安全工作已成为吃力不讨好的职业。
扭转局势
那么,我们怎样才能扭转局势呢?网络犯罪永久不会被消除,但我们怎样才能淘汰其影响呢?
唯一公道的办理方案是办理攻击者和防御者之间的不平衡,这是由以下因素造成的:
▪︎ 构造性:犯罪分子构造严密,注意力高度集中。犯罪是他们的核心业务。因此,即使打击犯罪不是他们的核心业务,保卫者也必要更好地构造起来,不要分心。
▪︎ 动机:犯罪的回报非常丰厚。犯罪分子的回报是网络安全专业职员一年收入的许多倍。
▪︎ 工作满意度:我们没有太多数据表明犯罪黑客是否对工作感到满意,但我们知道许多好人并不满意。这种情况必要改变。
▪︎ 技能:即使企业能够负担得起所需的所有专业职员,也没有足够的网络安全专家。我们怎样更好地使用现有的人才?
▪︎ 一百比一规则:攻击者总是享有这一优势,但是我们能做些什么来平衡这种优势呢?
▪︎ 技能:双方总是会使用相同的技能。问题在于防御者能否制造出更好的武器或更智慧地使用它们。
众包投资回报
众包安全为办理这些问题提供了最大的希望。首先,众包安全为更多企业提供了更广泛的人才库。企业可以获得所需的所有技能,并且只需为他们使用的内容付费。
其次,毛病赏金和毛病披露计划改变了人们的积极性和工作满意度。付钱给道德黑客让他们发现毛病意味着有才华的人可以过上好日子, 也许不像犯罪分子那样赢利,但按照大多数标准来说,收入很高。百万富翁道德黑客并不稀有。
别的,道德黑客避免了犯罪的道德风险和入狱风险, 可以公道地假设他们睡得更好。
第三,众包安全按结果付费的经济模式对客户很有吸引力,他们不再必要担心将所需的所有安全技能都纳入工资单。
投资回报率 (ROI) 也更容易盘算, 构造不再盘算违规成本,而是盘算他们避免的潜在灾难所带来的节省。
2024 年, 研究机构举行了一项关于毛病赏金总体经济影响的研究,发现了以下利益:
▪︎ 三年内投资回报率达 268%,净现值为 143 万美元
▪︎ 由于无需雇用两名全职员工 (FTE),因此提高了安全运营效率并节省了成本
▪︎ 传统渗透测试成本节省 60%
▪︎ 重大违约风险降低高达 30%
▪︎ 降低网络安全保险费用9%。
对的东西
众包的超本领在于它使用了人类做正确事情的动机。道德黑客当然受奖励的驱动,但并非所有奖励都是物质奖励。
2023 年发布的一项针对1000 名道德黑客的调查发现,75% 的人以为非财政因素是他们举行黑客攻击的主要动机,而 87% 的人表示他们以为陈诉关键毛病比从中赢利更重要。
当然,构造将继续雇用安全运营团队和开发职员来构建所需的服务。不同之处在于,这些团队将能够获得更多技能、更好的情报和更早的问题预警。
网络安全行业以及所有加入掩护数字资产的职员必须做出的关键转变是从被动方式转变为主动方式。
渗透测试服务旨在在攻击者发现体系毛病之前发现它们,这并不是什么新鲜事,但传统上这类服务很难构造。它们必要较长的项目周期和大量的客户管理费用,这不利于频仍测试。
众包平台大大淘汰了官僚主义的繁文缛节,这意味着我们看到渗透测试从偶尔的、即时的服务演变为一种持续的过程,更加恰当当代企业软件不停发展的特性。
人工智能最终能创造公平的竞争情况吗?
那么人工智能的影响又怎样呢?
显而易见的结论,也是大多数观察家得出的结论是人工智能将对攻击数量产生巨大影响,但对攻击者和防御者之间的气力平衡影响不大。
人工智能将使攻击变得更容易,并可能降低技能水平较低的罪犯的进入门槛,但当然它也会为防御者提供更有效的工具。
那么道德黑客是怎么想的呢?
险些所有上述调查的受访者都表示,他们正在使用或即将在工作中使用人工智能(94%)。大多数人(72%)不相信人工智能会复制人类的创造力,乃至更多人(91%)相信人工智能将产生积极影响,从而增长道德黑客的价值。
这种乐观有原理吗?
我们拭目以待,但明智的做法应该是相信道德黑客的观点,即人工智能最终作为防御工具的价值将高于作为攻击武器的价值。由于攻击者会用人工智能举行更猛烈的攻击,而防御者则会用人工智能举行更智慧的防御。
暴徒会使用人工智能增长攻击量,而道德黑客则专注于防御的巧妙性。这个等式中的第三个要素是在众包平台上使用人工智能来变更资源并更有效地管理毛病赏金和毛病披露计划。如果每个人都拥有相同的武器,那么构造更美满的一方最终将占上风。
转变安全思维
毫无疑问,人工智能将成为一大颠覆因素,但技能厘革并非关键因素。关键是心态的改变,特别是众包可以改变客户对安全的态度。
作为企业云应用和商业 AI 领域的全球领导者,SAP 高度重视客户数据的安全,并在整个企业范围内实施全面的安全战略,以确保办理方案的安全可靠。SAP 的毛病赏金计划帮助我们了解黑客的观点,并为我们的安全团队带来了新的测试思绪。
最好的防御情势不是攻击,而是通过安全设计开发而产生的防攻击性。
暴徒与训练有素的团队
在思量怎样使用众包安全来反击犯罪分子时,关键词是“管理”。虽然毛病赏金、毛病披露和渗透测试已经使用多年,但神奇的因素是与提供这些服务的平台相关的情报。
比方,这些平台可以缩短设置和启动标准化渗透测试的准备时间。他们使用算法对毛病披露计划的结果举行优先排序,并实现更快的调停。大概,从这些计划中获得的看法可用于重新思考开发过程。
人群是一种了不起的资源,但只有当你管理它时才有效。这就是暴徒和训练有素的部队之间的区别。
在与暴徒展开的不平等竞争中,好人愿意互助,并有本领创造更好的构造工具,并以更好的情报为基础,这将使权利平衡朝着正确的方向转变。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]