五位首席信息安全官：2024年5个值得关注的网络安全趋势

2023年，网络安全威胁形势发生了重大变化，尤其是在人工智能领域。例如，在2022年11月发布ChatGPT后，SlashNext2023年网络钓鱼状况报告发现，网络钓鱼电子邮件增加了1265%。随着2024年的到来，五位首席信息安全官分享2024年值得关注的网络安全趋势，具体内容如下。

MongoDB首席信息安全官Lena Smart认为，到2024年，首席信息安全官和安全专业人员有三个首要任务。

首先，他们需要确保组织内的每个人都了解他们在网络安全方面的责任，这可以通过实施有效的培训计划来实现。此外，他们需要通过整合工具来最大限度地减少垃圾邮件和网络钓鱼企图，使员工了解网络钓鱼诈骗以及不点击可疑链接的重要性。最后，安全专业人员需要采用可查询的加密手段来保护敏感数据。

BigID首席信息安全官Tyler Young认为，人工智能的出现对社会的影响最大，这在网络安全方面也不例外。

在2024年以后，多态恶意软件的数量将会增加。多态恶意软件是一种使用人工智能开发的复杂形式的恶意软件，其具有学习和适应所遇到的安全系统的能力。在分析和了解安全防御措施后，此类恶意软件可以渗透到系统中并在系统中传播，并逃避系统检测。

IT领导者将继续面临的第二大网络安全挑战是员工的疏忽行为导致数据泄露事件增加。这通常涉及对敏感和机密商业信息的不当处理或共享。员工可能会通过各种方式无意中暴露这些机密数据，例如不当处理电子邮件、利用不安全的网络或成为网络钓鱼诈骗的牺牲品。由于这种数据泄露涉及内部访问，并可能导致未经授权泄露客户和员工个人数据的关键商业机密，因此特别具有破坏性。

GitLab首席信息安全官Josh Lemos认为，在2024年，针对不受治理的开源生态系统的攻击将会加速。网络攻击者已经学会把恶意Python包植入开源存储库，这些Python包的名称与合法的Python包非常相似。鉴于软件开发人员对这些软件包的依赖，这种攻击在可预见的未来可能会持续存在，并导致严重的漏洞。由于世界上超过90%的软件都是基于开源代码和开源语言构建的，这将产生广泛的影响。更多的公司和团队使用人工智能来评估开源包的风险或许能够作为一种解决方案。

GitLab首席信息安全官Josh Lemos认为，在2024年，首席信息安全官们将需要在数据治理问题上表明立场：要么支持对私人或受保护数据进行严格的规范和控制，要么支持开放使用并接受随之而来的相关风险。数据与软件一样具有供应链。例如，在供应链中，如果有人删除数据或客户请求删除数据，但是该数据已被用于形成大型语言模型（LLM），则很难将其删除。对于构建机器学习模型的公司来说，数据供应链需要运营规范，这属于首席信息安全官的管理范围。

GitLab首席信息安全官Josh Lemos认为，左移安全旨在通过拉近开发人员的距离，在软件开发生命周期的早期修复安全漏洞。然而，这种责任增加的后果给开发人员带来了不必要的负担。因此，到2024年，左移安全在开发人员的工作流程中将被自动化安全取代。人工智能将通过减少或增加可操作的反馈来减轻开发人员的安全负担，从而帮助自动识别和修复安全问题。

Menlo Security首席信息安全官Devin Ertel认为，到2024年，首席信息安全官将面临激增的风险，特别是考虑到事件披露裁决的发展。2023年，美国证券交易委员会针对公共网络安全公司推出了一项重大事件披露裁决。2023年7月下旬，美国证券交易委员会宣布，上市公司必须在发现事件产生重大影响后的四个工作日内披露重大违规行为。鉴于该裁决的措辞相对含糊，即使最近一周美国证券交易委员会做出了澄清，首席信息安全官们也对这些法规将如何影响他们的工作，并将他们的工作变成可能被起诉的潜在领域而惶恐不安。

经过严格调查后，违规行为的全部影响可能需要数月甚至数年的时间才能得知。因此，在2024年我们将看到越来越多的首席信息安全官寻求D&O保险（董事、监事及高管责任保险）或私人律师的保护。安全社区也一直被认为是一个信息共享、CVE披露和最佳实践的开放生态系统，这一特点使其成为一个丰富而紧密的社区。然而，由于证券交易委员会正在制定的裁决可能会阻碍信息共享，首席信息安全官和安全社区之间将会有更多的保密文化。

Delinea首席信息安全官Joseph Carson认为，2024年，在新兴技术、不断变化的威胁形势和不断变化的监管框架的推动下，网络安全合规格局将发生重大变化。

GDPR和CCPA等隐私法规为出台更严格的数据保护规范奠定了基础。更多地区和国家将采用类似的法规，并扩大处理个人数据的组织的合规要求范围。人工智能和机器学习将在网络安全合规方面发挥更加突出的作用。这些技术将用于自动化威胁检测，通过分析大量数据集以发现违规情况并提供实时见解，使组织更容易保持其合规性。