创新与安全的困境
OpenAI最近承诺要构建"具有韧性、安全且对每个人都有益"的AI,这反映了当前的一个深层事实。每一次重大创新浪潮,无论是互联网、云计算、移动技术,还是现在的AI,最初都是为了优化功能,而不是韧性。
摩根大通(J.P. Morgan)今年4月发布的一封致供应商的信函中敦促"将安全放在首位"。这表明SaaS供应商终于需要将安全置于优先位置...而这距离SaaS被广泛采用已有20年。这是一个崇高的信息,但我们在每个时代都听到过类似的呼吁。市场不会奖励谨慎,它只会奖励速度。
安全与市场的矛盾
软件开发始终优先考虑功能实现,只有当软件变得不容失败时才会重视安全问题。这不是系统中的缺陷,而是系统本身的特性。每当新技术浪潮来临,比如生成式AI,我们都会期望"这一次能从一开始就确保安全"。但现实往往事与愿违。
实用安全策略
面对这种情况,安全专家应采取以下策略:
-
假设系统已被攻破:基于现实主义考虑,应用程序必然存在漏洞和配置错误。
-
加强运行时控制:实施基于身份的策略、异常检测、数据丢失防护等基础安全措施。
-
要求透明度:推动获取遥测数据、审计跟踪和事件响应服务水平协议。
-
安全成熟度评估:将供应商续约与其安全表现挂钩,奖励能够安全快速行动的供应商。
未来展望
安全专业人员需要在业务快速发展和威胁防范之间找到平衡。这不是要阻止创新,而是要确保创新能够安全进行。我们需要的是一种符合创新实际的安全态度,找到保护SaaS、生成式AI等新技术安全的有效方法。