渗透测试现已成为 CISO 战略的核心

随着数字供应链的扩展以及生成式人工智能在关键系统中的嵌入，安全领导者正在重新思考其网络安全策略。Emerald Research 最近对 225 位安全领导者进行的一项调查发现，68% 的人担心第三方软件和组件带来的风险。虽然大多数受访者表示他们正在满足监管要求，但 60% 的人承认攻击者的进化速度过快，难以保持韧性。

报告强调了合规性与实际安全之间日益加剧的矛盾。安全领导者呼吁加强控制、加快补救措施，并提高对新兴人工智能风险的可视性。 如今，许多人将网络安全视为战略性业务问题，而不仅仅是技术问题。

第三方工具仍然是最受关注的问题，但生成式人工智能正在迎头赶上。近一半的受访者表示，他们对人工智能驱动的功能和大型语言模型感到不安。董事会也注意到了这一点。68% 的安全领导者表示，董事会现在将生成式人工智能的安全部署视为一项关键优先事项。

这些担忧并非空穴来风。对人工智能应用程序的渗透测试发现，32% 的应用程序存在高风险漏洞。这一严重漏洞的发现率高于其他类别的系统。最常见的漏洞并非人工智能独有，而是 SQL 注入和存储型跨站脚本等经典问题。

软件供应链的复杂性也引发了人们的担忧。如今，大多数组织依赖专有代码、开源组件和外部服务。73% 的受访高管表示，他们在过去一年中至少收到过一次供应链漏洞或事件通知。因此，83% 的组织现在面临正式要求证明供应商安全性的要求，超过一半的组织要求供应商进行渗透测试和漏洞报告。

这些措施也正在塑造客户关系。“74% 的安全领导者认为，定期进行记录在案的渗透测试可以提升客户信任度，并在采购中带来竞争优势。”

渗透测试不再只是一项需要勾选的环节。它已成为企业安全计划的核心要素。88% 的安全领导者如今认为渗透测试至关重要。超过一半的安全领导者表示，他们使用渗透测试来验证自己的软件。超过一半的安全领导者还要求在向客户发布软件之前进行第三方渗透测试。

调查发现，49% 的企业计划使用渗透测试来识别软件供应链漏洞，44% 的企业打算用它来发现内部威胁。渗透测试实践正在被整合到开发生命周期和采购工作流程中。

生成式人工智能正在成为一种新的、难以预测的风险。66% 的受访者表示，生成式人工智能可以帮助攻击者分析数据并规避防御。超过一半的受访者担心人工智能可以自动化整个攻击生命周期，62% 的受访者担心人工智能开发工具可能会将隐藏的漏洞引入代码库。

数据保护是这些问题的核心。“44% 的领导者认为模型中毒和知识产权盗窃是他们最紧迫的 GenAI 相关风险。”其他人则认为训练数据泄露、未经授权的平台使用以及 AI 输出中的偏见。尽管 AI 是新兴事物，但其根本问题仍然源于经典的软件安全问题。

安全团队正在呼吁新的工具和标准。超过一半的受访者希望在部署GenAI之前获得专用工具来评估其安全性。同样多的受访者希望获得关于如何防御性使用AI的指导。48%的受访者表示，他们需要框架来检测和应对AI发起的攻击。正如报告中所述：“如果没有这样的护栏，创新的前景可能会以牺牲长期安全和品牌声誉为代价。”

如今，首席信息安全官们正被推向更具攻击性的思维模式。许多人将渗透测试嵌入到供应商协议中，并对人工智能系统施加与传统基础设施同等的严格要求。其中一项建议是：“将渗透测试作为采购和整个软件开发生命周期中不可或缺的一部分。”