專文
新技術帶來新威脅,資安長(CISO)和資訊長(CIO)必須採用新方法。
由 NUTANIX 贊助
最近,來自美洲各地逾 100 位資安長(CISO)、資訊長(CIO)和其他高階主管齊聚一堂,共同探討日益升高的網路威脅與 AI 對資安的顛覆性影響。本次聚會在 Nutanix 大師課程舉行,這是一個邀請限定的高階論壇,以全球思惟領導力與高階主管教育著稱。
大師課程匯聚業界領袖、成功高階主管人士與資深 IT 主管、頂尖學者與暢銷書作者,一同共創解方以因應最迫切的技術與商務挑戰。
本次大師課程由 Ardagh 集團資安長 Robert Duncan 和東北大學(Northeastern University)技術管理和數位領導力中心主任 Art Langer 博士主講。Nutanix 資訊長 Rami Mazid 也到場與會。本次大師課程關鍵重點如下:
AI 正深刻改變資安威脅環境。因此,資安長(CISO)、資訊長(CIO)及其高階主管團隊必須現代化資安策略,以保護組織、客戶、資料與供應鏈。
國際製造商 Ardagh 集團的資安長 Robert Duncan 指出知識成長的速度史無前例:「1900 年以前,知識百年倍增;到二戰時是25 年;如今則是每年。這對資安長而言,既令人興奮,又令人望之生畏。」生成式 AI 的出現讓資訊取得與運用呈指數成長,也使網路威脅的型態與複雜度同步升級。Duncan 指出:「要捍衛企業安全變得更加困難。」
東北大學的 Art Langer 博士則表示,除了 AI,5G 與即將到來的 6G 也將強化連結與感測器的使用,對傳統營運模式與應用程式構成更大挑戰。連結性的增加必然擴大對於企業的威脅性,CISO 必須加以掌控。
老舊系統與過時作法
Duncan 指出,新技術有風險,但既有的過時技術往往更脆弱。MS-DOS、Windows XP 仍見於工業場域,難以修補或替換;當與現代系統介接時,弱點更明顯。他也批評 Kill Chain 與 MITRE Att&ck 等未隨威脅性進化的舊式框架。
供應鏈漏洞
2023 年 MOVEit 資安事件顯示供應鏈攻擊的連動性與衝擊影響高達 6,000 萬人。Duncan 強調 CISO 必須將更廣泛的供應鏈納入策略:「影響難以避免;CISO 不能只看自家組織。」
資安事件的經濟衝擊
Nutanix 資訊長 Rami Mazid 指出財務衝擊:「一場事件在 24 小時內就可能讓公司估值下跌 20%。」以 Ardagh Group 為例,Duncan 估計幾天中斷即造成 4,000 萬至 5,000 萬美元損失。他也提及 NotPetya 攻擊,提醒間接攻擊也可能造成廣泛破壞。
資安策略的轉向
討論指出調整資安策略的必要性:
預算編列:Mazid 指出資安現已占 IT 預算的 20-25%,遠高於以往。然而 Langer 博士提醒,僅加大預算並不足夠;資源調度的敏捷更關鍵。
組織結構:Duncan 不認同將資安預算隸屬在 IT 底下的這種傳統作法,主張資安範疇應超越 IT 本身。
打造資安韌性
為了因應這些挑戰,業界正轉向強化資安韌性:
董事會意識:Duncan 指出董事會從歸咎轉為支持的正向轉變。
前瞻性安全防護:由被動的「不」轉為與商業風險承受度對齊,在必要時保持彈性以回應市場。
技術進步:分段、零信任與 AI 技術對提升防護至關重要。Duncan 大力讚許 AI 能力——人類分析師要幾小時完成的工作,AI 幾秒即可達成。
總結:一套策略行動手冊
最後,Duncan 呼籲制定高階主管共同採用的完整資安行動手冊,並強調資安事件無可避免。手冊內容應涵蓋資安風險量化,以統計模型評估風險,並讓資安投資與商業優先順序保持一致,同時考量安全與營收影響。
結語思考:
面對 AI 與其他新興技術,CISO 與整體高階主管的角色不僅是防禦者,更要引領理解與運用,以強化組織韌性與成長。
©2025 Nutanix, Inc.保留所有權利。Nutanix、Nutanix 標誌和本文件所提及的所有 Nutanix 產品及服務名稱,均屬於 Nutanix 公司在美國和其他國家的註冊商標或商標。Kubernetes ® 是 Linux Foundation 在美國和其他國家的註冊商標。此處提及的所有其他品牌名稱均僅供識別參考,並且可能為其各自擁有者所屬商標。本刊中包含的某些資訊可能涉及或基於從第三方來源獲得的研究、出版品、調查和其他資料,以及我們自己內部的估計和研究。雖然我們認為這些第三方研究、出版品、調查和其他資料在本文發布之日具可靠性,但它們尚未經過獨立核實,我們對從第三方來源獲得的任何資訊的充分性、公平性、準確性或完整性無從代表或保證。