报告
从人类到混合:了解Exabeam的2025年关于人工智能驱动的内部风险报告
风险发生了内部转变——这改变了架构
如果主要威胁在内部,“更多的防火墙”并不是答案。它是关于身份、访问和行为。要想持续验证谁正在做什么,使用哪些数据,并判断这种模式是否正常。在区域方面,大多数市场现在将内部人员视为主要问题;主要的异常是亚太地区(APJ),那里很多人仍然更担心外部攻击者。对于领导者来说,实际的翻译是将支出转向:
- 更强的身份控制(MFA、基于风险的访问、最小权限)
- 跨SaaS、端点、存储和电子邮件的数据感知监控,以便异常移动可见
- 行为分析,学习每个用户或实体(包括机器人、服务账户和代理)的正常模式,并在有意义的偏差时发出警报
组织的含义是:安全和数据所有者必须共同工作。如果你无法回答“谁最近访问了哪些敏感数据以及是否典型”,你就对现代漏洞路径(泄露账户→静默数据准备→快速数据转移)视而不见。
人工智能重塑了“内部人员”的定义
影子人工智能是新的影子IT。员工将代码、合同、客户名单或带有敏感上下文的提示粘贴到未经批准的模型中。这就是为什么76%的数字很重要:这意味着这不是一个小众问题。将通用人工智能视为特权访问——批准特定的工具,记录合法的使用情况,并防止受保护的数据类别(受监管的个人身份信息、商业秘密)进入第三方模型。将政策与赋权相结合:为人们提供批准的AI选项,以便他们不会感到被迫去违规。
内部还有一个新角色:人工智能代理。团队正在将代理连接到具有真实凭证和API密钥的工作流中。这些是“非人类内部人员”。他们不会疲劳,也很少抱怨——直到他们漂移。这需要两个控制,高管应该认识到:
- 范围:每个代理需要一个所有者、一个明确的工作和最小的权限
- 可观察性:每个代理都应该拥有与人类相同的审计跟踪和异常检测
UEBA(用户和实体行为分析)是专注于行为而非仅仅签名和执行的检测。它通过学习以下内容为每个用户或实体(包括机器人、服务账户和代理)构建基线:
- 时间序列规范:典型的登录时间、数据量或目的地
- 同行群体背景:财务分析师的行为与其他财务分析师相比如何
- 序列模式:不寻常的顺序(例如,首次VPN登录→立即权限更改→批量下载)
关闭分析差距和文化差距
真正的风险在于:只有44%的组织使用UEBA,尽管内部风险现在是头号问题。同时,74%的从业者认为领导者低估了内部威胁。这种文化差距减缓了招聘、工具和政策的实施。弥合这两个差距看起来像这样:
让行为成为一流信号。整合身份、端点、SaaS管理员、电子邮件和数据移动日志,以便一个人(或代理)在系统中有一个故事。投资相关性,而不是仪表板。如果SOC无法将身份跨工具拼接,他们将会错过安静的滥用和慢动作的数据泄露。
设计平衡隐私和检测。内部程序最常见的障碍是隐私抵制。通过目的限制分析、基于角色的遥测访问、明确的保留窗口和对分析内容和原因的透明文档来解决它。正确做法,隐私防护可以使检测更强大,因为它们解锁了团队需要的数据流。
衡量结果,而不是工具数量。高管应该每月询问三个数字:
- 检测异常行为的时间
- 包含内部事件的时间
- 被行为分析捕获的事件百分比与运气或事后审计相比
将预算与改善这些指标联系起来,而不是与部署的点产品数量相关联。
将通用人工智能视为生产系统。建立白名单,红线数据类别,并在合法的情况下记录提示和输出。让产品和法律人员坐在桌边,以确保“快速行动”永远不会意味着“将数据喷洒到黑盒中”。
为每个人和每件事建立基线。人员、服务账户、RPA脚本和人工智能代理每个都有自己的基线。你正在寻找漂移——新数据接触、不寻常的时间、不匹配的目的地或不符合工作的顺序。
摘要
从从人类到混合:人工智能和分析差距如何助长内部风险可以看出,这不仅仅是今天风险的快照——它是安全必须走向未来的预览。内部威胁,由人工智能放大,已经不再是例外,而是基准假设。对于CISO和CEO来说,前进的道路意味着从周界防御转向基于身份的策略,将通用人工智能视为特权访问,并为人类和人工智能代理提供自己的行为基线。成功的组织将是那些统一遥测、拥抱结果驱动的指标并将领导力与运营对齐的组织。在这种意义上,Exabeam的报告不仅仅是一个警告,而是构建人工智能定义的未来中的恢复力游戏规则书。
