BlackHat 和 Defcon 表明,CTEM 取代 CSPM,运行时解决方案增加可见性,SOC 受重视,代码安全分化,智能体人工智能安全定义模糊。网络安全需求快速变化,但降低风险和简化防御的基本原则仍然重要。
译自:Beyond the Hype: Critical Takeaways From BlackHat and Defcon
作者:James Berthoty
对于安全从业者来说,BlackHat 和 Defcon 提供了业界终极的组合拳。在 BlackHat,你可以看到供应商营销预算的全面展示 —— 我们说的是牛排晚餐、直升机旅行、雪茄之夜、夜总会以及介于两者之间的一切(特别感谢 Corgea 的大爆发)。在 Defcon,你可以看到推动行业前进的惊人研究,从黑客攻击汽车到公交卡,这些真正的漏洞利用会让从业者兴奋不已。
这些环境为从业者创造了一个几乎不可能的环境,他们试图了解不断演变的威胁态势的真实面貌,以及供应商正在努力做些什么来帮助他们更轻松地生活,并减轻他们的钱包负担。
我们总结了从这些展会中得出的五个简要结论,以帮助从业者了解真正发生的事情:
1:持续威胁暴露管理 (CTEM) 是新的云安全态势管理 (CSPM)
大多数企业都在处理由多个云环境组成的拼凑网络,其中一些还包括本地部署。长期以来,CSPM 已经演变成一项更大的漏洞管理工作,因为整体基础设施环境中的有毒组合和漏洞优先级已成为常态。尽管如此,漏洞数量往往只会增加和向右移动,而没有很好的方法让人感觉你正在减少漏洞数量。
在过去的一年中,我们看到了大量进行情境优先级排序的新方法,这些方法需要对市场进行更详细的阐述,但最终被称为可达性。关于这到底意味着什么,有很多定义,我们已经在这里写了关于这些的内容。这里的目标是花更多的时间修复真实的东西,减少追逐幽灵的时间。
以下是 BlackHat 上这种趋势的一些例子:
- Zafran 发布了一个漏洞扫描代理,以提供漏洞的本地覆盖以及他们的攻击路径数据。
- Wiz 发布了一个本地扫描器,并且能够从其他平台摄取发现结果,以服务于多云和本地环境。
- Tenable 推动其 CTEM 解决方案和对 Vulcan 的收购,结合了来自其云和本地扫描器的数据。
- Qualys 推动风险运营中心的概念,创建一个类似于安全运营中心 (SOC) 工作的漏洞管理框架。
- Palo Alto 的 Cortex ASPM 从第三方扫描器摄取漏洞。
2:创新的运行时解决方案增加重要可见性层
虽然很难摆脱 AI 炒作,但真正为团队带来改变的解决方案是由更大的对运行时工作负载的可见性驱动的。虽然在漏洞管理方面存在大量的混乱和供应商能力,但坦率地说,这些解决方案更容易制造,并且更容易处理管理和优先排序大型数据集。
相反,为云工作负载构建有意义的运行时保护确实具有挑战性,但会带来一些重大成果。以下是一些正在发生的领先创新:
- 应用程序检测和响应,通过简单的基于代理的检测提供对您的应用程序在运行时如何工作的可见性。
- 云应用程序检测和响应,将应用程序可见性解决方案扩展到操作系统和云层,以实现完整的云工作负载防御。
- 主动工作负载防御,Edera 等解决方案专注于默认安全的工作负载,以及运行时真正的 容器隔离。
3:SOC 很热门!
我们看到大多数安全运营团队正受到其高管在两个方面的推动:
- 投资人工智能,以便为他们的董事会提供引人注目的故事,以及对效率和优化的一般承诺。
- 更有效地扩展他们与数据交互的方式。
这些优先事项重新引起了对 SOC 的关注,SOC 之前被云和应用程序安全团队所掩盖。人工智能现在被吹捧为加速事件响应和启用更复杂的分流的解决方案。但是,此类别中的解决方案仍处于非常早期的阶段,并且除了受信任的设计合作伙伴之外,几乎不存在动手操作的时间。
在决定人工智能采用策略时,团队目前正处于一个艰难的境地,因为有大量的选择 —— 数据优化工具、第三方 API、浏览器插件、安全信息和事件管理 (SIEM) 替代品 —— 没有任何明确的答案表明哪种选择最有效。除此之外,传统的挑战仍然存在:检测工程很难,云和应用程序的可见性有限,人员配备和培训是持续存在的障碍。总而言之,这使得 SOC 成为今年特别嘈杂的地方。
4:代码安全分歧变得更加清晰
AppSec 的未来正处于一个充满挑战的境地,因为团队仍在处理旧的挑战,但开发人员的工作方式正在随着人工智能辅助编码而几乎每天都在变化。目前市场上有三种通用方法:
- 公司全力投入人工智能和氛围编程:使用大型语言模型 (LLM) 进行静态分析、模型上下文协议 (MCP) 检测和安全以及氛围编程安全。团队清楚地认识到,人工智能代码的采用已成定局,抢先一步是明智之举。
- 中端市场应用程序安全态势管理 (ASPM):这为寻求最大化其合规性复选框的团队提供了大量的一体化扫描价值。
- 企业 ASPM:这是关于为应用程序安全团队提供上下文,以修复其代码发现。有时会使用代码扫描器,但不是评估的重点。
目前,应用程序安全工作方式仍然存在一个基本事实;找到真正的阳性是工具可以拥有的最有价值的功能。虽然一些以人工智能为中心的解决方案在演示中很有希望,但与其他地方一样,由于团队最终运行扫描解决方案的组合,因此价值可能难以证明。
5:智能体人工智能安全就是你说的任何东西
每个供应商突然发现自己是一个人工智能原生智能体人工智能安全平台。弄清楚人工智能安全实际意味着什么以及哪些工具做得很好仍然是一个巨大的挑战,因为每个投资者和高管都在内容之前推动信息。也就是说,有一些值得注意的事情:
- 从技术方法的角度来看,如何保护人工智能是狂野的西部。(请参阅我们的 AI 安全报告 中的完整分析。)
- 一般来说,现有供应商专注于基本可见性功能,而初创公司则为员工或第一方应用程序提供治理和运行时保护。
- 大多数供应商都在寻求成为人工智能采用的“受信任的合作伙伴”,而不是提供任何特定的有意义的功能集。
你拥有的人工智能风险在很大程度上取决于你如何使用它。人工智能聊天机器人提供的风险几乎为零,但是一旦你将智能体连接到生产数据,你的应用程序的风险状况就会爆炸。你将寻找的安全解决方案的类型取决于你投资哪种类型的架构 —— 并且目前,架构在优化保护所需的内容方面差异很大。
BlackHat 和 Defcon 2025 强调,虽然创新和人工智能驱动的功能是重中之重,但从业者必须超越噪音,验证有效的方法,并专注于真正降低风险的工具。
从漏洞管理的演变和对 SOC 的重新关注,到应用程序安全方法的划分和运行时可见性的增加层,一个主题很明确:网络安全的要求正在迅速变化,但基本原理仍然很重要。即使他们没有带来风险投资炒作的吸引力。
归根结底,网络安全方面的进展是通过降低风险并使防御者工作更轻松的实用工具来衡量的。
