此外，對(duì)于那些在快節(jié)奏、高壓環(huán)境中茁壯成長(zhǎng)的人來(lái)說(shuō)，網(wǎng)絡(luò)安全領(lǐng)域從不缺乏刺激。你正在做一件重要的事情：努力保護(hù)你的企業(yè)免受網(wǎng)絡(luò)攻擊。

然而，對(duì)于安全專(zhuān)業(yè)人士來(lái)說(shuō)，殘酷的現(xiàn)實(shí)也不少。以下是六個(gè)最具挑戰(zhàn)性的問(wèn)題，以及你可以采取的應(yīng)對(duì)措施。

每一次技術(shù)飛躍都可能被用來(lái)對(duì)付你

IT在很大程度上是建立在快速進(jìn)步的基礎(chǔ)上的，其中一些技術(shù)飛躍可以幫助你提高保障企業(yè)安全的能力，但從安全角度來(lái)看，每一次技術(shù)飛躍都會(huì)帶來(lái)新的挑戰(zhàn)，尤其是它們將如何被用來(lái)攻擊你的系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)。

例如，GenAI可以用于增強(qiáng)安全運(yùn)營(yíng)，但同時(shí)也帶來(lái)了安全挑戰(zhàn)。此外，GenAI還使黑客能夠生成更具說(shuō)服力的網(wǎng)絡(luò)釣魚(yú)誘餌、語(yǔ)音冒充和深度偽造視頻，并能夠發(fā)起跨電子郵件、社交媒體和協(xié)作平臺(tái)的多渠道攻擊。

根據(jù)SoSafe的《2025年網(wǎng)絡(luò)犯罪趨勢(shì)》報(bào)告(對(duì)600名全球安全專(zhuān)業(yè)人士的調(diào)查)，87%的安全專(zhuān)業(yè)人士表示，他們的企業(yè)在過(guò)去一年中遭遇過(guò)AI驅(qū)動(dòng)的網(wǎng)絡(luò)攻擊。雖然91%的受訪(fǎng)安全專(zhuān)家表示，他們預(yù)計(jì)未來(lái)三年AI驅(qū)動(dòng)的威脅將激增，但只有26%的人對(duì)檢測(cè)這些攻擊的能力表示高度自信。

這還不夠，量子計(jì)算正迅速到來(lái)，帶來(lái)了新的安全風(fēng)險(xiǎn)。ISACA首席全球戰(zhàn)略官Chris Dimitriadis表示：“鑒于最近的量子進(jìn)展，我們可以預(yù)期量子計(jì)算將在未來(lái)幾年內(nèi)融入我們的日常平臺(tái)和流程中。雖然這將為多個(gè)行業(yè)帶來(lái)創(chuàng)新機(jī)遇，但也會(huì)帶來(lái)重大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。加密技術(shù)廣泛應(yīng)用于所有企業(yè)、行業(yè)和領(lǐng)域，而量子計(jì)算有可能破解我們使用的加密協(xié)議，使簡(jiǎn)單服務(wù)變得無(wú)用?！?/p>

你可以做什么：企業(yè)需要立即開(kāi)始準(zhǔn)備。黑客已經(jīng)在進(jìn)行所謂的“現(xiàn)在竊取，日后解密”攻擊，他們竊取加密數(shù)據(jù)，以便日后通過(guò)量子計(jì)算進(jìn)行解密。員工需要接受AI和量子計(jì)算方面的培訓(xùn)。安全主管需要制定并實(shí)施政策，設(shè)置防護(hù)措施，并部署適當(dāng)?shù)墓ぞ?，以確保企業(yè)為這些新型威脅做好準(zhǔn)備。

無(wú)論你多么出色，你的企業(yè)都會(huì)成為受害者

這一點(diǎn)很難接受，但如果我們采用“悲傷的五個(gè)階段”理論來(lái)看待網(wǎng)絡(luò)安全，那么達(dá)到“接受”階段總比停留在否認(rèn)階段要好，因?yàn)楹芏嗍虑槎际悄銦o(wú)法控制的。

根據(jù)網(wǎng)絡(luò)安全供應(yīng)商N(yùn)etwrix的《混合安全趨勢(shì)報(bào)告》，對(duì)1309名IT和安全專(zhuān)業(yè)人士進(jìn)行的全球調(diào)查顯示，79%的企業(yè)在過(guò)去12個(gè)月內(nèi)遭受過(guò)網(wǎng)絡(luò)攻擊，高于一年前的68%。

根據(jù)Ponemon研究所進(jìn)行的IBM《2024年數(shù)據(jù)泄露成本報(bào)告》，被泄露的憑據(jù)(16%)和網(wǎng)絡(luò)釣魚(yú)(15%)是導(dǎo)致數(shù)據(jù)泄露的兩大主要原因。因此，盡管進(jìn)行了安全培訓(xùn)，終端用戶(hù)仍然會(huì)落入網(wǎng)絡(luò)釣魚(yú)陷阱，仍然會(huì)讓自己的憑據(jù)被盜。

一旦黑客進(jìn)入你的網(wǎng)絡(luò)，他們可以在不被發(fā)現(xiàn)的情況下操作數(shù)月。Ponemon表示，識(shí)別和遏制涉及被盜憑據(jù)的攻擊平均需要292天，識(shí)別和解決網(wǎng)絡(luò)釣魚(yú)攻擊平均需要261天，而解決社會(huì)工程攻擊平均需要257天。

你可以做什么：Gartner建議，安全和風(fēng)險(xiǎn)管理(SRM)主管應(yīng)從預(yù)防思維轉(zhuǎn)向關(guān)注網(wǎng)絡(luò)彈性，強(qiáng)調(diào)最小化影響和增強(qiáng)適應(yīng)性。換句話(huà)說(shuō)，采用“何時(shí)發(fā)生，而非是否發(fā)生”的心態(tài)，并接受事件是不可避免的。

泄露指責(zé)將落在你身上——后果可能包括個(gè)人責(zé)任

仿佛遭受安全泄露還不夠糟糕，美國(guó)證券交易委員會(huì)(SEC)的新規(guī)則使CISO面臨潛在的刑事起訴。這些于2023年生效的新規(guī)則要求上市公司在四個(gè)工作日內(nèi)報(bào)告任何重大網(wǎng)絡(luò)安全事件。

已經(jīng)有兩起針對(duì)CISO的高調(diào)案件。Uber的首席安全官Joe Sullivan被指控妨礙聯(lián)邦貿(mào)易委員會(huì)對(duì)2016年該打車(chē)公司數(shù)據(jù)泄露事件的調(diào)查，他于2023年被判有罪并判處緩刑。

同樣在2023年，SEC指控SolarWinds的CISO Timothy G. Brown犯有欺詐和內(nèi)部控制失敗罪，與2019年臭名昭著的SolarWinds泄露事件有關(guān)。最近，一家上訴法院駁回了對(duì)SolarWinds和Brown幾乎所有的指控。

但人們?nèi)匀粨?dān)心CISO將因數(shù)據(jù)泄露而承擔(dān)責(zé)任。在Proofpoint的《2024年CISO之聲》調(diào)查中，66%的全球CISO表示，他們擔(dān)心自己角色中的個(gè)人、財(cái)務(wù)和法律責(zé)任，高于2023年的62%。

你可以做什么：你無(wú)法總是阻止泄露，但你可以制定一個(gè)堅(jiān)實(shí)的事件檢測(cè)和響應(yīng)計(jì)劃。CISO可以通過(guò)多種方式保護(hù)自己免受個(gè)人責(zé)任，包括聘請(qǐng)自己的律師并游說(shuō)將自己納入公司的董事及高級(jí)職員(D&O)保險(xiǎn)政策。與董事會(huì)和高層管理人員建立開(kāi)放的溝通渠道至關(guān)重要，同樣重要的是制定一個(gè)行動(dòng)手冊(cè)，明確為遵守新法規(guī)需要披露和提交哪些文件?？紤]如何溝通以保護(hù)自己免受責(zé)任也至關(guān)重要。

技能和人才短缺不會(huì)很快消失

ISC2每年發(fā)布的網(wǎng)絡(luò)安全勞動(dòng)力研究報(bào)告中的原始數(shù)字總是令人震驚。今年，從業(yè)人員短缺數(shù)量增長(zhǎng)了19%，達(dá)到480萬(wàn)，而整體勞動(dòng)力規(guī)模仍保持在580萬(wàn)。

比人員短缺數(shù)字更令人擔(dān)憂(yōu)的是，90%的受訪(fǎng)者表示，他們的企業(yè)存在技能短缺問(wèn)題，其中三分之二(64%)的人認(rèn)為這些短缺比他們正在應(yīng)對(duì)的人員短缺更為嚴(yán)重。

ISC2的CISO Jon France表示：“這不僅僅是市場(chǎng)上可用的人數(shù)問(wèn)題。更重要的是技能培養(yǎng)，我認(rèn)為這才是關(guān)注的焦點(diǎn)——將正確的技能集引入正確的職位角色?！?/p>

根據(jù)世界經(jīng)濟(jì)論壇的《2025年全球網(wǎng)絡(luò)安全展望》，網(wǎng)絡(luò)安全技能差距擴(kuò)大了8%，三分之二的企業(yè)報(bào)告存在中度至嚴(yán)重的技能差距。

這種雙重打擊使企業(yè)更容易受到攻擊，并使企業(yè)在應(yīng)對(duì)泄露事件時(shí)準(zhǔn)備不足。

你可以做什么：這就是AI可以發(fā)揮作用的地方。企業(yè)可以利用AI來(lái)自動(dòng)化和優(yōu)化手動(dòng)流程。提升現(xiàn)有員工的技能至關(guān)重要。從企業(yè)內(nèi)部招聘也是另一種可以帶來(lái)回報(bào)的策略。

策劃攻擊的壞人可能就坐在你旁邊

這也是一個(gè)難以接受的事實(shí)，但內(nèi)部攻擊——無(wú)論是員工為謀利而竊取數(shù)據(jù)，還是心懷不滿(mǎn)的員工試圖造成傷害——正在增加。當(dāng)安全專(zhuān)業(yè)人士策劃如何領(lǐng)先網(wǎng)絡(luò)犯罪分子一步時(shí)，他們腦海中通常浮現(xiàn)的形象是來(lái)自哈薩克斯坦的人，而不是坐在隔壁隔間的人。

但根據(jù)Gurucul的一項(xiàng)調(diào)查，60%的企業(yè)在2023年報(bào)告了內(nèi)部攻擊，這一數(shù)字在2024年躍升至83%?！?025年內(nèi)部風(fēng)險(xiǎn)成本報(bào)告》顯示，內(nèi)部攻擊的成本上升至1740萬(wàn)美元，高于2023年的1620萬(wàn)美元。

你可以做什么：這也是AI可以發(fā)揮良好作用的另一個(gè)領(lǐng)域。AI和機(jī)器學(xué)習(xí)系統(tǒng)可以進(jìn)行威脅狩獵活動(dòng)，并分析人類(lèi)行為，試圖發(fā)現(xiàn)可疑活動(dòng)，以預(yù)防性地阻止內(nèi)部攻擊。

倦怠仍然是一個(gè)重大問(wèn)題

Gartner這樣總結(jié)：“不斷變化的威脅和技術(shù)環(huán)境、日益增長(zhǎng)的業(yè)務(wù)需求和監(jiān)管要求，加上普遍存在的人才短缺，正在引發(fā)一場(chǎng)完美風(fēng)暴。因此，安全行業(yè)正經(jīng)歷著一場(chǎng)心理健康危機(jī)，因?yàn)榘踩惋L(fēng)險(xiǎn)管理主管及其團(tuán)隊(duì)正承受著日益增長(zhǎng)的倦怠感?！?/p>

Gartner分析師Deepti Gopal補(bǔ)充說(shuō)：“網(wǎng)絡(luò)安全專(zhuān)業(yè)人士正面臨著不可持續(xù)的壓力水平。CISO處于防御狀態(tài)，唯一可能的結(jié)果是他們不被黑客攻擊或被黑客攻擊。這種心理影響直接影響了決策質(zhì)量和網(wǎng)絡(luò)安全主管及其團(tuán)隊(duì)的表現(xiàn)?！?/p>

這個(gè)惡性循環(huán)始于人員不足的安全部門(mén)，其中從業(yè)人員被要求以不可持續(xù)的長(zhǎng)時(shí)間工作。疲勞加劇了與工作相關(guān)的預(yù)先存在的壓力，從而導(dǎo)致倦怠。

其影響可能是災(zāi)難性的;倦怠的員工可能會(huì)跳過(guò)安裝補(bǔ)丁等常規(guī)任務(wù)，或忽略警報(bào)(警報(bào)疲勞)，從而導(dǎo)致更多泄露事件。事實(shí)上，根據(jù)Adaptivist最近的一項(xiàng)調(diào)查，39%的IT主管擔(dān)心因員工負(fù)擔(dān)過(guò)重而導(dǎo)致重大事件。

你可以做什么：專(zhuān)家建議采取多管齊下的方法，包括嘗試通過(guò)簡(jiǎn)化和精簡(jiǎn)流程來(lái)減少認(rèn)知負(fù)荷，盡可能自動(dòng)化工作，并確保提供充分和頻繁的培訓(xùn)和技能提升。

此外，人力資源部門(mén)應(yīng)參與壓力管理培訓(xùn)、韌性建設(shè)計(jì)劃、靈活的工作安排、數(shù)字排毒計(jì)劃以及其他旨在解決倦怠問(wèn)題的策略。

Gartner預(yù)測(cè)，到2027年，投資于網(wǎng)絡(luò)安全特定個(gè)人韌性計(jì)劃的CISO將看到倦怠相關(guān)的人員流失率比不投資的同行低50%。