網(wǎng)絡(luò)安全職業(yè)之所以具有吸引力,原因有很多。安全從業(yè)人員的長(zhǎng)期短缺意味著你總能找到工作,而緊張的人才市場(chǎng)也確保了高薪和優(yōu)厚福利的機(jī)會(huì)。
此外,對(duì)于那些在快節(jié)奏、高壓環(huán)境中茁壯成長(zhǎng)的人來(lái)說(shuō),網(wǎng)絡(luò)安全領(lǐng)域從不缺乏刺激。你正在做一件重要的事情:努力保護(hù)你的企業(yè)免受網(wǎng)絡(luò)攻擊。
然而,對(duì)于安全專(zhuān)業(yè)人士來(lái)說(shuō),殘酷的現(xiàn)實(shí)也不少。以下是六個(gè)最具挑戰(zhàn)性的問(wèn)題,以及你可以采取的應(yīng)對(duì)措施。
每一次技術(shù)飛躍都可能被用來(lái)對(duì)付你
IT在很大程度上是建立在快速進(jìn)步的基礎(chǔ)上的,其中一些技術(shù)飛躍可以幫助你提高保障企業(yè)安全的能力,但從安全角度來(lái)看,每一次技術(shù)飛躍都會(huì)帶來(lái)新的挑戰(zhàn),尤其是它們將如何被用來(lái)攻擊你的系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)。
例如,GenAI可以用于增強(qiáng)安全運(yùn)營(yíng),但同時(shí)也帶來(lái)了安全挑戰(zhàn)。此外,GenAI還使黑客能夠生成更具說(shuō)服力的網(wǎng)絡(luò)釣魚(yú)誘餌、語(yǔ)音冒充和深度偽造視頻,并能夠發(fā)起跨電子郵件、社交媒體和協(xié)作平臺(tái)的多渠道攻擊。
根據(jù)SoSafe的《2025年網(wǎng)絡(luò)犯罪趨勢(shì)》報(bào)告(對(duì)600名全球安全專(zhuān)業(yè)人士的調(diào)查),87%的安全專(zhuān)業(yè)人士表示,他們的企業(yè)在過(guò)去一年中遭遇過(guò)AI驅(qū)動(dòng)的網(wǎng)絡(luò)攻擊。雖然91%的受訪安全專(zhuān)家表示,他們預(yù)計(jì)未來(lái)三年AI驅(qū)動(dòng)的威脅將激增,但只有26%的人對(duì)檢測(cè)這些攻擊的能力表示高度自信。
這還不夠,量子計(jì)算正迅速到來(lái),帶來(lái)了新的安全風(fēng)險(xiǎn)。ISACA首席全球戰(zhàn)略官Chris Dimitriadis表示:“鑒于最近的量子進(jìn)展,我們可以預(yù)期量子計(jì)算將在未來(lái)幾年內(nèi)融入我們的日常平臺(tái)和流程中。雖然這將為多個(gè)行業(yè)帶來(lái)創(chuàng)新機(jī)遇,但也會(huì)帶來(lái)重大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。加密技術(shù)廣泛應(yīng)用于所有企業(yè)、行業(yè)和領(lǐng)域,而量子計(jì)算有可能破解我們使用的加密協(xié)議,使簡(jiǎn)單服務(wù)變得無(wú)用。”
你可以做什么:企業(yè)需要立即開(kāi)始準(zhǔn)備。黑客已經(jīng)在進(jìn)行所謂的“現(xiàn)在竊取,日后解密”攻擊,他們竊取加密數(shù)據(jù),以便日后通過(guò)量子計(jì)算進(jìn)行解密。員工需要接受AI和量子計(jì)算方面的培訓(xùn)。安全主管需要制定并實(shí)施政策,設(shè)置防護(hù)措施,并部署適當(dāng)?shù)墓ぞ撸源_保企業(yè)為這些新型威脅做好準(zhǔn)備。
無(wú)論你多么出色,你的企業(yè)都會(huì)成為受害者
這一點(diǎn)很難接受,但如果我們采用“悲傷的五個(gè)階段”理論來(lái)看待網(wǎng)絡(luò)安全,那么達(dá)到“接受”階段總比停留在否認(rèn)階段要好,因?yàn)楹芏嗍虑槎际悄銦o(wú)法控制的。
根據(jù)網(wǎng)絡(luò)安全供應(yīng)商N(yùn)etwrix的《混合安全趨勢(shì)報(bào)告》,對(duì)1309名IT和安全專(zhuān)業(yè)人士進(jìn)行的全球調(diào)查顯示,79%的企業(yè)在過(guò)去12個(gè)月內(nèi)遭受過(guò)網(wǎng)絡(luò)攻擊,高于一年前的68%。
根據(jù)Ponemon研究所進(jìn)行的IBM《2024年數(shù)據(jù)泄露成本報(bào)告》,被泄露的憑據(jù)(16%)和網(wǎng)絡(luò)釣魚(yú)(15%)是導(dǎo)致數(shù)據(jù)泄露的兩大主要原因。因此,盡管進(jìn)行了安全培訓(xùn),終端用戶(hù)仍然會(huì)落入網(wǎng)絡(luò)釣魚(yú)陷阱,仍然會(huì)讓自己的憑據(jù)被盜。
一旦黑客進(jìn)入你的網(wǎng)絡(luò),他們可以在不被發(fā)現(xiàn)的情況下操作數(shù)月。Ponemon表示,識(shí)別和遏制涉及被盜憑據(jù)的攻擊平均需要292天,識(shí)別和解決網(wǎng)絡(luò)釣魚(yú)攻擊平均需要261天,而解決社會(huì)工程攻擊平均需要257天。
你可以做什么:Gartner建議,安全和風(fēng)險(xiǎn)管理(SRM)主管應(yīng)從預(yù)防思維轉(zhuǎn)向關(guān)注網(wǎng)絡(luò)彈性,強(qiáng)調(diào)最小化影響和增強(qiáng)適應(yīng)性。換句話(huà)說(shuō),采用“何時(shí)發(fā)生,而非是否發(fā)生”的心態(tài),并接受事件是不可避免的。
泄露指責(zé)將落在你身上——后果可能包括個(gè)人責(zé)任
仿佛遭受安全泄露還不夠糟糕,美國(guó)證券交易委員會(huì)(SEC)的新規(guī)則使CISO面臨潛在的刑事起訴。這些于2023年生效的新規(guī)則要求上市公司在四個(gè)工作日內(nèi)報(bào)告任何重大網(wǎng)絡(luò)安全事件。
已經(jīng)有兩起針對(duì)CISO的高調(diào)案件。Uber的首席安全官Joe Sullivan被指控妨礙聯(lián)邦貿(mào)易委員會(huì)對(duì)2016年該打車(chē)公司數(shù)據(jù)泄露事件的調(diào)查,他于2023年被判有罪并判處緩刑。
同樣在2023年,SEC指控SolarWinds的CISO Timothy G. Brown犯有欺詐和內(nèi)部控制失敗罪,與2019年臭名昭著的SolarWinds泄露事件有關(guān)。最近,一家上訴法院駁回了對(duì)SolarWinds和Brown幾乎所有的指控。
但人們?nèi)匀粨?dān)心CISO將因數(shù)據(jù)泄露而承擔(dān)責(zé)任。在Proofpoint的《2024年CISO之聲》調(diào)查中,66%的全球CISO表示,他們擔(dān)心自己角色中的個(gè)人、財(cái)務(wù)和法律責(zé)任,高于2023年的62%。
你可以做什么:你無(wú)法總是阻止泄露,但你可以制定一個(gè)堅(jiān)實(shí)的事件檢測(cè)和響應(yīng)計(jì)劃。CISO可以通過(guò)多種方式保護(hù)自己免受個(gè)人責(zé)任,包括聘請(qǐng)自己的律師并游說(shuō)將自己納入公司的董事及高級(jí)職員(D&O)保險(xiǎn)政策。與董事會(huì)和高層管理人員建立開(kāi)放的溝通渠道至關(guān)重要,同樣重要的是制定一個(gè)行動(dòng)手冊(cè),明確為遵守新法規(guī)需要披露和提交哪些文件。考慮如何溝通以保護(hù)自己免受責(zé)任也至關(guān)重要。
技能和人才短缺不會(huì)很快消失
ISC2每年發(fā)布的網(wǎng)絡(luò)安全勞動(dòng)力研究報(bào)告中的原始數(shù)字總是令人震驚。今年,從業(yè)人員短缺數(shù)量增長(zhǎng)了19%,達(dá)到480萬(wàn),而整體勞動(dòng)力規(guī)模仍保持在580萬(wàn)。
比人員短缺數(shù)字更令人擔(dān)憂(yōu)的是,90%的受訪者表示,他們的企業(yè)存在技能短缺問(wèn)題,其中三分之二(64%)的人認(rèn)為這些短缺比他們正在應(yīng)對(duì)的人員短缺更為嚴(yán)重。
ISC2的CISO Jon France表示:“這不僅僅是市場(chǎng)上可用的人數(shù)問(wèn)題。更重要的是技能培養(yǎng),我認(rèn)為這才是關(guān)注的焦點(diǎn)——將正確的技能集引入正確的職位角色。”
根據(jù)世界經(jīng)濟(jì)論壇的《2025年全球網(wǎng)絡(luò)安全展望》,網(wǎng)絡(luò)安全技能差距擴(kuò)大了8%,三分之二的企業(yè)報(bào)告存在中度至嚴(yán)重的技能差距。
這種雙重打擊使企業(yè)更容易受到攻擊,并使企業(yè)在應(yīng)對(duì)泄露事件時(shí)準(zhǔn)備不足。
你可以做什么:這就是AI可以發(fā)揮作用的地方。企業(yè)可以利用AI來(lái)自動(dòng)化和優(yōu)化手動(dòng)流程。提升現(xiàn)有員工的技能至關(guān)重要。從企業(yè)內(nèi)部招聘也是另一種可以帶來(lái)回報(bào)的策略。
策劃攻擊的壞人可能就坐在你旁邊
這也是一個(gè)難以接受的事實(shí),但內(nèi)部攻擊——無(wú)論是員工為謀利而竊取數(shù)據(jù),還是心懷不滿(mǎn)的員工試圖造成傷害——正在增加。當(dāng)安全專(zhuān)業(yè)人士策劃如何領(lǐng)先網(wǎng)絡(luò)犯罪分子一步時(shí),他們腦海中通常浮現(xiàn)的形象是來(lái)自哈薩克斯坦的人,而不是坐在隔壁隔間的人。
但根據(jù)Gurucul的一項(xiàng)調(diào)查,60%的企業(yè)在2023年報(bào)告了內(nèi)部攻擊,這一數(shù)字在2024年躍升至83%。《2025年內(nèi)部風(fēng)險(xiǎn)成本報(bào)告》顯示,內(nèi)部攻擊的成本上升至1740萬(wàn)美元,高于2023年的1620萬(wàn)美元。
你可以做什么:這也是AI可以發(fā)揮良好作用的另一個(gè)領(lǐng)域。AI和機(jī)器學(xué)習(xí)系統(tǒng)可以進(jìn)行威脅狩獵活動(dòng),并分析人類(lèi)行為,試圖發(fā)現(xiàn)可疑活動(dòng),以預(yù)防性地阻止內(nèi)部攻擊。
倦怠仍然是一個(gè)重大問(wèn)題
Gartner這樣總結(jié):“不斷變化的威脅和技術(shù)環(huán)境、日益增長(zhǎng)的業(yè)務(wù)需求和監(jiān)管要求,加上普遍存在的人才短缺,正在引發(fā)一場(chǎng)完美風(fēng)暴。因此,安全行業(yè)正經(jīng)歷著一場(chǎng)心理健康危機(jī),因?yàn)榘踩惋L(fēng)險(xiǎn)管理主管及其團(tuán)隊(duì)正承受著日益增長(zhǎng)的倦怠感。”
Gartner分析師Deepti Gopal補(bǔ)充說(shuō):“網(wǎng)絡(luò)安全專(zhuān)業(yè)人士正面臨著不可持續(xù)的壓力水平。CISO處于防御狀態(tài),唯一可能的結(jié)果是他們不被黑客攻擊或被黑客攻擊。這種心理影響直接影響了決策質(zhì)量和網(wǎng)絡(luò)安全主管及其團(tuán)隊(duì)的表現(xiàn)。”
這個(gè)惡性循環(huán)始于人員不足的安全部門(mén),其中從業(yè)人員被要求以不可持續(xù)的長(zhǎng)時(shí)間工作。疲勞加劇了與工作相關(guān)的預(yù)先存在的壓力,從而導(dǎo)致倦怠。
其影響可能是災(zāi)難性的;倦怠的員工可能會(huì)跳過(guò)安裝補(bǔ)丁等常規(guī)任務(wù),或忽略警報(bào)(警報(bào)疲勞),從而導(dǎo)致更多泄露事件。事實(shí)上,根據(jù)Adaptivist最近的一項(xiàng)調(diào)查,39%的IT主管擔(dān)心因員工負(fù)擔(dān)過(guò)重而導(dǎo)致重大事件。
你可以做什么:專(zhuān)家建議采取多管齊下的方法,包括嘗試通過(guò)簡(jiǎn)化和精簡(jiǎn)流程來(lái)減少認(rèn)知負(fù)荷,盡可能自動(dòng)化工作,并確保提供充分和頻繁的培訓(xùn)和技能提升。
此外,人力資源部門(mén)應(yīng)參與壓力管理培訓(xùn)、韌性建設(shè)計(jì)劃、靈活的工作安排、數(shù)字排毒計(jì)劃以及其他旨在解決倦怠問(wèn)題的策略。
Gartner預(yù)測(cè),到2027年,投資于網(wǎng)絡(luò)安全特定個(gè)人韌性計(jì)劃的CISO將看到倦怠相關(guān)的人員流失率比不投資的同行低50%。
