网络安全领域日益复杂的攻击、不可避免的违规事件、以及无休止的工作量——从事网络安全工作意味着要接受这些艰难的现实,并无论如何都要勇往直前。
网络安全职业之所以具有吸引力,原因有很多。网络安全从业人员的持续短缺意味着你总能找到一份工作,而紧张的人才市场也确保了高薪和优厚的福利待遇。
此外,对于那些在快节奏、高压力环境中茁壮成长的人来说,网络安全领域无疑永远不会乏味。而且,你正在做一件重要的事情——努力保护你的组织免受网络攻击。
然而,对于安全专业人员来说,残酷的现实也不少。以下是六个最具挑战性的现实,以及你可以采取的缓解和应对措施。
信息技术在很大程度上是建立在快速进步的基础之上的。其中一些技术飞跃有助于提高你保护企业的能力。但从安全角度来看,每一项技术飞跃都带来了新的挑战,尤其是它们将如何被用来攻击你的系统、网络和数据。
例如,生成式人工智能(Gen AI)可以用来增强安全运营,但事实证明,它也是一项安全挑战。此外,Gen AI使黑客能够生成更具说服力的网络钓鱼诱饵、语音冒充和深度伪造视频,并发起横跨电子邮件、社交媒体和协作平台的多渠道攻击。
根据SoSafe的《2025年网络犯罪趋势》调查(对600名全球安全专业人员进行的调查),87%的安全专业人员报告说,他们的组织在过去一年中遭遇了人工智能驱动的网络攻击。虽然91%的受访安全专家表示,他们预计未来三年人工智能驱动的威胁将激增,但只有26%的人对自己检测这些攻击的能力表示高度自信。
这还不算完,量子计算正迅速到来,带来了新的安全风险。
ISACA首席全球战略官Chris Dimitriadis表示:“鉴于最近的量子进展,我们可以预期在未来几年内,量子计算将出现在我们的日常平台和流程中。虽然这将在多个行业中为创新带来巨大机遇,但也会引发重大的网络安全风险。加密技术在所有企业、行业和领域都存在,而量子计算有可能破解我们使用的加密协议,使简单服务变得无用。”
组织现在就需要开始准备。黑客已经在进行所谓的“现在窃取,日后解密”攻击,即窃取加密数据以便日后通过量子计算进行解密。需要对员工进行人工智能和量子计算方面的培训。安全主管需要制定并实施政策,设立保护措施,并部署适当的工具,以确保组织为这些新型威胁做好准备。
这一点很难接受,但如果我们从网络安全的“五个悲伤阶段”来看,最好还是达到“接受”阶段,而不是一直否认,因为很多事情根本不在你的控制范围内。
根据网络安全供应商Netwrix的《混合安全趋势报告》,对1,309名IT和安全专业人员进行的一项全球调查发现,79%的组织在过去12个月内遭受了网络攻击,而一年前这一比例为68%。
根据Ponemon Institute为IBM年度《数据泄露成本报告》进行的2024年版调查,泄露的凭证(16%)和网络钓鱼(15%)是数据泄露的两大主要原因。
因此,尽管进行了安全培训,但最终用户仍然会落入网络钓鱼攻击的陷阱,并仍然允许其凭证被盗。
一旦黑客进入你的网络,他们可以在你不知道的情况下操作数月。
Ponemon表示,识别并遏制涉及被盗凭证的违规行为平均需要292天,识别并解决网络钓鱼攻击需要261天,识别并解决社会工程攻击需要257天。
Gartner建议,安全与风险管理(SRM)主管应从预防心态转向关注网络弹性,即强调最小化影响和增强适应性。换句话说,采用“何时发生,而非是否会发生”的心态,并接受事件是不可避免的。
违规事件的指责将落在你身上,
后果可能包括个人责任
如果遭遇安全违规事件还不够糟糕的话,那么美国证券交易委员会(SEC)的新规则将使首席信息安全官(CISO)成为潜在刑事起诉的目标。这些新规则于2023年生效,要求上市公司在四个工作日内报告任何重大网络安全事件。
已经有两起针对CISO的高调案件。优步(Uber)首席安全官Joe Sullivan被指控阻碍联邦贸易委员会(FTC)对2016年发生在该网约车公司的数据泄露事件的调查。他被判有罪,并于2023年被判处缓刑。
同样在2023年,SEC指控SolarWinds首席信息安全官Timothy G. Brown涉嫌欺诈和内部控制失败,与2019年臭名昭著的SolarWinds违规事件有关。最近,上诉法院驳回了对SolarWinds和Brown的几乎所有指控。
但人们仍然担心CISO将为数据泄露事件承担责任。在Proofpoint的《2024年CISO之声》调查中,66%的全球CISO表示,他们担心自己在职务中的个人、财务和法律责任,这一比例高于2023年的62%。
1、虽然你不能总是阻止违规事件的发生,但你可以制定一个健全的事件检测和响应计划。
2、CISO可以采取一些措施来保护自己免受个人责任的影响,包括聘请自己的律师,并争取将自己纳入公司的董事与高级管理人员(D&O)保险政策中。
3、与董事会和高层建立开放的沟通渠道至关重要,同时还需要制定一份计划书,详细列出为遵守新规定而需要进行哪些类型的披露和备案。
4、考虑如何沟通以保护自己免受责任影响也至关重要。
当ISC2公布其年度网络安全劳动力研究报告时,原始数据总是令人震惊。今年,劳动力短缺人数增长了19%,达到480万,而整体劳动力规模仍保持在580万不变。
比人员短缺数字更令人担忧的是,90%的受访者表示,他们的组织存在技能短缺问题,其中三分之二(64%)的人认为这些技能短缺比他们正在处理的人员短缺问题更为严重。
ISC2的CISO Jon France表示:“这不仅仅是市场上可用人员的问题。而是技能的问题,我认为这正是我们需要关注的焦点——将正确的技能集引入正确的岗位角色中。”
根据世界经济论坛的《2025年全球网络安全展望》,网络安全技能缺口扩大了8%,三分之二的组织报告存在中度到严重的技能缺口。
这种双重打击使组织更容易受到攻击,并降低了组织应对违规事件的能力。
这就是人工智能可以发挥作用的地方。组织可以利用人工智能来自动化和优化手动流程。对现有员工进行技能提升至关重要。此外,从组织内部招募人才也是一种可以带来回报的策略。
这一点也很难接受,但内部攻击——无论是员工窃取数据以出售获利,还是心怀不满的员工试图造成损害——都在增加。
当安全专业人员策划如何领先网络犯罪分子一步时,他们脑海中通常浮现的形象是来自哈萨克斯坦的某人,而不是隔壁办公室的某人。
但根据Gurucul的一项调查,60%的组织在2023年报告了内部攻击,这一数字在2024年跃升至83%。
《2025年Ponemon内部风险成本报告》显示,内部攻击的成本上升至1740万美元,高于2023年的1620万美元。
这也是人工智能可以发挥作用的一个领域。人工智能和机器学习系统可以进行威胁狩猎活动,并分析人类行为,以尝试发现可疑活动,从而预先防止内部攻击。
Gartner这样总结道:“不断变化的威胁和技术格局、日益增长的商业需求以及监管要求,再加上普遍存在的人才短缺,正在引发一场完美的风暴。因此,随着安全与风险管理主管及其团队面临越来越大的压力,网络安全行业正经历着一场心理健康危机。”
Gartner分析师Deepti Gopal补充道:“网络安全专业人员正面临着不可持续的压力水平。CISO处于防御状态,唯一可能的结果是他们没有被黑客攻击或他们被黑客攻击了。这种心理影响直接影响了决策质量和网络安全主管及其团队的绩效。”
这一恶性循环始于人员配备不足的安全部门,其中从业人员被要求工作超长时间。疲劳加剧了与工作相关的压力,从而导致倦怠。
其影响可能是灾难性的;倦怠的员工可能会跳过安装补丁等常规任务,或忽略警报(警报疲劳),从而导致更多违规事件。事实上,根据Adaptivist最近的一项调查,39%的IT领导者担心因员工负担过重而发生重大事件。
专家建议采取一种多管齐下的方法,包括通过简化和精简流程来减少认知负担,尽可能自动化工作,并确保提供充分和频繁的培训与技能提升。
此外,人力资源部门应参与压力管理培训、韧性建设计划、灵活的工作安排、数字排毒计划以及其他旨在解决倦怠问题的策略。Gartner预测,到2027年,投资于网络安全特定个人韧性计划的CISO将比未投资的同行减少50%的倦怠相关人员流失。
浙公网安备 33010502006954号 
