此外，對于那些在快節(jié)奏、高壓環(huán)境中茁壯成長的人來說，網(wǎng)絡(luò)安全領(lǐng)域從不缺乏刺激。你正在做一件重要的事情：努力保護你的企業(yè)免受網(wǎng)絡(luò)攻擊。

然而，對于安全專業(yè)人士來說，殘酷的現(xiàn)實也不少。以下是六個最具挑戰(zhàn)性的問題，以及你可以采取的應對措施。

每一次技術(shù)飛躍都可能被用來對付你

IT在很大程度上是建立在快速進步的基礎(chǔ)上的，其中一些技術(shù)飛躍可以幫助你提高保障企業(yè)安全的能力，但從安全角度來看，每一次技術(shù)飛躍都會帶來新的挑戰(zhàn)，尤其是它們將如何被用來攻擊你的系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)。

例如，GenAI可以用于增強安全運營，但同時也帶來了安全挑戰(zhàn)。此外，GenAI還使黑客能夠生成更具說服力的網(wǎng)絡(luò)釣魚誘餌、語音冒充和深度偽造視頻，并能夠發(fā)起跨電子郵件、社交媒體和協(xié)作平臺的多渠道攻擊。

根據(jù)SoSafe的《2025年網(wǎng)絡(luò)犯罪趨勢》報告(對600名全球安全專業(yè)人士的調(diào)查)，87%的安全專業(yè)人士表示，他們的企業(yè)在過去一年中遭遇過AI驅(qū)動的網(wǎng)絡(luò)攻擊。雖然91%的受訪安全專家表示，他們預計未來三年AI驅(qū)動的威脅將激增，但只有26%的人對檢測這些攻擊的能力表示高度自信。

這還不夠，量子計算正迅速到來，帶來了新的安全風險。ISACA首席全球戰(zhàn)略官Chris Dimitriadis表示：“鑒于最近的量子進展，我們可以預期量子計算將在未來幾年內(nèi)融入我們的日常平臺和流程中。雖然這將為多個行業(yè)帶來創(chuàng)新機遇，但也會帶來重大的網(wǎng)絡(luò)安全風險。加密技術(shù)廣泛應用于所有企業(yè)、行業(yè)和領(lǐng)域，而量子計算有可能破解我們使用的加密協(xié)議，使簡單服務變得無用。”

你可以做什么：企業(yè)需要立即開始準備。黑客已經(jīng)在進行所謂的“現(xiàn)在竊取，日后解密”攻擊，他們竊取加密數(shù)據(jù)，以便日后通過量子計算進行解密。員工需要接受AI和量子計算方面的培訓。安全主管需要制定并實施政策，設(shè)置防護措施，并部署適當?shù)墓ぞ撸源_保企業(yè)為這些新型威脅做好準備。

無論你多么出色，你的企業(yè)都會成為受害者

這一點很難接受，但如果我們采用“悲傷的五個階段”理論來看待網(wǎng)絡(luò)安全，那么達到“接受”階段總比停留在否認階段要好，因為很多事情都是你無法控制的。

根據(jù)網(wǎng)絡(luò)安全供應商Netwrix的《混合安全趨勢報告》，對1309名IT和安全專業(yè)人士進行的全球調(diào)查顯示，79%的企業(yè)在過去12個月內(nèi)遭受過網(wǎng)絡(luò)攻擊，高于一年前的68%。

根據(jù)Ponemon研究所進行的IBM《2024年數(shù)據(jù)泄露成本報告》，被泄露的憑據(jù)(16%)和網(wǎng)絡(luò)釣魚(15%)是導致數(shù)據(jù)泄露的兩大主要原因。因此，盡管進行了安全培訓，終端用戶仍然會落入網(wǎng)絡(luò)釣魚陷阱，仍然會讓自己的憑據(jù)被盜。

一旦黑客進入你的網(wǎng)絡(luò)，他們可以在不被發(fā)現(xiàn)的情況下操作數(shù)月。Ponemon表示，識別和遏制涉及被盜憑據(jù)的攻擊平均需要292天，識別和解決網(wǎng)絡(luò)釣魚攻擊平均需要261天，而解決社會工程攻擊平均需要257天。

你可以做什么：Gartner建議，安全和風險管理(SRM)主管應從預防思維轉(zhuǎn)向關(guān)注網(wǎng)絡(luò)彈性，強調(diào)最小化影響和增強適應性。換句話說，采用“何時發(fā)生，而非是否發(fā)生”的心態(tài)，并接受事件是不可避免的。

泄露指責將落在你身上——后果可能包括個人責任

仿佛遭受安全泄露還不夠糟糕，美國證券交易委員會(SEC)的新規(guī)則使CISO面臨潛在的刑事起訴。這些于2023年生效的新規(guī)則要求上市公司在四個工作日內(nèi)報告任何重大網(wǎng)絡(luò)安全事件。

已經(jīng)有兩起針對CISO的高調(diào)案件。Uber的首席安全官Joe Sullivan被指控妨礙聯(lián)邦貿(mào)易委員會對2016年該打車公司數(shù)據(jù)泄露事件的調(diào)查，他于2023年被判有罪并判處緩刑。

同樣在2023年，SEC指控SolarWinds的CISO Timothy G. Brown犯有欺詐和內(nèi)部控制失敗罪，與2019年臭名昭著的SolarWinds泄露事件有關(guān)。最近，一家上訴法院駁回了對SolarWinds和Brown幾乎所有的指控。

但人們?nèi)匀粨腃ISO將因數(shù)據(jù)泄露而承擔責任。在Proofpoint的《2024年CISO之聲》調(diào)查中，66%的全球CISO表示，他們擔心自己角色中的個人、財務和法律責任，高于2023年的62%。

你可以做什么：你無法總是阻止泄露，但你可以制定一個堅實的事件檢測和響應計劃。CISO可以通過多種方式保護自己免受個人責任，包括聘請自己的律師并游說將自己納入公司的董事及高級職員(D&O)保險政策。與董事會和高層管理人員建立開放的溝通渠道至關(guān)重要，同樣重要的是制定一個行動手冊，明確為遵守新法規(guī)需要披露和提交哪些文件。考慮如何溝通以保護自己免受責任也至關(guān)重要。

技能和人才短缺不會很快消失

ISC2每年發(fā)布的網(wǎng)絡(luò)安全勞動力研究報告中的原始數(shù)字總是令人震驚。今年，從業(yè)人員短缺數(shù)量增長了19%，達到480萬，而整體勞動力規(guī)模仍保持在580萬。

比人員短缺數(shù)字更令人擔憂的是，90%的受訪者表示，他們的企業(yè)存在技能短缺問題，其中三分之二(64%)的人認為這些短缺比他們正在應對的人員短缺更為嚴重。

ISC2的CISO Jon France表示：“這不僅僅是市場上可用的人數(shù)問題。更重要的是技能培養(yǎng)，我認為這才是關(guān)注的焦點——將正確的技能集引入正確的職位角色。”

根據(jù)世界經(jīng)濟論壇的《2025年全球網(wǎng)絡(luò)安全展望》，網(wǎng)絡(luò)安全技能差距擴大了8%，三分之二的企業(yè)報告存在中度至嚴重的技能差距。

這種雙重打擊使企業(yè)更容易受到攻擊，并使企業(yè)在應對泄露事件時準備不足。

你可以做什么：這就是AI可以發(fā)揮作用的地方。企業(yè)可以利用AI來自動化和優(yōu)化手動流程。提升現(xiàn)有員工的技能至關(guān)重要。從企業(yè)內(nèi)部招聘也是另一種可以帶來回報的策略。

策劃攻擊的壞人可能就坐在你旁邊

這也是一個難以接受的事實，但內(nèi)部攻擊——無論是員工為謀利而竊取數(shù)據(jù)，還是心懷不滿的員工試圖造成傷害——正在增加。當安全專業(yè)人士策劃如何領(lǐng)先網(wǎng)絡(luò)犯罪分子一步時，他們腦海中通常浮現(xiàn)的形象是來自哈薩克斯坦的人，而不是坐在隔壁隔間的人。

但根據(jù)Gurucul的一項調(diào)查，60%的企業(yè)在2023年報告了內(nèi)部攻擊，這一數(shù)字在2024年躍升至83%。《2025年內(nèi)部風險成本報告》顯示，內(nèi)部攻擊的成本上升至1740萬美元，高于2023年的1620萬美元。

你可以做什么：這也是AI可以發(fā)揮良好作用的另一個領(lǐng)域。AI和機器學習系統(tǒng)可以進行威脅狩獵活動，并分析人類行為，試圖發(fā)現(xiàn)可疑活動，以預防性地阻止內(nèi)部攻擊。

倦怠仍然是一個重大問題

Gartner這樣總結(jié)：“不斷變化的威脅和技術(shù)環(huán)境、日益增長的業(yè)務需求和監(jiān)管要求，加上普遍存在的人才短缺，正在引發(fā)一場完美風暴。因此，安全行業(yè)正經(jīng)歷著一場心理健康危機，因為安全和風險管理主管及其團隊正承受著日益增長的倦怠感。”

Gartner分析師Deepti Gopal補充說：“網(wǎng)絡(luò)安全專業(yè)人士正面臨著不可持續(xù)的壓力水平。CISO處于防御狀態(tài)，唯一可能的結(jié)果是他們不被黑客攻擊或被黑客攻擊。這種心理影響直接影響了決策質(zhì)量和網(wǎng)絡(luò)安全主管及其團隊的表現(xiàn)。”

這個惡性循環(huán)始于人員不足的安全部門，其中從業(yè)人員被要求以不可持續(xù)的長時間工作。疲勞加劇了與工作相關(guān)的預先存在的壓力，從而導致倦怠。

其影響可能是災難性的;倦怠的員工可能會跳過安裝補丁等常規(guī)任務，或忽略警報(警報疲勞)，從而導致更多泄露事件。事實上，根據(jù)Adaptivist最近的一項調(diào)查，39%的IT主管擔心因員工負擔過重而導致重大事件。

你可以做什么：專家建議采取多管齊下的方法，包括嘗試通過簡化和精簡流程來減少認知負荷，盡可能自動化工作，并確保提供充分和頻繁的培訓和技能提升。

此外，人力資源部門應參與壓力管理培訓、韌性建設(shè)計劃、靈活的工作安排、數(shù)字排毒計劃以及其他旨在解決倦怠問題的策略。

Gartner預測，到2027年，投資于網(wǎng)絡(luò)安全特定個人韌性計劃的CISO將看到倦怠相關(guān)的人員流失率比不投資的同行低50%。