Living Security，全球人类风险管理（HRM）领导者，今日发布了由顶尖研究机构 Cyentia Institute 独立完成的《2025年人类网络风险现状报告》（2025 State of Human Cyber Risk Report）。该报告首次深入揭示了组织内部的行为性风险，并指出，相较于传统方法，战略性HRM计划可将风险降低速度提升60%。

研究基于来自100多家企业和数亿条用户行为事件的数据，首次绘制出网络风险在员工群体中真实存在的数据驱动图谱，并展示了领先企业是如何逐步缩小这一风险的。报告证实了一个长期猜测但鲜有数据支持的事实：

仅10%的员工承担了73%的高风险行为。

研究结果表明：保护企业安全的关键，不只是管理系统，更是管理人。

Living Security 首席执行官兼联合创始人 Ashley Rose 表示：

“安全团队始终知道‘人为因素’在安全漏洞中至关重要，但他们缺乏针对它的可视性。  迄今为止，大多数洞察依赖于零散线索，例如钓鱼邮件点击率等狭隘指标。  这份报告则改变了这一点：它提供了确凿的数据，准确指出风险存在的位置，并展示了什么方法真正有效。”

🔍 报告关键发现：

• 人类风险是高度集中的，而非普遍存在的：  仅10%的员工就占据了企业中近73%的高风险行为。

• 风险可视性极度匮乏：  仅依赖“安全意识培训”（SAT）的组织最多只能识别12%的高风险行为；  而采用成熟HRM方案的企业识别能力是其5倍。

• 风险认知存在偏差：  与普遍观念相反，远程和兼职员工的风险低于办公室常驻员工。

• HRM确实有效：  使用 Living Security 的“Unify平台”的企业将其高风险用户数量减少了50%，并将高风险行为的持续时间缩短了60%。

🎯 从“意识”到“行动”：让人类风险变得可衡量

不同于聚焦外部攻击或合规审查的传统报告，《2025人类网络风险现状报告》专注于组织内部的行为性风险，以及在适当干预下这些行为如何改变。

报告内容包括：

• 对人类风险的详细分类，涵盖行为、事件与属性；

• 不同行业、岗位、访问权限层级中的风险分布；

• 基于行为一致性的“人格模型洞察”；

• 基于行为触发的干预行动计划，明确证明这些措施可以显著降低组织整体风险暴露。

🛎 给网络安全领导者的提醒：

在预算日益紧缩、威胁不断演化的当下，形势已经非常明确：

网络安全已无法再仅依赖“意识教育”。

领导者必须：

• 优先获取员工行为风险的可视性；

• 实施有针对性的行动干预；

• 推动ROI驱动的安全成果。

Ashley Rose 补充道：

“网络安全不再只是技术问题，而是行为问题。  如果我们不了解谁是我们最具风险的用户、他们为何高风险、以及如何帮助他们改进，  那我们只是在追赶问题的表象，而非解决根源。”

🔭 展望未来

这些发现发布之际，恰逢AI代理与数字员工逐渐进入企业环境，企业的攻击面也在迅速扩展。

作为人类风险管理领域的先驱，Living Security 对此趋势有着清晰判断：

未来的网络韧性不仅仅是管理人类风险，更是管理行为风险——无论其来源是人类，还是AI。

这份报告不仅展示了在人类行为方面取得的可衡量进展，也预示了未来的方向：  一个企业将同时对“人”与“代理智能体”实现可见性、统一标准与问责机制的新时代。

* 本文为闫志坤编译，原文地址：https://www.csoonline.com/article/4026203/new-report-reveals-just-10-of-employees-drive-73-of-cyber-risk-2.html
注：图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。

344名白帽子，近一年共提交1469个有效漏洞报告，斩获1.22亿元奖金，平均每人可领取约35.5万元，平均每个漏洞约8.3万元。

过去一年，微软通过其漏洞赏金计划，向来自59个国家的344名安全研究人员支付了创纪录的1700万美元（约合人民币1.22亿元）赏金。

从2024年7月至2025年6月，这些研究人员共提交了1469份符合条件的漏洞报告，其中单笔最高赏金高达20万美元（约合人民币143.6万元）。

这些报告帮助微软修复了多个产品和平台中超过1000个潜在安全漏洞，涉及Azure、Microsoft 365、Dynamics 365、Power Platform、Windows、Edge和Xbox等。

微软在其年度漏洞赏金计划回顾中表示：“通过激励独立研究人员在高影响力领域，特别是迅速发展的AI领域中发现漏洞，我们得以领先应对新兴威胁。”

微软指出：“借助协调漏洞披露，这些研究人员在增强全球数百万用户对微软技术的信任方面发挥了关键作用。”

在前一个统计年度，微软也曾向来自55个国家的343名安全研究人员支付了总额为1660万美元的漏洞赏金。

漏洞赏金计划更新

今年，微软进一步扩展了多个漏洞赏金计划，涵盖Copilot AI、Defender产品及多种身份管理系统。

例如，Copilot漏洞赏金计划如今已纳入传统在线服务漏洞类别；Dynamics 365与Power Platform赏金计划则新增了针对AI漏洞的新类别；而Windows赏金计划则引入了对远程拒绝服务攻击和本地沙盒逃逸场景的奖励。

此外，身份管理相关的赏金计划现已覆盖更多API与域名；Defender赏金计划则扩展至Microsoft Defender for Identity（MDI）、Microsoft Defender for Office（MDO）及Microsoft Defender for Cloud Applications（MDA）。

近期，微软宣布提高对中等严重程度的Microsoft Copilot（AI）漏洞的赏金额度，其中部分.NET与ASP.NET Core漏洞的奖金上调至4万美元，Power Platform与Dynamics 365中的AI漏洞赏金额度也有所提高。

上周一，微软还宣布将在今年的“零日任务”（Zero Day Quest）黑客竞赛中提供最高达500万美元的漏洞赏金，并称其为“有史以来规模最大的黑客赛事”。

参考资料：bleepingcomputer.com

文章来源：数世咨询、安全内参