到底是什么让网络安全从业者“夜不能寐”?

华盟君华盟君 安全资讯 6 月前
1.28W 0
华盟原创文章投稿奖励计划

Gartner最新报告显示,进入2025年下半年,企业安全负责人最担忧的是关税上涨与贸易战局势升级等问题。该机构第二季度《新兴风险报告》基于对223名风险、审计及合规高管的调研,将不断升级的贸易战列为头号新兴风险——该风险在一季度仅位列第三。


本季度风险报告追踪了企业风控负责人、内审及高管层聚焦的前瞻性风险。研究表明,全球经济不稳定性与AI技术应用深化正成为风险与安全负责人的核心挑战,这两点共同塑造了2025年行业风险格局。


Gartner风险与审计研究总监Gamika Takkar指出:“第二季度五大新兴风险揭示了两大核心主题——动荡低增长的宏观经济环境,以及全新能引发重大合规危机的颠覆性技术。”


除此之外,受访者也指出了当前安全负责人面临的多重挑战,基于其反馈及Gartner报告,本文将深入解析安全行业的核心难题。


自动草稿



经济忧虑加剧,贸易战位居风险榜首


除关税和紧张的贸易战之外,高管们指出低增长经济与消费支出疲软是关键忧虑。Gartner强调,这些宏观因素正放大供应链风险,同时推高了全球运营成本。


Takkar强调在此形势下风险与合规团队需主动行动,并指出:“安全负责人必须推动企业构建‘应对潜在供应链中断及全球运营成本上涨’的能力,尤其应警惕经济低迷期此类风险破坏性的急剧升级。”




AI风险管控难度攀升


此次报告的顶级风险中,有两项涉及到了AI。围绕AI的信息治理挑战从一季度的第五位升至了第四位;“影子AI”(即员工私用公共AI工具)首次跻身前五。Gartner 认为,此变化源于生成式AI工具的广泛普及,以及其跨业务场景应用中凸显的监管滞后性。


另一方面,在日常工作环境中,Headspace心理健康组织的CISO Jameeka Aaron 虽认可AI的潜力,但她主张审慎部署。她尤其警惕生成式AI对招聘的冲击:技术欠佳的开发者可能借助AI通过面试考核。


Aaron表示:“社会个体的真实能力不可或缺。AI能助你应对面试,却无法使你胜任实际工作——企业很快就能识破真实能力与面试表现的落差。”而类似于这样的面试问题,让本就超负荷的CISO雪上加霜。Aaron坦言道:“AI正使应聘者的真实能力更难甄别,此类能力伪装无法通过新增管控工具解决,因此就会存在误招‘面霸型’人才的风险——他们擅长利用AI辅助面试,却缺乏基础技术知识。”


Aaron强调:“社会个体必须具备实战经验和底层技术洞察力,这些恰是AI无法赋予的核心能力。”




精打细算的成本优化之道


Gartner报告还指出,成本优化是贯穿始终的主题。尽管高管层日益聚焦降本增效,但报告警示仓促或规划不足的节流措施可能引发新风险,尤其当这些措施会影响战略举措或内控体系时。


Takkar强调:“不考虑对短期及长期风险态势与战略目标影响的粗放式速效节流,终将削弱运营效率并会抵消潜在收益。”


为应对压力,Gartner 建议安全负责人通过定性评估拟议降本措施的影响:需审查重大举措延期对企业风险轮廓的动态改变,同时探索保障长期战略投资的路径。


Takkar则指出高管层需强化对内部风控的决策依赖,并透露道:“半数受访高管明确表示,其战略方向会选择依赖合规与企业风控团队提供的定性分析洞察。”


自动草稿



安全行业正面临严峻压力问题


Gartner报告还指出,安全行业存在普遍性压力问题,从基层分析师到高管层无一幸免。技术迭代速度、持续暴露的威胁及高压作业环境,导致从业者普遍缺乏心理安全空间。


Qualtrics的CISO Assaf Keren直言道:“我们面临着系统性压力隐患,而坦白承认无法应对日常工作的压力仍在被污名化。”对此,Keren警告称,沉默文化亟需改变,否则行业将耗尽精英人才、加剧技能缺口。“我们不应因工作失眠,若实在无法逃避则应该寻求援助。”


Keren呼吁将心理援助常态化——在这个容错率极低的行业,失误成本可能超乎想象。“我们应具备改善现状的资源,整个行业更应协同行动。”


此外,Keren对AI的应用前景充满期待,例如AI可处理警报分级处置等机械性任务。“自动化接管越多日常琐务,就越能释放人力专注战略思考,减少工作流程中的断裂感。”




高速发展中的安全隐忧


让Fortitude Re公司CISO Elliott Franklin夜不能寐的,不仅是威胁攻击者,更是CISO们每天都在费力应对的内部复杂性问题。“我们大多数人所管理的,都是从未设计过要协同工作的工具和平台的拼凑集合。”


Franklin犀利指出,CISO正深陷技术债泥潭:为应对合规压力、突发事件及审计要求而不断堆叠解决方案,被迫拼凑脆弱架构。其警告称:“系统脆弱性与故障率正相关。一旦失效,事故归责的矛头必然直指安全部门。”


第三方风险让情况更甚,Franklin以最近麦当劳招聘机器人泄露事件(起因是某供应商使用"123456"作为管理员密码)作为例证。“那根本不是什么尖端的国家级黑客攻击。这是大多数组织内部都会发现的基础性失误——但当问题出在合作伙伴身上时,我们的控制有限,责任却逃不掉。”


这也回到了“在追逐光鲜新工具时忽略了基础工作”的问题上。Franklin说:“这是一个绝佳例证,其说明了花哨的技术是掩盖不了基础性安全失误的。而让我夜不能寐的并非缺乏创新,而是我们正在忘记网络安全的基本原则。”


与此同时,安全团队承担着更多期待,所有人都在要求他们支持创新,不能成为业务的阻碍。“但当安全没有被纳入早期规划时,我们只能被动应对,这对谁都没有好处。我确实担心攻击者。但真正让我睡不着觉的,是内部要求在脆弱性明显的基础设施上求快,在未经验证下盲目信任第三方,以及追逐新技术却忽略了基础的安全工作。”


Franklin警告道,AI正在加剧这些挑战,且不会解决根本问题。“我支持在有意义的地方使用AI——我们正致力于运用AI来减少人工工作并提高速度。但我们必须对自己诚实:AI解决不了基础的安全问题。”


组织在识别AI应用范围上已困难重重,更遑论如何保障其安全。Franklin说:“如果你缺乏可见性,如果你的访问控制薄弱,或者根本没人查看警报,AI就只会增加另一层复杂性。更糟糕的是,它会让领导层产生一种错觉,认为我们比实际情况更安全。”




深度伪造带来巨大安全挑战


深度伪造正成为另一种安全威胁,其助长了员工身份冒充活动。随着这种由AI驱动的威胁日益精密,CISO们在预防、检测此类攻击以及保护组织方面面临着重大挑战。


深度伪造身份指的是在远程面试中利用AI冒充他人。在Aaron的组织中,他们已发现候选人与简历不符的情况,或者远程面试中某人的名字似乎与该人身份不符。鉴于许多组织都进行远程招聘面试,各方需要更加注意识别和拦截此类威胁。


Aaron表示,深度伪造是我们必须关注的问题。虽然监管滞后于技术发展,但这是安全从业者无法单独应对的挑战。“我们需要与供应商建立深度合作关系,确保我们都了解可能出现的情况,然后尽我们所能去抵御这些威胁。”




钓鱼攻击更难识别


随着生成式AI被网络犯罪分子利用,钓鱼邮件变得更为逼真,数量也在大幅增加,它赋予了攻击者完美模仿英语的能力。“现在几乎看不到语法错误百出的钓鱼邮件了。网络犯罪分子正在收集信息,并发送看起来非常逼真的钓鱼邮件。而真正让我头疼的并非AI本身,而是它的能力,比如AI模仿人际交互特征的能力。”


自动草稿



将安全重点与业务成果挂钩


Keren表示,将安全计划转化为业务价值已成为安全负责人最大的困难。“将安全重点与业务成果挂钩是一种至关重要的能力,这非常困难,但对于CISO在管理层级提供的价值和影响力而言,它正变得越来越不可或缺。”


当成功以“未发生的事情”来定义时,即没有发生泄露、漏洞减少或部署了新工具,那么衡量成功就会很困难。经验丰富的安全领导者学会了调整参照点,尤其是在市场竞争环境下的企业中。Keren表示:“我们是一个业务职能部门,能衡量我们价值的是公司股价。”


然而,由于缺乏成为业务导向型安全负责人的清晰路径,CISO有时会对最佳前进方向感到迷茫。Keren对此表示:“企业绝对有责任让CISO跟上业务节奏,理解业务,成为业务流程的一部分,从而使他们能够与业务建立有效关联。”


Keren表示建议CISO寻求有针对性的培训、教育和指导,以更好地掌握如何将安全转化为业务指标。


Agiro公司的CISO Bob Sullivan的职业生涯包括在销售和专业服务领域担任高管职务,这让他具备了强大的商业思维。他将各项指标与公司业务使命这个核心联系起来,揭示出安全风险是否在实质上对业务造成潜在损害。


例如,一份漏洞清单听起来很糟,直到他能解释哪些漏洞是低风险的,或者并非外部暴露的,因此实际威胁很小。对于那些确实会对业务构成风险的情况,Sullivan会具象化展示威胁路径,以说明漏洞利用是如何导致个人身份信息(PII)失窃的,以及一旦该信息被窃取、出售或公开会带来哪些严重后果。“如果我只说这是云环境中的一个配置问题,这对他们来说毫无意义。但如果我能将其具体呈现,我就能构建这种语境,并将其与业务场景联系起来。”


在很多方面,这是从经济或声誉损失角度来界定风险,因为这是业务存续的基石。“作为一名网络安全专业人士,你必须学会使用商业语言,否则没人会听你陈述风险。”




结语


在2025年这个技术剧变与全球经济动荡交织的时代,企业安全负责人的角色已从单纯的技术守护者演变为风险治理的核心枢纽。Gartner的最新报告揭示了这一转变的核心痛点:安全不再是孤立的技术问题,而是与业务战略、经济环境和社会因素深度绑定的系统性挑战。从贸易战升级到AI驱动的深度伪造威胁,这些新兴风险正迫使CISO们重新定义防御边界,同时平衡成本、创新与合规的三重压力。


展望未来,安全负责人的核心任务将是“平衡”:在AI赋能与基础安全之间,在短期降本与长期投资之间,更在全球风险与本地化行动之间。Gartner的建议——依赖风控团队的定性洞察——应成为企业基石。最终,成功的安全治理不仅关乎“未发生的泄露”,更在于能否将安全转化为股价的稳定与信任的累积。这需要整个生态协同:供应商、监管机构与业务领导层共同编织一张韧性之网,让CISO们从揪心走向安心





原文地址:

https://www.csoonline.com/article/4032566/6-things-keeping-cisos-up-at-night.html

https://www.helpnetsecurity.com/2025/08/04/gartner-emerging-enterprise-risk-2025/


文章来源:安在

本文来源安在,经授权后由华盟君发布,观点不代表华盟网的立场,转载请联系原作者。
华盟君官方
华盟君

5.57K篇文章 177.70M总阅读量

相关文章

发表回复