网络威胁高速演化下，网络安全已成为核心业务能力

网络风险已成为现代商业的背景噪音。数据显示，2025年第一季度，平均每个组织每周遭遇近两千次攻击，同比激增47%。这一飙升数字的背后，是两种现实同时作用的结果：一方面，攻击确实在激增，发起攻击变得前所未有的容易和廉价；另一方面，防御者也变得更善于发现过去可能被忽略的威胁。

换句话说，网络威胁问题在持续恶化，而我们也正更清醒地认识到威胁的全貌。

对于领导者而言，重要的并非是恐慌，而是认清本质。网络安全如今已成为一项核心业务职能，而不再仅仅是IT部门的专项技术。当玛莎百货这样的家喻户晓的品牌，在一次重大网络事件后利润损失高达四亿美元时，这就已经超越了“技术风险”的范畴，上升到了关乎“企业韧性”的层面。攻击者只需得手一次就能实现入侵，而防御者必须时刻保持防护体系百分之百地有效。这种持续的不对称不会消失。领导力的职责，就是在这种现实下运作：接受网络威胁不断演进的节奏，同时积极打造能够承受冲击、及时响应、持续前进的组织。

要理解为什么网络安全已成为核心业务能力，我们必须先看清威胁格局发生了什么变化。

三大力量塑造威胁格局

在全球网络风险全面抬升的背景下，每一家企业都必须看清：驱动威胁高速演化的不是单一因素，而是多重力量叠加后的结构性变化，既来自犯罪产业化、精准化的攻击手段，也源于人工智能技术的加持。

• 网络犯罪已经产业化。“犯罪即服务”模式意味着，潜在的攻击者不再需要高超的技术。攻击者可以租用恶意软件、购买盗取的凭证，并将从初始入侵到洗钱变现的全过程外包。这一模式鼓励攻击专业化与速度，同时降低了犯罪者的成本和风险。其结果是，针对各行各业持续不断的机会性攻击探测如鼓点般密集袭来。

• 针对性钓鱼攻击已转向高度定制。 攻击者更多地投入精力，使一封邮件、一条短信或一通语音电话对某个特定个体而言显得真实可信。当海量的开源数据与深度伪造语音工具、精致的模板相结合时，对于忙碌的高管或应付账款财务人员来说，鼠标“轻轻一击”显得合理自然得多。这就是为何许多数据泄露始于社会工程攻击，而非零日漏洞利用的原因。人才是攻击的主要入口。

• 人工智能加剧了攻防两端的较量。 在攻击端，生成式AI工具打破了语言障碍，完善了语法，并能大规模地个性化定制诱饵。在防御端，AI帮助我们进行警报分类、发现异常并缩短攻击驻留时间。但症结在于：犯罪分子的迭代速度极快。我们无法单凭自动化完全阻止攻击，但通过优化治理与决策流程，组织可以显著提高抵御与恢复能力。

若叠加地缘政治的不确定性，这一网络威胁图景将愈发显得暗流涌动。国家背景组织将间谍活动、破坏行动与犯罪牟利的界限日益模糊时，紧张局势蔓延至网络空间。供应链成为攻击渠道，区域危机会引发一波又一波的投机性诈骗浪潮。正因如此，企业高层关于网络安全的讨论不能脱离战略、运营或地缘政治而孤立进行。背景至关重要。

从风险认知到行动落地：有效网络安全的实现方式

在这样一个“风险常态化、攻击高频化、责任前置化”的时代，真正有效的安全策略并不是追逐最新的工具，而是确保关键业务在最坏情况下依然安全可控。换句话说，组织需要从根本上转向一种面向失败、面向韧性的工程思维，再用一套务实、可执行的措施来支撑这一思维。安全的目标从来不是阻止每一次入侵，而是阻止一次入侵演变成一次危机。

从“假设已被攻破”（assume breach）的心态出发。攻击者只需侥幸一次就可以成功侵入，业务体系就必须被设计成即便失败也能安全可控。做到这一点意味着：严格的身份管控、全面推行多因素认证、通过网络分段限制横向移动，以及经过验证、可真正恢复的备份。这些措施都不光鲜亮丽，但却至关重要。从未见过哪个遭遇入侵的组织，事后会后悔在这些基础安全措施上投入了资源。

优化设计以支持更好的人工决策。如果传统的意识培训脱离实际工作，其效果将大打折扣。应在员工实际使用的工具中，用即时提示取代通用教学模块。为高风险工作流程增加可控的阻力，例如支付变更、供应商入驻、特权访问审批等。通过简化操作，使“暂停并核实”成为一种常态。企业文化是由奖励机制和简化流程共同塑造的。

将应急响应作为团队协作进行演练。 安全事件发生时，你并非“超常发挥”，而只会“降级”到你的准备水平。开展包含法务、公关、运营、财务及高管团队在内的实战演练。预先确定何为“重大事件”、明确沟通权限与路径、规划如何在恢复期间持续服务客户。目标不是完美的剧本，而是形成肌肉记忆。

同时，严格审视企业的依赖关系。 你的风险不仅取决于自身管控措施，还取决于合作伙伴的管控水平。优先对关键供应商开展尽职调查，要求他们及时通知发生的安全事件，并建立技术和合同方面的安全保障机制。如果第三方被入侵，你能否迅速切换、隔离或以降级模式继续运营？这个问题应有清晰且经过实践检验的答案。

最后，要把网络安全转化为商业语言。企业管理层不需要每个季度都了解威胁形势；他们需要了解的是：可能的影响、应对方案和如何权衡取舍。尽可能将风险敞口量化。关联投资与可衡量的结果——例如缩短检测和恢复时间、提高创收流程的韧性、降低高危事件的发生频率，形成可衡量的安全投资回报。网络安全并非无底洞般的成本中心，而是促进增长、建立信任和实现可靠绩效的推动力。 

需要反复强调的是，攻击数量的上升并不完全意味着失败。之所以看到攻击数量增长，部分原因在于体系日趋成熟：更全面的监控、更精准的检测、更少的安全盲点。你不会因为财务团队最终发现了一直存在的问题而责备他们；你会感谢他们并着手解决最重要的问题。同样的道理也适用于此。

韧性不是技术能力，而是领导力的产物。

在风险常态化的时代，企业能否保持韧性，取决于领导者如何决策、协调和引导组织，而不仅仅是技术堆栈。  

领导者必须定下基调。如果将网络安全仅仅视为一项合规性检查，员工只会满足于最低要求。但如果将其视为一项战略能力——一项能够保护客户、维护品牌价值并确保企业在压力下正常运转的能力——就能激发员工的活力和创造力。在这个时代蓬勃发展的组织，并非那些承诺将所有攻击者拒之门外的组织，而是那些正视风险现实、将韧性融入企业运营结构、并在意外事件发生时通过有效应对赢得信任的组织。

我们无法选择威胁形势，但可以选择如何应对。

文章来源：虎符智库