网络安全职业之所以具有吸引力,原因有很多。安全从业人员的长期短缺意味着你总能找到工作,而紧张的人才市场也确保了高薪和优厚福利的机会。
此外,对于那些在快节奏、高压环境中茁壮成长的人来说,网络安全领域从不缺乏刺激。你正在做一件重要的事情:努力保护你的企业免受网络攻击。
然而,对于安全专业人士来说,残酷的现实也不少。以下是六个最具挑战性的问题,以及你可以采取的应对措施。
每一次技术飞跃都可能被用来对付你
IT在很大程度上是建立在快速进步的基础上的,其中一些技术飞跃可以帮助你提高保障企业安全的能力,但从安全角度来看,每一次技术飞跃都会带来新的挑战,尤其是它们将如何被用来攻击你的系统、网络和数据。
例如,GenAI可以用于增强安全运营,但同时也带来了安全挑战。此外,GenAI还使黑客能够生成更具说服力的网络钓鱼诱饵、语音冒充和深度伪造视频,并能够发起跨电子邮件、社交媒体和协作平台的多渠道攻击。
根据SoSafe的《2025年网络犯罪趋势》报告(对600名全球安全专业人士的调查),87%的安全专业人士表示,他们的企业在过去一年中遭遇过AI驱动的网络攻击。虽然91%的受访安全专家表示,他们预计未来三年AI驱动的威胁将激增,但只有26%的人对检测这些攻击的能力表示高度自信。
这还不够,量子计算正迅速到来,带来了新的安全风险。ISACA首席全球战略官Chris Dimitriadis表示:“鉴于最近的量子进展,我们可以预期量子计算将在未来几年内融入我们的日常平台和流程中。虽然这将为多个行业带来创新机遇,但也会带来重大的网络安全风险。加密技术广泛应用于所有企业、行业和领域,而量子计算有可能破解我们使用的加密协议,使简单服务变得无用。”
你可以做什么:企业需要立即开始准备。黑客已经在进行所谓的“现在窃取,日后解密”攻击,他们窃取加密数据,以便日后通过量子计算进行解密。员工需要接受AI和量子计算方面的培训。安全主管需要制定并实施政策,设置防护措施,并部署适当的工具,以确保企业为这些新型威胁做好准备。
无论你多么出色,你的企业都会成为受害者
这一点很难接受,但如果我们采用“悲伤的五个阶段”理论来看待网络安全,那么达到“接受”阶段总比停留在否认阶段要好,因为很多事情都是你无法控制的。
根据网络安全供应商Netwrix的《混合安全趋势报告》,对1309名IT和安全专业人士进行的全球调查显示,79%的企业在过去12个月内遭受过网络攻击,高于一年前的68%。
根据Ponemon研究所进行的IBM《2024年数据泄露成本报告》,被泄露的凭据(16%)和网络钓鱼(15%)是导致数据泄露的两大主要原因。因此,尽管进行了安全培训,终端用户仍然会落入网络钓鱼陷阱,仍然会让自己的凭据被盗。
一旦黑客进入你的网络,他们可以在不被发现的情况下操作数月。Ponemon表示,识别和遏制涉及被盗凭据的攻击平均需要292天,识别和解决网络钓鱼攻击平均需要261天,而解决社会工程攻击平均需要257天。
你可以做什么:Gartner建议,安全和风险管理(SRM)主管应从预防思维转向关注网络弹性,强调最小化影响和增强适应性。换句话说,采用“何时发生,而非是否发生”的心态,并接受事件是不可避免的。
泄露指责将落在你身上——后果可能包括个人责任
仿佛遭受安全泄露还不够糟糕,美国证券交易委员会(SEC)的新规则使CISO面临潜在的刑事起诉。这些于2023年生效的新规则要求上市公司在四个工作日内报告任何重大网络安全事件。
已经有两起针对CISO的高调案件。Uber的首席安全官Joe Sullivan被指控妨碍联邦贸易委员会对2016年该打车公司数据泄露事件的调查,他于2023年被判有罪并判处缓刑。
同样在2023年,SEC指控SolarWinds的CISO Timothy G. Brown犯有欺诈和内部控制失败罪,与2019年臭名昭著的SolarWinds泄露事件有关。最近,一家上诉法院驳回了对SolarWinds和Brown几乎所有的指控。
但人们仍然担心CISO将因数据泄露而承担责任。在Proofpoint的《2024年CISO之声》调查中,66%的全球CISO表示,他们担心自己角色中的个人、财务和法律责任,高于2023年的62%。
你可以做什么:你无法总是阻止泄露,但你可以制定一个坚实的事件检测和响应计划。CISO可以通过多种方式保护自己免受个人责任,包括聘请自己的律师并游说将自己纳入公司的董事及高级职员(D&O)保险政策。与董事会和高层管理人员建立开放的沟通渠道至关重要,同样重要的是制定一个行动手册,明确为遵守新法规需要披露和提交哪些文件。考虑如何沟通以保护自己免受责任也至关重要。
技能和人才短缺不会很快消失
ISC2每年发布的网络安全劳动力研究报告中的原始数字总是令人震惊。今年,从业人员短缺数量增长了19%,达到480万,而整体劳动力规模仍保持在580万。
比人员短缺数字更令人担忧的是,90%的受访者表示,他们的企业存在技能短缺问题,其中三分之二(64%)的人认为这些短缺比他们正在应对的人员短缺更为严重。
ISC2的CISO Jon France表示:“这不仅仅是市场上可用的人数问题。更重要的是技能培养,我认为这才是关注的焦点——将正确的技能集引入正确的职位角色。”
根据世界经济论坛的《2025年全球网络安全展望》,网络安全技能差距扩大了8%,三分之二的企业报告存在中度至严重的技能差距。
这种双重打击使企业更容易受到攻击,并使企业在应对泄露事件时准备不足。
你可以做什么:这就是AI可以发挥作用的地方。企业可以利用AI来自动化和优化手动流程。提升现有员工的技能至关重要。从企业内部招聘也是另一种可以带来回报的策略。
策划攻击的坏人可能就坐在你旁边
这也是一个难以接受的事实,但内部攻击——无论是员工为谋利而窃取数据,还是心怀不满的员工试图造成伤害——正在增加。当安全专业人士策划如何领先网络犯罪分子一步时,他们脑海中通常浮现的形象是来自哈萨克斯坦的人,而不是坐在隔壁隔间的人。
但根据Gurucul的一项调查,60%的企业在2023年报告了内部攻击,这一数字在2024年跃升至83%。《2025年内部风险成本报告》显示,内部攻击的成本上升至1740万美元,高于2023年的1620万美元。
你可以做什么:这也是AI可以发挥良好作用的另一个领域。AI和机器学习系统可以进行威胁狩猎活动,并分析人类行为,试图发现可疑活动,以预防性地阻止内部攻击。
倦怠仍然是一个重大问题
Gartner这样总结:“不断变化的威胁和技术环境、日益增长的业务需求和监管要求,加上普遍存在的人才短缺,正在引发一场完美风暴。因此,安全行业正经历着一场心理健康危机,因为安全和风险管理主管及其团队正承受着日益增长的倦怠感。”
Gartner分析师Deepti Gopal补充说:“网络安全专业人士正面临着不可持续的压力水平。CISO处于防御状态,唯一可能的结果是他们不被黑客攻击或被黑客攻击。这种心理影响直接影响了决策质量和网络安全主管及其团队的表现。”
这个恶性循环始于人员不足的安全部门,其中从业人员被要求以不可持续的长时间工作。疲劳加剧了与工作相关的预先存在的压力,从而导致倦怠。
其影响可能是灾难性的;倦怠的员工可能会跳过安装补丁等常规任务,或忽略警报(警报疲劳),从而导致更多泄露事件。事实上,根据Adaptivist最近的一项调查,39%的IT主管担心因员工负担过重而导致重大事件。
你可以做什么:专家建议采取多管齐下的方法,包括尝试通过简化和精简流程来减少认知负荷,尽可能自动化工作,并确保提供充分和频繁的培训和技能提升。
此外,人力资源部门应参与压力管理培训、韧性建设计划、灵活的工作安排、数字排毒计划以及其他旨在解决倦怠问题的策略。
Gartner预测,到2027年,投资于网络安全特定个人韧性计划的CISO将看到倦怠相关的人员流失率比不投资的同行低50%。
