網(wǎng)絡(luò)安全職業(yè)之所以具有吸引力，原因有很多。安全從業(yè)人員的長期短缺意味著你總能找到工作，而緊張的人才市場也確保了高薪和優(yōu)厚福利的機(jī)會(huì)。

　　此外，對于那些在快節(jié)奏、高壓環(huán)境中茁壯成長的人來說，網(wǎng)絡(luò)安全領(lǐng)域從不缺乏刺激。你正在做一件重要的事情：努力保護(hù)你的企業(yè)免受網(wǎng)絡(luò)攻擊。

　　然而，對于安全專業(yè)人士來說，殘酷的現(xiàn)實(shí)也不少。以下是六個(gè)最具挑戰(zhàn)性的問題，以及你可以采取的應(yīng)對措施。

　　每一次技術(shù)飛躍都可能被用來對付你

　　IT在很大程度上是建立在快速進(jìn)步的基礎(chǔ)上的，其中一些技術(shù)飛躍可以幫助你提高保障企業(yè)安全的能力，但從安全角度來看，每一次技術(shù)飛躍都會(huì)帶來新的挑戰(zhàn)，尤其是它們將如何被用來攻擊你的系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)。

　　例如，GenAI可以用于增強(qiáng)安全運(yùn)營，但同時(shí)也帶來了安全挑戰(zhàn)。此外，GenAI還使黑客能夠生成更具說服力的網(wǎng)絡(luò)釣魚誘餌、語音冒充和深度偽造視頻，并能夠發(fā)起跨電子郵件、社交媒體和協(xié)作平臺(tái)的多渠道攻擊。

　　根據(jù)SoSafe的《2025年網(wǎng)絡(luò)犯罪趨勢》報(bào)告(對600名全球安全專業(yè)人士的調(diào)查)，87%的安全專業(yè)人士表示，他們的企業(yè)在過去一年中遭遇過AI驅(qū)動(dòng)的網(wǎng)絡(luò)攻擊。雖然91%的受訪安全專家表示，他們預(yù)計(jì)未來三年AI驅(qū)動(dòng)的威脅將激增，但只有26%的人對檢測這些攻擊的能力表示高度自信。

　　這還不夠，量子計(jì)算正迅速到來，帶來了新的安全風(fēng)險(xiǎn)。ISACA首席全球戰(zhàn)略官Chris Dimitriadis表示：“鑒于最近的量子進(jìn)展，我們可以預(yù)期量子計(jì)算將在未來幾年內(nèi)融入我們的日常平臺(tái)和流程中。雖然這將為多個(gè)行業(yè)帶來創(chuàng)新機(jī)遇，但也會(huì)帶來重大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。加密技術(shù)廣泛應(yīng)用于所有企業(yè)、行業(yè)和領(lǐng)域，而量子計(jì)算有可能破解我們使用的加密協(xié)議，使簡單服務(wù)變得無用。”

　　你可以做什么：企業(yè)需要立即開始準(zhǔn)備。黑客已經(jīng)在進(jìn)行所謂的“現(xiàn)在竊取，日后解密”攻擊，他們竊取加密數(shù)據(jù)，以便日后通過量子計(jì)算進(jìn)行解密。員工需要接受AI和量子計(jì)算方面的培訓(xùn)。安全主管需要制定并實(shí)施政策，設(shè)置防護(hù)措施，并部署適當(dāng)?shù)墓ぞ撸源_保企業(yè)為這些新型威脅做好準(zhǔn)備。

　　無論你多么出色，你的企業(yè)都會(huì)成為受害者

　　這一點(diǎn)很難接受，但如果我們采用“悲傷的五個(gè)階段”理論來看待網(wǎng)絡(luò)安全，那么達(dá)到“接受”階段總比停留在否認(rèn)階段要好，因?yàn)楹芏嗍虑槎际悄銦o法控制的。

　　根據(jù)網(wǎng)絡(luò)安全供應(yīng)商N(yùn)etwrix的《混合安全趨勢報(bào)告》，對1309名IT和安全專業(yè)人士進(jìn)行的全球調(diào)查顯示，79%的企業(yè)在過去12個(gè)月內(nèi)遭受過網(wǎng)絡(luò)攻擊，高于一年前的68%。

　　根據(jù)Ponemon研究所進(jìn)行的IBM《2024年數(shù)據(jù)泄露成本報(bào)告》，被泄露的憑據(jù)(16%)和網(wǎng)絡(luò)釣魚(15%)是導(dǎo)致數(shù)據(jù)泄露的兩大主要原因。因此，盡管進(jìn)行了安全培訓(xùn)，終端用戶仍然會(huì)落入網(wǎng)絡(luò)釣魚陷阱，仍然會(huì)讓自己的憑據(jù)被盜。

　　一旦黑客進(jìn)入你的網(wǎng)絡(luò)，他們可以在不被發(fā)現(xiàn)的情況下操作數(shù)月。Ponemon表示，識(shí)別和遏制涉及被盜憑據(jù)的攻擊平均需要292天，識(shí)別和解決網(wǎng)絡(luò)釣魚攻擊平均需要261天，而解決社會(huì)工程攻擊平均需要257天。

　　你可以做什么：Gartner建議，安全和風(fēng)險(xiǎn)管理(SRM)主管應(yīng)從預(yù)防思維轉(zhuǎn)向關(guān)注網(wǎng)絡(luò)彈性，強(qiáng)調(diào)最小化影響和增強(qiáng)適應(yīng)性。換句話說，采用“何時(shí)發(fā)生，而非是否發(fā)生”的心態(tài)，并接受事件是不可避免的。

　　泄露指責(zé)將落在你身上——后果可能包括個(gè)人責(zé)任

　　仿佛遭受安全泄露還不夠糟糕，美國證券交易委員會(huì)(SEC)的新規(guī)則使CISO面臨潛在的刑事起訴。這些于2023年生效的新規(guī)則要求上市公司在四個(gè)工作日內(nèi)報(bào)告任何重大網(wǎng)絡(luò)安全事件。

　　已經(jīng)有兩起針對CISO的高調(diào)案件。Uber的首席安全官Joe Sullivan被指控妨礙聯(lián)邦貿(mào)易委員會(huì)對2016年該打車公司數(shù)據(jù)泄露事件的調(diào)查，他于2023年被判有罪并判處緩刑。

　　同樣在2023年，SEC指控SolarWinds的CISO Timothy G. Brown犯有欺詐和內(nèi)部控制失敗罪，與2019年臭名昭著的SolarWinds泄露事件有關(guān)。最近，一家上訴法院駁回了對SolarWinds和Brown幾乎所有的指控。

　　但人們?nèi)匀粨?dān)心CISO將因數(shù)據(jù)泄露而承擔(dān)責(zé)任。在Proofpoint的《2024年CISO之聲》調(diào)查中，66%的全球CISO表示，他們擔(dān)心自己角色中的個(gè)人、財(cái)務(wù)和法律責(zé)任，高于2023年的62%。

　　你可以做什么：你無法總是阻止泄露，但你可以制定一個(gè)堅(jiān)實(shí)的事件檢測和響應(yīng)計(jì)劃。CISO可以通過多種方式保護(hù)自己免受個(gè)人責(zé)任，包括聘請自己的律師并游說將自己納入公司的董事及高級職員(D&O)保險(xiǎn)政策。與董事會(huì)和高層管理人員建立開放的溝通渠道至關(guān)重要，同樣重要的是制定一個(gè)行動(dòng)手冊，明確為遵守新法規(guī)需要披露和提交哪些文件。考慮如何溝通以保護(hù)自己免受責(zé)任也至關(guān)重要。

　　技能和人才短缺不會(huì)很快消失

　　ISC2每年發(fā)布的網(wǎng)絡(luò)安全勞動(dòng)力研究報(bào)告中的原始數(shù)字總是令人震驚。今年，從業(yè)人員短缺數(shù)量增長了19%，達(dá)到480萬，而整體勞動(dòng)力規(guī)模仍保持在580萬。

　　比人員短缺數(shù)字更令人擔(dān)憂的是，90%的受訪者表示，他們的企業(yè)存在技能短缺問題，其中三分之二(64%)的人認(rèn)為這些短缺比他們正在應(yīng)對的人員短缺更為嚴(yán)重。

　　ISC2的CISO Jon France表示：“這不僅僅是市場上可用的人數(shù)問題。更重要的是技能培養(yǎng)，我認(rèn)為這才是關(guān)注的焦點(diǎn)——將正確的技能集引入正確的職位角色。”

　　根據(jù)世界經(jīng)濟(jì)論壇的《2025年全球網(wǎng)絡(luò)安全展望》，網(wǎng)絡(luò)安全技能差距擴(kuò)大了8%，三分之二的企業(yè)報(bào)告存在中度至嚴(yán)重的技能差距。

　　這種雙重打擊使企業(yè)更容易受到攻擊，并使企業(yè)在應(yīng)對泄露事件時(shí)準(zhǔn)備不足。

　　你可以做什么：這就是AI可以發(fā)揮作用的地方。企業(yè)可以利用AI來自動(dòng)化和優(yōu)化手動(dòng)流程。提升現(xiàn)有員工的技能至關(guān)重要。從企業(yè)內(nèi)部招聘也是另一種可以帶來回報(bào)的策略。

　　策劃攻擊的壞人可能就坐在你旁邊

　　這也是一個(gè)難以接受的事實(shí)，但內(nèi)部攻擊——無論是員工為謀利而竊取數(shù)據(jù)，還是心懷不滿的員工試圖造成傷害——正在增加。當(dāng)安全專業(yè)人士策劃如何領(lǐng)先網(wǎng)絡(luò)犯罪分子一步時(shí)，他們腦海中通常浮現(xiàn)的形象是來自哈薩克斯坦的人，而不是坐在隔壁隔間的人。

　　但根據(jù)Gurucul的一項(xiàng)調(diào)查，60%的企業(yè)在2023年報(bào)告了內(nèi)部攻擊，這一數(shù)字在2024年躍升至83%。《2025年內(nèi)部風(fēng)險(xiǎn)成本報(bào)告》顯示，內(nèi)部攻擊的成本上升至1740萬美元，高于2023年的1620萬美元。

　　你可以做什么：這也是AI可以發(fā)揮良好作用的另一個(gè)領(lǐng)域。AI和機(jī)器學(xué)習(xí)系統(tǒng)可以進(jìn)行威脅狩獵活動(dòng)，并分析人類行為，試圖發(fā)現(xiàn)可疑活動(dòng)，以預(yù)防性地阻止內(nèi)部攻擊。

　　倦怠仍然是一個(gè)重大問題

　　Gartner這樣總結(jié)：“不斷變化的威脅和技術(shù)環(huán)境、日益增長的業(yè)務(wù)需求和監(jiān)管要求，加上普遍存在的人才短缺，正在引發(fā)一場完美風(fēng)暴。因此，安全行業(yè)正經(jīng)歷著一場心理健康危機(jī)，因?yàn)榘踩惋L(fēng)險(xiǎn)管理主管及其團(tuán)隊(duì)正承受著日益增長的倦怠感。”

　　Gartner分析師Deepti Gopal補(bǔ)充說：“網(wǎng)絡(luò)安全專業(yè)人士正面臨著不可持續(xù)的壓力水平。CISO處于防御狀態(tài)，唯一可能的結(jié)果是他們不被黑客攻擊或被黑客攻擊。這種心理影響直接影響了決策質(zhì)量和網(wǎng)絡(luò)安全主管及其團(tuán)隊(duì)的表現(xiàn)。”

　　這個(gè)惡性循環(huán)始于人員不足的安全部門，其中從業(yè)人員被要求以不可持續(xù)的長時(shí)間工作。疲勞加劇了與工作相關(guān)的預(yù)先存在的壓力，從而導(dǎo)致倦怠。

　　其影響可能是災(zāi)難性的;倦怠的員工可能會(huì)跳過安裝補(bǔ)丁等常規(guī)任務(wù)，或忽略警報(bào)(警報(bào)疲勞)，從而導(dǎo)致更多泄露事件。事實(shí)上，根據(jù)Adaptivist最近的一項(xiàng)調(diào)查，39%的IT主管擔(dān)心因員工負(fù)擔(dān)過重而導(dǎo)致重大事件。

　　你可以做什么：專家建議采取多管齊下的方法，包括嘗試通過簡化和精簡流程來減少認(rèn)知負(fù)荷，盡可能自動(dòng)化工作，并確保提供充分和頻繁的培訓(xùn)和技能提升。

　　此外，人力資源部門應(yīng)參與壓力管理培訓(xùn)、韌性建設(shè)計(jì)劃、靈活的工作安排、數(shù)字排毒計(jì)劃以及其他旨在解決倦怠問題的策略。

　　Gartner預(yù)測，到2027年，投資于網(wǎng)絡(luò)安全特定個(gè)人韌性計(jì)劃的CISO將看到倦怠相關(guān)的人員流失率比不投資的同行低50%。