压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

網絡安全領域日益復雜的攻擊、不可避免的違規事件、以及無休止的工作量——從事網絡安全工作意味著要接受這些艱難的現實，并無論如何都要勇往直前。

網絡安全職業之所以具有吸引力，原因有很多。網絡安全從業人員的持續短缺意味著你總能找到一份工作，而緊張的人才市場也確保了高薪和優厚的福利待遇。

此外，對于那些在快節奏、高壓力環境中茁壯成長的人來說，網絡安全領域無疑永遠不會乏味。而且，你正在做一件重要的事情——努力保護你的組織免受網絡攻擊。

然而，對于安全專業人員來說，殘酷的現實也不少。以下是六個最具挑戰性的現實，以及你可以采取的緩解和應對措施。

每一項技術飛躍都將可能被用來對付你

信息技術在很大程度上是建立在快速進步的基礎之上的。其中一些技術飛躍有助于提高你保護企業的能力。但從安全角度來看，每一項技術飛躍都帶來了新的挑戰，尤其是它們將如何被用來攻擊你的系統、網絡和數據。

例如，生成式人工智能（Gen AI）可以用來增強安全運營，但事實證明，它也是一項安全挑戰。此外，Gen AI使黑客能夠生成更具說服力的網絡釣魚誘餌、語音冒充和深度偽造視頻，并發起橫跨電子郵件、社交媒體和協作平臺的多渠道攻擊。

根據SoSafe的《2025年網絡犯罪趨勢》調查（對600名全球安全專業人員進行的調查），87%的安全專業人員報告說，他們的組織在過去一年中遭遇了人工智能驅動的網絡攻擊。雖然91%的受訪安全專家表示，他們預計未來三年人工智能驅動的威脅將激增，但只有26%的人對自己檢測這些攻擊的能力表示高度自信。

這還不算完，量子計算正迅速到來，帶來了新的安全風險。

ISACA首席全球戰略官Chris Dimitriadis表示：“鑒于最近的量子進展，我們可以預期在未來幾年內，量子計算將出現在我們的日常平臺和流程中。雖然這將在多個行業中為創新帶來巨大機遇，但也會引發重大的網絡安全風險。加密技術在所有企業、行業和領域都存在，而量子計算有可能破解我們使用的加密協議，使簡單服務變得無用?！?/p>

你可以采取的措施：

組織現在就需要開始準備。黑客已經在進行所謂的“現在竊取，日后解密”攻擊，即竊取加密數據以便日后通過量子計算進行解密。需要對員工進行人工智能和量子計算方面的培訓。安全主管需要制定并實施政策，設立保護措施，并部署適當的工具，以確保組織為這些新型威脅做好準備。

無論你多出色，你的組織都將成為受害者

這一點很難接受，但如果我們從網絡安全的“五個悲傷階段”來看，最好還是達到“接受”階段，而不是一直否認，因為很多事情根本不在你的控制范圍內。

根據網絡安全供應商Netwrix的《混合安全趨勢報告》，對1,309名IT和安全專業人員進行的一項全球調查發現，79%的組織在過去12個月內遭受了網絡攻擊，而一年前這一比例為68%。

根據Ponemon Institute為IBM年度《數據泄露成本報告》進行的2024年版調查，泄露的憑證（16%）和網絡釣魚（15%）是數據泄露的兩大主要原因。

因此，盡管進行了安全培訓，但最終用戶仍然會落入網絡釣魚攻擊的陷阱，并仍然允許其憑證被盜。

一旦黑客進入你的網絡，他們可以在你不知道的情況下操作數月。

Ponemon表示，識別并遏制涉及被盜憑證的違規行為平均需要292天，識別并解決網絡釣魚攻擊需要261天，識別并解決社會工程攻擊需要257天。

你可以采取的措施：

Gartner建議，安全與風險管理（SRM）主管應從預防心態轉向關注網絡彈性，即強調最小化影響和增強適應性。換句話說，采用“何時發生，而非是否會發生”的心態，并接受事件是不可避免的。

違規事件的指責將落在你身上，

后果可能包括個人責任

如果遭遇安全違規事件還不夠糟糕的話，那么美國證券交易委員會（SEC）的新規則將使首席信息安全官（CISO）成為潛在刑事起訴的目標。這些新規則于2023年生效，要求上市公司在四個工作日內報告任何重大網絡安全事件。

已經有兩起針對CISO的高調案件。優步（Uber）首席安全官Joe Sullivan被指控阻礙聯邦貿易委員會（FTC）對2016年發生在該網約車公司的數據泄露事件的調查。他被判有罪，并于2023年被判處緩刑。

同樣在2023年，SEC指控SolarWinds首席信息安全官Timothy G. Brown涉嫌欺詐和內部控制失敗，與2019年臭名昭著的SolarWinds違規事件有關。最近，上訴法院駁回了對SolarWinds和Brown的幾乎所有指控。

但人們仍然擔心CISO將為數據泄露事件承擔責任。在Proofpoint的《2024年CISO之聲》調查中，66%的全球CISO表示，他們擔心自己在職務中的個人、財務和法律責任，這一比例高于2023年的62%。

你可以采取的措施：

1、雖然你不能總是阻止違規事件的發生，但你可以制定一個健全的事件檢測和響應計劃。

2、CISO可以采取一些措施來保護自己免受個人責任的影響，包括聘請自己的律師，并爭取將自己納入公司的董事與高級管理人員（D&O）保險政策中。

3、與董事會和高層建立開放的溝通渠道至關重要，同時還需要制定一份計劃書，詳細列出為遵守新規定而需要進行哪些類型的披露和備案。

4、考慮如何溝通以保護自己免受責任影響也至關重要。

技能和人才短缺問題短期內不會消失

當ISC2公布其年度網絡安全勞動力研究報告時，原始數據總是令人震驚。今年，勞動力短缺人數增長了19%，達到480萬，而整體勞動力規模仍保持在580萬不變。

比人員短缺數字更令人擔憂的是，90%的受訪者表示，他們的組織存在技能短缺問題，其中三分之二（64%）的人認為這些技能短缺比他們正在處理的人員短缺問題更為嚴重。

ISC2的CISO Jon France表示：“這不僅僅是市場上可用人員的問題。而是技能的問題，我認為這正是我們需要關注的焦點——將正確的技能集引入正確的崗位角色中?！?/p>

根據世界經濟論壇的《2025年全球網絡安全展望》，網絡安全技能缺口擴大了8%，三分之二的組織報告存在中度到嚴重的技能缺口。

這種雙重打擊使組織更容易受到攻擊，并降低了組織應對違規事件的能力。

你可以采取的措施：

這就是人工智能可以發揮作用的地方。組織可以利用人工智能來自動化和優化手動流程。對現有員工進行技能提升至關重要。此外，從組織內部招募人才也是一種可以帶來回報的策略。

策劃攻擊的惡意行為者可能就坐在你旁邊

這一點也很難接受，但內部攻擊——無論是員工竊取數據以出售獲利，還是心懷不滿的員工試圖造成損害——都在增加。

當安全專業人員策劃如何領先網絡犯罪分子一步時，他們腦海中通常浮現的形象是來自哈薩克斯坦的某人，而不是隔壁辦公室的某人。

但根據Gurucul的一項調查，60%的組織在2023年報告了內部攻擊，這一數字在2024年躍升至83%。

《2025年Ponemon內部風險成本報告》顯示，內部攻擊的成本上升至1740萬美元，高于2023年的1620萬美元。

你可以采取的措施：

這也是人工智能可以發揮作用的一個領域。人工智能和機器學習系統可以進行威脅狩獵活動，并分析人類行為，以嘗試發現可疑活動，從而預先防止內部攻擊。

倦怠仍然是一個重大問題

Gartner這樣總結道：“不斷變化的威脅和技術格局、日益增長的商業需求以及監管要求，再加上普遍存在的人才短缺，正在引發一場完美的風暴。因此，隨著安全與風險管理主管及其團隊面臨越來越大的壓力，網絡安全行業正經歷著一場心理健康危機?！?/p>

Gartner分析師Deepti Gopal補充道：“網絡安全專業人員正面臨著不可持續的壓力水平。CISO處于防御狀態，唯一可能的結果是他們沒有被黑客攻擊或他們被黑客攻擊了。這種心理影響直接影響了決策質量和網絡安全主管及其團隊的績效?！?/p>

這一惡性循環始于人員配備不足的安全部門，其中從業人員被要求工作超長時間。疲勞加劇了與工作相關的壓力，從而導致倦怠。

其影響可能是災難性的；倦怠的員工可能會跳過安裝補丁等常規任務，或忽略警報（警報疲勞），從而導致更多違規事件。事實上，根據Adaptivist最近的一項調查，39%的IT領導者擔心因員工負擔過重而發生重大事件。

你可以采取的措施：

專家建議采取一種多管齊下的方法，包括通過簡化和精簡流程來減少認知負擔，盡可能自動化工作，并確保提供充分和頻繁的培訓與技能提升。

此外，人力資源部門應參與壓力管理培訓、韌性建設計劃、靈活的工作安排、數字排毒計劃以及其他旨在解決倦怠問題的策略。Gartner預測，到2027年，投資于網絡安全特定個人韌性計劃的CISO將比未投資的同行減少50%的倦怠相關人員流失。

原文作者：Neal Weinberg

原文標題：《安全專業人員必須面對的六個殘酷現實》

原文鏈接：https://www.csoonline.com/article/3996353/6-hard-truths-security-pros-must-learn-to-live-with-3.html

聲明：本文來自安在，稿件和圖片版權均歸原作者所有。所涉觀點不代表東方安全立場，轉載目的在于傳遞更多信息。如有侵權，請聯系rhliu@skdlabs.com，我們將及時按原作者或權利人的意愿予以更正。