亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

網(wǎng)安從業(yè)者必須面對的六個殘酷現(xiàn)實

網(wǎng)絡安全領域日益復雜的攻擊、不可避免的違規(guī)事件、以及無休止的工作量——從事網(wǎng)絡安全工作意味著要接受這些艱難的現(xiàn)實,并無論如何都要勇往直前。

網(wǎng)絡安全職業(yè)之所以具有吸引力,原因有很多。網(wǎng)絡安全從業(yè)人員的持續(xù)短缺意味著你總能找到一份工作,而緊張的人才市場也確保了高薪和優(yōu)厚的福利待遇。

此外,對于那些在快節(jié)奏、高壓力環(huán)境中茁壯成長的人來說,網(wǎng)絡安全領域無疑永遠不會乏味。而且,你正在做一件重要的事情——努力保護你的組織免受網(wǎng)絡攻擊。

然而,對于安全專業(yè)人員來說,殘酷的現(xiàn)實也不少。以下是六個最具挑戰(zhàn)性的現(xiàn)實,以及你可以采取的緩解和應對措施。

每一項技術飛躍都將可能被用來對付你

信息技術在很大程度上是建立在快速進步的基礎之上的。其中一些技術飛躍有助于提高你保護企業(yè)的能力。但從安全角度來看,每一項技術飛躍都帶來了新的挑戰(zhàn),尤其是它們將如何被用來攻擊你的系統(tǒng)、網(wǎng)絡和數(shù)據(jù)。

例如,生成式人工智能(Gen AI)可以用來增強安全運營,但事實證明,它也是一項安全挑戰(zhàn)。此外,Gen AI使黑客能夠生成更具說服力的網(wǎng)絡釣魚誘餌、語音冒充和深度偽造視頻,并發(fā)起橫跨電子郵件、社交媒體和協(xié)作平臺的多渠道攻擊。

根據(jù)SoSafe的《2025年網(wǎng)絡犯罪趨勢》調查(對600名全球安全專業(yè)人員進行的調查),87%的安全專業(yè)人員報告說,他們的組織在過去一年中遭遇了人工智能驅動的網(wǎng)絡攻擊。雖然91%的受訪安全專家表示,他們預計未來三年人工智能驅動的威脅將激增,但只有26%的人對自己檢測這些攻擊的能力表示高度自信。

這還不算完,量子計算正迅速到來,帶來了新的安全風險。

ISACA首席全球戰(zhàn)略官Chris Dimitriadis表示:“鑒于最近的量子進展,我們可以預期在未來幾年內,量子計算將出現(xiàn)在我們的日常平臺和流程中。雖然這將在多個行業(yè)中為創(chuàng)新帶來巨大機遇,但也會引發(fā)重大的網(wǎng)絡安全風險。加密技術在所有企業(yè)、行業(yè)和領域都存在,而量子計算有可能破解我們使用的加密協(xié)議,使簡單服務變得無用。”

你可以采取的措施:

組織現(xiàn)在就需要開始準備。黑客已經(jīng)在進行所謂的“現(xiàn)在竊取,日后解密”攻擊,即竊取加密數(shù)據(jù)以便日后通過量子計算進行解密。需要對員工進行人工智能和量子計算方面的培訓。安全主管需要制定并實施政策,設立保護措施,并部署適當?shù)墓ぞ撸源_保組織為這些新型威脅做好準備。

無論你多出色,你的組織都將成為受害者

這一點很難接受,但如果我們從網(wǎng)絡安全的“五個悲傷階段”來看,最好還是達到“接受”階段,而不是一直否認,因為很多事情根本不在你的控制范圍內。

根據(jù)網(wǎng)絡安全供應商Netwrix的《混合安全趨勢報告》,對1,309名IT和安全專業(yè)人員進行的一項全球調查發(fā)現(xiàn),79%的組織在過去12個月內遭受了網(wǎng)絡攻擊,而一年前這一比例為68%。

根據(jù)Ponemon Institute為IBM年度《數(shù)據(jù)泄露成本報告》進行的2024年版調查,泄露的憑證(16%)和網(wǎng)絡釣魚(15%)是數(shù)據(jù)泄露的兩大主要原因。

因此,盡管進行了安全培訓,但最終用戶仍然會落入網(wǎng)絡釣魚攻擊的陷阱,并仍然允許其憑證被盜。

一旦黑客進入你的網(wǎng)絡,他們可以在你不知道的情況下操作數(shù)月。

Ponemon表示,識別并遏制涉及被盜憑證的違規(guī)行為平均需要292天,識別并解決網(wǎng)絡釣魚攻擊需要261天,識別并解決社會工程攻擊需要257天。

你可以采取的措施:

Gartner建議,安全與風險管理(SRM)主管應從預防心態(tài)轉向關注網(wǎng)絡彈性,即強調最小化影響和增強適應性。換句話說,采用“何時發(fā)生,而非是否會發(fā)生”的心態(tài),并接受事件是不可避免的。

違規(guī)事件的指責將落在你身上,

后果可能包括個人責任

如果遭遇安全違規(guī)事件還不夠糟糕的話,那么美國證券交易委員會(SEC)的新規(guī)則將使首席信息安全官(CISO)成為潛在刑事起訴的目標。這些新規(guī)則于2023年生效,要求上市公司在四個工作日內報告任何重大網(wǎng)絡安全事件。

已經(jīng)有兩起針對CISO的高調案件。優(yōu)步(Uber)首席安全官Joe Sullivan被指控阻礙聯(lián)邦貿易委員會(FTC)對2016年發(fā)生在該網(wǎng)約車公司的數(shù)據(jù)泄露事件的調查。他被判有罪,并于2023年被判處緩刑。

同樣在2023年,SEC指控SolarWinds首席信息安全官Timothy G. Brown涉嫌欺詐和內部控制失敗,與2019年臭名昭著的SolarWinds違規(guī)事件有關。最近,上訴法院駁回了對SolarWinds和Brown的幾乎所有指控。

但人們仍然擔心CISO將為數(shù)據(jù)泄露事件承擔責任。在Proofpoint的《2024年CISO之聲》調查中,66%的全球CISO表示,他們擔心自己在職務中的個人、財務和法律責任,這一比例高于2023年的62%。

你可以采取的措施:

1、雖然你不能總是阻止違規(guī)事件的發(fā)生,但你可以制定一個健全的事件檢測和響應計劃。

2、CISO可以采取一些措施來保護自己免受個人責任的影響,包括聘請自己的律師,并爭取將自己納入公司的董事與高級管理人員(D&O)保險政策中。

3、與董事會和高層建立開放的溝通渠道至關重要,同時還需要制定一份計劃書,詳細列出為遵守新規(guī)定而需要進行哪些類型的披露和備案。

4、考慮如何溝通以保護自己免受責任影響也至關重要。

技能和人才短缺問題短期內不會消失

當ISC2公布其年度網(wǎng)絡安全勞動力研究報告時,原始數(shù)據(jù)總是令人震驚。今年,勞動力短缺人數(shù)增長了19%,達到480萬,而整體勞動力規(guī)模仍保持在580萬不變。

比人員短缺數(shù)字更令人擔憂的是,90%的受訪者表示,他們的組織存在技能短缺問題,其中三分之二(64%)的人認為這些技能短缺比他們正在處理的人員短缺問題更為嚴重。

ISC2的CISO Jon France表示:“這不僅僅是市場上可用人員的問題。而是技能的問題,我認為這正是我們需要關注的焦點——將正確的技能集引入正確的崗位角色中。”

根據(jù)世界經(jīng)濟論壇的《2025年全球網(wǎng)絡安全展望》,網(wǎng)絡安全技能缺口擴大了8%,三分之二的組織報告存在中度到嚴重的技能缺口。

這種雙重打擊使組織更容易受到攻擊,并降低了組織應對違規(guī)事件的能力。

你可以采取的措施:

這就是人工智能可以發(fā)揮作用的地方。組織可以利用人工智能來自動化和優(yōu)化手動流程。對現(xiàn)有員工進行技能提升至關重要。此外,從組織內部招募人才也是一種可以帶來回報的策略。

策劃攻擊的惡意行為者可能就坐在你旁邊

這一點也很難接受,但內部攻擊——無論是員工竊取數(shù)據(jù)以出售獲利,還是心懷不滿的員工試圖造成損害——都在增加。

當安全專業(yè)人員策劃如何領先網(wǎng)絡犯罪分子一步時,他們腦海中通常浮現(xiàn)的形象是來自哈薩克斯坦的某人,而不是隔壁辦公室的某人。

但根據(jù)Gurucul的一項調查,60%的組織在2023年報告了內部攻擊,這一數(shù)字在2024年躍升至83%。

《2025年Ponemon內部風險成本報告》顯示,內部攻擊的成本上升至1740萬美元,高于2023年的1620萬美元。

你可以采取的措施:

這也是人工智能可以發(fā)揮作用的一個領域。人工智能和機器學習系統(tǒng)可以進行威脅狩獵活動,并分析人類行為,以嘗試發(fā)現(xiàn)可疑活動,從而預先防止內部攻擊。

倦怠仍然是一個重大問題

Gartner這樣總結道:“不斷變化的威脅和技術格局、日益增長的商業(yè)需求以及監(jiān)管要求,再加上普遍存在的人才短缺,正在引發(fā)一場完美的風暴。因此,隨著安全與風險管理主管及其團隊面臨越來越大的壓力,網(wǎng)絡安全行業(yè)正經(jīng)歷著一場心理健康危機。”

Gartner分析師Deepti Gopal補充道:“網(wǎng)絡安全專業(yè)人員正面臨著不可持續(xù)的壓力水平。CISO處于防御狀態(tài),唯一可能的結果是他們沒有被黑客攻擊或他們被黑客攻擊了。這種心理影響直接影響了決策質量和網(wǎng)絡安全主管及其團隊的績效。”

這一惡性循環(huán)始于人員配備不足的安全部門,其中從業(yè)人員被要求工作超長時間。疲勞加劇了與工作相關的壓力,從而導致倦怠。

其影響可能是災難性的;倦怠的員工可能會跳過安裝補丁等常規(guī)任務,或忽略警報(警報疲勞),從而導致更多違規(guī)事件。事實上,根據(jù)Adaptivist最近的一項調查,39%的IT領導者擔心因員工負擔過重而發(fā)生重大事件。

你可以采取的措施:

專家建議采取一種多管齊下的方法,包括通過簡化和精簡流程來減少認知負擔,盡可能自動化工作,并確保提供充分和頻繁的培訓與技能提升。

此外,人力資源部門應參與壓力管理培訓、韌性建設計劃、靈活的工作安排、數(shù)字排毒計劃以及其他旨在解決倦怠問題的策略。Gartner預測,到2027年,投資于網(wǎng)絡安全特定個人韌性計劃的CISO將比未投資的同行減少50%的倦怠相關人員流失。

原文作者:Neal Weinberg

原文標題:《安全專業(yè)人員必須面對的六個殘酷現(xiàn)實》

原文鏈接:https://www.csoonline.com/article/3996353/6-hard-truths-security-pros-must-learn-to-live-with-3.html

聲明:本文來自安在,稿件和圖片版權均歸原作者所有。所涉觀點不代表東方安全立場,轉載目的在于傳遞更多信息。如有侵權,請聯(lián)系rhliu@skdlabs.com,我們將及時按原作者或權利人的意愿予以更正。

上一篇:高管網(wǎng)絡安全意識培訓:策略與禁忌

下一篇:美國后量子密碼政策解析與歐美技術全景