此外，對于那些在快節奏、高壓環境中茁壯成長的人來說，網絡安全領域從不缺乏刺激。你正在做一件重要的事情：努力保護你的企業免受網絡攻擊。

然而，對于安全專業人士來說，殘酷的現實也不少。以下是六個最具挑戰性的問題，以及你可以采取的應對措施。

每一次技術飛躍都可能被用來對付你

IT在很大程度上是建立在快速進步的基礎上的，其中一些技術飛躍可以幫助你提高保障企業安全的能力，但從安全角度來看，每一次技術飛躍都會帶來新的挑戰，尤其是它們將如何被用來攻擊你的系統、網絡和數據。

例如，GenAI可以用于增強安全運營，但同時也帶來了安全挑戰。此外，GenAI還使黑客能夠生成更具說服力的網絡釣魚誘餌、語音冒充和深度偽造視頻，并能夠發起跨電子郵件、社交媒體和協作平臺的多渠道攻擊。

根據SoSafe的《2025年網絡犯罪趨勢》報告(對600名全球安全專業人士的調查)，87%的安全專業人士表示，他們的企業在過去一年中遭遇過AI驅動的網絡攻擊。雖然91%的受訪安全專家表示，他們預計未來三年AI驅動的威脅將激增，但只有26%的人對檢測這些攻擊的能力表示高度自信。

這還不夠，量子計算正迅速到來，帶來了新的安全風險。ISACA首席全球戰略官Chris Dimitriadis表示：“鑒于最近的量子進展，我們可以預期量子計算將在未來幾年內融入我們的日常平臺和流程中。雖然這將為多個行業帶來創新機遇，但也會帶來重大的網絡安全風險。加密技術廣泛應用于所有企業、行業和領域，而量子計算有可能破解我們使用的加密協議，使簡單服務變得無用。”

你可以做什么：企業需要立即開始準備。黑客已經在進行所謂的“現在竊取，日后解密”攻擊，他們竊取加密數據，以便日后通過量子計算進行解密。員工需要接受AI和量子計算方面的培訓。安全主管需要制定并實施政策，設置防護措施，并部署適當的工具，以確保企業為這些新型威脅做好準備。

無論你多么出色，你的企業都會成為受害者

這一點很難接受，但如果我們采用“悲傷的五個階段”理論來看待網絡安全，那么達到“接受”階段總比停留在否認階段要好，因為很多事情都是你無法控制的。

根據網絡安全供應商Netwrix的《混合安全趨勢報告》，對1309名IT和安全專業人士進行的全球調查顯示，79%的企業在過去12個月內遭受過網絡攻擊，高于一年前的68%。

根據Ponemon研究所進行的IBM《2024年數據泄露成本報告》，被泄露的憑據(16%)和網絡釣魚(15%)是導致數據泄露的兩大主要原因。因此，盡管進行了安全培訓，終端用戶仍然會落入網絡釣魚陷阱，仍然會讓自己的憑據被盜。

一旦黑客進入你的網絡，他們可以在不被發現的情況下操作數月。Ponemon表示，識別和遏制涉及被盜憑據的攻擊平均需要292天，識別和解決網絡釣魚攻擊平均需要261天，而解決社會工程攻擊平均需要257天。

你可以做什么：Gartner建議，安全和風險管理(SRM)主管應從預防思維轉向關注網絡彈性，強調最小化影響和增強適應性。換句話說，采用“何時發生，而非是否發生”的心態，并接受事件是不可避免的。

泄露指責將落在你身上——后果可能包括個人責任

仿佛遭受安全泄露還不夠糟糕，美國證券交易委員會(SEC)的新規則使CISO面臨潛在的刑事起訴。這些于2023年生效的新規則要求上市公司在四個工作日內報告任何重大網絡安全事件。

已經有兩起針對CISO的高調案件。Uber的首席安全官Joe Sullivan被指控妨礙聯邦貿易委員會對2016年該打車公司數據泄露事件的調查，他于2023年被判有罪并判處緩刑。

同樣在2023年，SEC指控SolarWinds的CISO Timothy G. Brown犯有欺詐和內部控制失敗罪，與2019年臭名昭著的SolarWinds泄露事件有關。最近，一家上訴法院駁回了對SolarWinds和Brown幾乎所有的指控。

但人們仍然擔心CISO將因數據泄露而承擔責任。在Proofpoint的《2024年CISO之聲》調查中，66%的全球CISO表示，他們擔心自己角色中的個人、財務和法律責任，高于2023年的62%。

你可以做什么：你無法總是阻止泄露，但你可以制定一個堅實的事件檢測和響應計劃。CISO可以通過多種方式保護自己免受個人責任，包括聘請自己的律師并游說將自己納入公司的董事及高級職員(D&O)保險政策。與董事會和高層管理人員建立開放的溝通渠道至關重要，同樣重要的是制定一個行動手冊，明確為遵守新法規需要披露和提交哪些文件。考慮如何溝通以保護自己免受責任也至關重要。

技能和人才短缺不會很快消失

ISC2每年發布的網絡安全勞動力研究報告中的原始數字總是令人震驚。今年，從業人員短缺數量增長了19%，達到480萬，而整體勞動力規模仍保持在580萬。

比人員短缺數字更令人擔憂的是，90%的受訪者表示，他們的企業存在技能短缺問題，其中三分之二(64%)的人認為這些短缺比他們正在應對的人員短缺更為嚴重。

ISC2的CISO Jon France表示：“這不僅僅是市場上可用的人數問題。更重要的是技能培養，我認為這才是關注的焦點——將正確的技能集引入正確的職位角色。”

根據世界經濟論壇的《2025年全球網絡安全展望》，網絡安全技能差距擴大了8%，三分之二的企業報告存在中度至嚴重的技能差距。

這種雙重打擊使企業更容易受到攻擊，并使企業在應對泄露事件時準備不足。

你可以做什么：這就是AI可以發揮作用的地方。企業可以利用AI來自動化和優化手動流程。提升現有員工的技能至關重要。從企業內部招聘也是另一種可以帶來回報的策略。

策劃攻擊的壞人可能就坐在你旁邊

這也是一個難以接受的事實，但內部攻擊——無論是員工為謀利而竊取數據，還是心懷不滿的員工試圖造成傷害——正在增加。當安全專業人士策劃如何領先網絡犯罪分子一步時，他們腦海中通常浮現的形象是來自哈薩克斯坦的人，而不是坐在隔壁隔間的人。

但根據Gurucul的一項調查，60%的企業在2023年報告了內部攻擊，這一數字在2024年躍升至83%。《2025年內部風險成本報告》顯示，內部攻擊的成本上升至1740萬美元，高于2023年的1620萬美元。

你可以做什么：這也是AI可以發揮良好作用的另一個領域。AI和機器學習系統可以進行威脅狩獵活動，并分析人類行為，試圖發現可疑活動，以預防性地阻止內部攻擊。

倦怠仍然是一個重大問題

Gartner這樣總結：“不斷變化的威脅和技術環境、日益增長的業務需求和監管要求，加上普遍存在的人才短缺，正在引發一場完美風暴。因此，安全行業正經歷著一場心理健康危機，因為安全和風險管理主管及其團隊正承受著日益增長的倦怠感。”

Gartner分析師Deepti Gopal補充說：“網絡安全專業人士正面臨著不可持續的壓力水平。CISO處于防御狀態，唯一可能的結果是他們不被黑客攻擊或被黑客攻擊。這種心理影響直接影響了決策質量和網絡安全主管及其團隊的表現。”

這個惡性循環始于人員不足的安全部門，其中從業人員被要求以不可持續的長時間工作。疲勞加劇了與工作相關的預先存在的壓力，從而導致倦怠。

其影響可能是災難性的;倦怠的員工可能會跳過安裝補丁等常規任務，或忽略警報(警報疲勞)，從而導致更多泄露事件。事實上，根據Adaptivist最近的一項調查，39%的IT主管擔心因員工負擔過重而導致重大事件。

你可以做什么：專家建議采取多管齊下的方法，包括嘗試通過簡化和精簡流程來減少認知負荷，盡可能自動化工作，并確保提供充分和頻繁的培訓和技能提升。

此外，人力資源部門應參與壓力管理培訓、韌性建設計劃、靈活的工作安排、數字排毒計劃以及其他旨在解決倦怠問題的策略。

Gartner預測，到2027年，投資于網絡安全特定個人韌性計劃的CISO將看到倦怠相關的人員流失率比不投資的同行低50%。