内容摘要：安全行业面临压力问题安全行业普遍存在压力问题，这一问题影响着从初级分析师到企业高管的从业者。变革的步伐、持续不断的威胁以及高风险运营带来的压力，营造了一种缺乏心理安全的环境。Qualtrics公司首席

安全行业面临压力问题

安全行业普遍存在压力问题，夜忧这一问题影响着从初级分析师到企业高管的大隐从业者。变革的夜忧步伐、持续不断的大隐威胁以及高风险运营带来的压力，营造了一种缺乏心理安全的夜忧环境。

Qualtrics公司首席安全官阿萨夫·凯伦(Assaf Keren)表示：“我们面临着压力问题
，大隐但很多人羞于承认自己无法应对日常工作 。夜忧”

凯伦认为 ，大隐必须改变这种沉默文化，夜忧否则该行业将面临人才流失的大隐风险，进而加剧行业的云计算夜忧技能差距 ，他指出
：“你不应该因为工作而辗转难眠，大隐如果工作让你夜不能寐，夜忧那你应该寻求帮助。大隐”

他希望在该行业中，夜忧寻求帮助能成为一种常态 ，因为在这个行业里，错误或不幸所带来的个人和职业成本可能非常高昂。他告诉记者：“我们有资源让情况变得更好
，作为一个行业，我们都应该付出更多努力。”

凯伦对AI的潜力感到振奋，比如AI可以处理分类工作或某些手动任务，帮助减轻安全从业者的高防服务器负担和相关的压力。他表示：“我们能够越多地减轻人们日常繁琐的工作
，让他们专注于宏观思考 ，就越能减少对工作流畅性的干扰
。”

AI可能引发能力危机

心理健康机构Headspace的CISO贾米卡·亚伦(Jameeka Aaron)看到了AI的许多潜在应用 ，但她在应用时既充满期待又保持谨慎 ，不过 ，亚伦尤其担心GenAI对招聘流程的影响，她指出，虽然优秀的源码下载开发人员能够利用AI为自己助力，但能力较弱的开发人员在面试和初步评估中可能会显得更有能力
。

她表示
：“你必须具备相应的技能 ，如果没有 ，AI确实能帮你回答面试问题  ，但当你真正开始工作时
，它就无济于事了 ，而且，我们很快就能发现某人的能力是否与面试时的表现相符 。”

这让本就负担过重的CISO们面临更多难题。亿华云她表示：“有了AI，了解潜在员工的能力变得更加困难。”

AI工具可能会掩盖技能缺陷 ，这是CISO们无法轻易通过新控制措施或工具解决的问题。她指出 ：“我们可能会招聘到在AI辅助下面试表现良好，但缺乏基本技术知识的人 ，你需要具备专业知识和对所应用技术的深刻理解，如果没有这些 ，AI也帮不了你。”

快速行动  ，但不出差错的免费模板压力

让Fortitude Re公司CISO埃利奥特·富兰克林(Elliott Franklin)夜不能寐的 ，不仅仅是威胁行为者，还有CISO们每天都要面对的内部复杂性
。富兰克林表示 ：“我们大多数人都在管理一套拼凑起来的工具和平台，这些工具和平台原本并非设计用来协同工作的。”

富兰克林指出，随着时间的推移 ，为了满足合规需求 、应对事件或满足审计要求 ，各种解决方案层出不穷，模板下载CISO们则试图将这些解决方案整合成一个有机的整体，但这种结构本质上很脆弱 。他表示 ：“它越脆弱 ，就越容易出问题，一旦出问题，安全部门就要承担责任。”

第三方风险使情况变得更加危险，富兰克林以麦当劳近期发生的招聘机器人泄露事件为例 ，该事件是由于供应商使用“123456”作为管理员密码导致的。他表示：“这并非某种尖端的国家级黑客攻击，而是大多数企业内部都能发现的基本漏洞，但当涉及合作伙伴时，我们的控制力就有限了
，而我们的责任却并未减少 。”

这也回到了在追求新工具时忽视基础的问题 。他表示 ：“这是一个很好的例子 ，说明炫酷的技术正在掩盖基本的安全漏洞，让我夜不能寐的不是缺乏创新，而是我们忘记了基础。”

与此同时，安全团队需要在不成为障碍的前提下推动创新
。他表示：“但如果安全部门没有尽早介入 ，我们就会被迫采取被动应对的姿态，这对谁都没有好处。我确实担心攻击者，但让我更加担忧的是 ，在脆弱的基础设施上快速推进
、未经核实就信任第三方，以及在跳过基础步骤的同时追求新技术所带来的内部压力。”

富兰克林警告称
，AI正在加剧这些挑战，而且无法解决根本问题。他表示：“我坚信在合理的地方使用AI——我们正在利用AI减少手动工作并提高速度 ，但我们必须对自己诚实：AI无法修复破碎的基础。”

企业很难确定AI在所有地方的应用情况，更不用说如何确保其安全了。富兰克林表示 ：“如果你缺乏可见性，访问控制薄弱，或者没有人审查你的警报，AI只会增加一层复杂性，更糟糕的是，它可能会给领导层造成一种我们比实际更安全的错觉。”

深度伪造带来重大安全隐患

深度伪造正成为另一大安全威胁，它助长了员工冒充活动，随着这种基于AI的威胁变得越来越复杂，CISO们面临着预防和检测这些攻击以及保护其企业的重大挑战
。

深度伪造员工是指利用AI在远程面试中冒充他人 ，在亚伦的企业中，他们发现了候选人与简历不匹配的情况 
，或者在远程面试中某人的名字与本人似乎不符的情况
。随着许多企业进行远程候选人面试 ，他们需要更加关注识别和阻止这些威胁 。

亚伦表示，深度伪造是我们必须关注的问题。虽然相关监管滞后于技术发展，但这是一个安全从业者无法独自应对的威胁。她表示：“我们需要与供应商建立深厚的合作关系，以确保我们都了解可能发生的情况
，然后尽可能地进行防御。”

网络钓鱼更难防范

随着GenAI可供网络犯罪分子使用 ，网络钓鱼邮件变得更加逼真 ，数量也大幅增加。这使攻击者能够完美地模仿英语 。亚伦表示
：“现在已经没有用蹩脚英语写的邮件了。网络犯罪分子正在收集信息 ，并发送看起来非常逼真的网络钓鱼邮件 。”

她表示：“让我夜不能寐的不是AI本身，而是它的能力 ，比如AI模仿人类的能力。”

将安全优先级与业务成果挂钩

CISO这一角色本身就充满了挑战和忧虑。将安全举措转化为业务价值，这一任务越来越成为该角色中最具挑战性但也最重要的方面之一。凯伦表示
：“将安全优先级与业务成果挂钩的能力是非常需要的，但这很难做到，然而 ，对于CISO来说，要在高管层面提供价值并产生影响，这一点正变得越来越必要。”

当成功被定义为没有发生的事情——没有发生数据泄露、漏洞减少或新增工具时
，就很难衡量成功。经验丰富的安全领导者已经学会调整他们的参考点
，特别是在受市场力量影响的业务中  。凯伦表示：“我们是一个业务部门，我们的衡量标准是公司的股价。”

然而 ，如果没有明确的途径成为以业务为导向的安全领导者 ，CISO们将面临不确定的前进方向。他表示：“企业确实有责任引导CISO了解业务，并让他们融入业务节奏，以便他们能够与业务紧密相连。”

凯伦建议CISO们寻求有针对性的培训 、教育和指导，以更好地掌握如何将安全转化为业务指标。

Agero公司的CISO兼首席信息官鲍勃·沙利文(Bob Sullivan)在销售和专业服务领域担任过高管职务 ，因此培养了强烈的商业思维 。他将指标与重要事项——业务使命联系起来 ，展示安全风险对业务可能造成的潜在损害。

例如 ，一份漏洞列表听起来很糟糕，但直到他能够解释哪些漏洞是无害的 ，或者不是面向外部的，因此对现实世界构成的威胁很小，情况才会变得明朗 。对于那些对业务构成风险的漏洞，沙利文会可视化威胁路径 ，以展示漏洞利用如何导致个人身份信息泄露 ，以及如果这些信息被泄露、出售或曝光，将会产生重大影响 。沙利文告诉记者 ：“如果我只是说这是云中的一个配置问题，那对他们来说毫无意义，但如果我能将其可视化，我就能创造那种背景 ，并将其与业务故事联系起来。”

在许多方面
，这是用美元或声誉影响来定义风险，因为它们是业务可行性的基础。他表示：“作为一名网络安全专业人士，你必须能够说业务语言，否则没人会听你的。”