安小圈

CISO们可谓操碎了心，从团队成员的倦怠、AI的风险，到证明业务价值的压力，安全负责人需要同时应对一系列复杂的威胁。

安全行业普遍存在压力问题，这一问题影响着从初级分析师到企业高管的从业者。变革的步伐、持续不断的威胁以及高风险运营带来的压力，营造了一种缺乏心理安全的环境。

Qualtrics公司首席安全官阿萨夫·凯伦(Assaf Keren)表示：“我们面临着压力问题，但很多人羞于承认自己无法应对日常工作。”

凯伦认为，必须改变这种沉默文化，否则该行业将面临人才流失的风险，进而加剧行业的技能差距，他指出：“你不应该因为工作而辗转难眠，如果工作让你夜不能寐，那你应该寻求帮助。”

他希望在该行业中，寻求帮助能成为一种常态，因为在这个行业里，错误或不幸所带来的个人和职业成本可能非常高昂。他告诉记者：“我们有资源让情况变得更好，作为一个行业，我们都应该付出更多努力。”

凯伦对AI的潜力感到振奋，比如AI可以处理分类工作或某些手动任务，帮助减轻安全从业者的负担和相关的压力。他表示：“我们能够越多地减轻人们日常繁琐的工作，让他们专注于宏观思考，就越能减少对工作流畅性的干扰。”

心理健康机构Headspace的CISO贾米卡·亚伦(Jameeka Aaron)看到了AI的许多潜在应用，但她在应用时既充满期待又保持谨慎，不过，亚伦尤其担心GenAI对招聘流程的影响，她指出，虽然优秀的开发人员能够利用AI为自己助力，但能力较弱的开发人员在面试和初步评估中可能会显得更有能力。

她表示：“你必须具备相应的技能，如果没有，AI确实能帮你回答面试问题，但当你真正开始工作时，它就无济于事了，而且，我们很快就能发现某人的能力是否与面试时的表现相符。”

这让本就负担过重的CISO们面临更多难题。她表示：“有了AI，了解潜在员工的能力变得更加困难。”

AI工具可能会掩盖技能缺陷，这是CISO们无法轻易通过新控制措施或工具解决的问题。她指出：“我们可能会招聘到在AI辅助下面试表现良好，但缺乏基本技术知识的人，你需要具备专业知识和对所应用技术的深刻理解，如果没有这些，AI也帮不了你。”

让Fortitude Re公司CISO埃利奥特·富兰克林(Elliott Franklin)夜不能寐的，不仅仅是威胁行为者，还有CISO们每天都要面对的内部复杂性。富兰克林表示：“我们大多数人都在管理一套拼凑起来的工具和平台，这些工具和平台原本并非设计用来协同工作的。”

富兰克林指出，随着时间的推移，为了满足合规需求、应对事件或满足审计要求，各种解决方案层出不穷，CISO们则试图将这些解决方案整合成一个有机的整体，但这种结构本质上很脆弱。他表示：“它越脆弱，就越容易出问题，一旦出问题，安全部门就要承担责任。”

第三方风险使情况变得更加危险，富兰克林以麦当劳近期发生的招聘机器人泄露事件为例，该事件是由于供应商使用“123456”作为管理员密码导致的。他表示：“这并非某种尖端的国家级黑客攻击，而是大多数企业内部都能发现的基本漏洞，但当涉及合作伙伴时，我们的控制力就有限了，而我们的责任却并未减少。”

这也回到了在追求新工具时忽视基础的问题。他表示：“这是一个很好的例子，说明炫酷的技术正在掩盖基本的安全漏洞，让我夜不能寐的不是缺乏创新，而是我们忘记了基础。”

与此同时，安全团队需要在不成为障碍的前提下推动创新。他表示：“但如果安全部门没有尽早介入，我们就会被迫采取被动应对的姿态，这对谁都没有好处。我确实担心攻击者，但让我更加担忧的是，在脆弱的基础设施上快速推进、未经核实就信任第三方，以及在跳过基础步骤的同时追求新技术所带来的内部压力。”

富兰克林警告称，AI正在加剧这些挑战，而且无法解决根本问题。他表示：“我坚信在合理的地方使用AI——我们正在利用AI减少手动工作并提高速度，但我们必须对自己诚实：AI无法修复破碎的基础。”

企业很难确定AI在所有地方的应用情况，更不用说如何确保其安全了。富兰克林表示：“如果你缺乏可见性，访问控制薄弱，或者没有人审查你的警报，AI只会增加一层复杂性，更糟糕的是，它可能会给领导层造成一种我们比实际更安全的错觉。”

深度伪造正成为另一大安全威胁，它助长了员工冒充活动；随着这种基于AI的威胁变得越来越复杂，CISO们面临着预防和检测这些攻击以及保护其企业的重大挑战。

深度伪造员工是指利用AI在远程面试中冒充他人，在亚伦的企业中，他们发现了候选人与简历不匹配的情况，或者在远程面试中某人的名字与本人似乎不符的情况。随着许多企业进行远程候选人面试，他们需要更加关注识别和阻止这些威胁。

亚伦表示，深度伪造是我们必须关注的问题。虽然相关监管滞后于技术发展，但这是一个安全从业者无法独自应对的威胁。她表示：“我们需要与供应商建立深厚的合作关系，以确保我们都了解可能发生的情况，然后尽可能地进行防御。”

随着GenAI可供网络犯罪分子使用，网络钓鱼邮件变得更加逼真，数量也大幅增加。这使攻击者能够完美地模仿英语。亚伦表示：“现在已经没有用蹩脚英语写的邮件了。网络犯罪分子正在收集信息，并发送看起来非常逼真的网络钓鱼邮件。”

她表示：“让我夜不能寐的不是AI本身，而是它的能力，比如AI模仿人类的能力。”

CISO这一角色本身就充满了挑战和忧虑。将安全举措转化为业务价值，这一任务越来越成为该角色中最具挑战性但也最重要的方面之一。凯伦表示：“将安全优先级与业务成果挂钩的能力是非常需要的，但这很难做到，然而，对于CISO来说，要在高管层面提供价值并产生影响，这一点正变得越来越必要。”

当成功被定义为没有发生的事情——没有发生数据泄露、漏洞减少或新增工具时，就很难衡量成功。经验丰富的安全领导者已经学会调整他们的参考点，特别是在受市场力量影响的业务中。凯伦表示：“我们是一个业务部门，我们的衡量标准是公司的股价。”

然而，如果没有明确的途径成为以业务为导向的安全领导者，CISO们将面临不确定的前进方向。他表示：“企业确实有责任引导CISO了解业务，并让他们融入业务节奏，以便他们能够与业务紧密相连。”

凯伦建议CISO们寻求有针对性的培训、教育和指导，以更好地掌握如何将安全转化为业务指标。

Agero公司的CISO兼首席信息官鲍勃·沙利文(Bob Sullivan)在销售和专业服务领域担任过高管职务，因此培养了强烈的商业思维。他将指标与重要事项——业务使命联系起来，展示安全风险对业务可能造成的潜在损害。

例如，一份漏洞列表听起来很严重，但只有当他解释清楚哪些漏洞无害、哪些不面向外部（因此对现实世界威胁极小），情况才会明朗。对于那些对业务构成风险的漏洞，沙利文会可视化威胁路径，以展示漏洞利用如何导致个人身份信息泄露，以及如果这些信息被泄露、出售或曝光，将会产生重大影响。沙利文告诉记者：“如果我只是说这是云中的一个配置问题，那对他们来说毫无意义，但如果我能将其可视化，我就能创造那种背景，并将其与业务故事联系起来。”

在许多方面，这是用美元或声誉影响来定义风险，因为它们是业务可行性的基础。他表示：“作为一名网络安全专业人士，你必须能够说业务语言，否则没人会听你的。”