让CISO夜不能寐的六大隐忧

安全行业面临压力问题

安全行业普遍存在压力问题 ，夜忧这一问题影响着从初级分析师到企业高管的大隐从业者。变革的夜忧步伐
、持续不断的大隐威胁以及高风险运营带来的压力，营造了一种缺乏心理安全的夜忧环境 。

Qualtrics公司首席安全官阿萨夫·凯伦(Assaf Keren)表示 ：“我们面临着压力问题 ，大隐但很多人羞于承认自己无法应对日常工作 。夜忧”

凯伦认为，大隐必须改变这种沉默文化，夜忧否则该行业将面临人才流失的大隐风险，进而加剧行业的亿华云夜忧技能差距 ，他指出：“你不应该因为工作而辗转难眠，大隐如果工作让你夜不能寐 ，夜忧那你应该寻求帮助。大隐”

他希望在该行业中
，夜忧寻求帮助能成为一种常态，因为在这个行业里，错误或不幸所带来的个人和职业成本可能非常高昂。他告诉记者 ：“我们有资源让情况变得更好 ，作为一个行业，我们都应该付出更多努力 。”

凯伦对AI的潜力感到振奋 ，比如AI可以处理分类工作或某些手动任务，帮助减轻安全从业者的源码库负担和相关的压力
。他表示：“我们能够越多地减轻人们日常繁琐的工作，让他们专注于宏观思考 ，就越能减少对工作流畅性的干扰 。”

AI可能引发能力危机

心理健康机构Headspace的CISO贾米卡·亚伦(Jameeka Aaron)看到了AI的许多潜在应用，但她在应用时既充满期待又保持谨慎
，不过 ，亚伦尤其担心GenAI对招聘流程的影响，她指出，虽然优秀的免费模板开发人员能够利用AI为自己助力，但能力较弱的开发人员在面试和初步评估中可能会显得更有能力。

她表示 ：“你必须具备相应的技能
，如果没有
，AI确实能帮你回答面试问题，但当你真正开始工作时 ，它就无济于事了，而且，我们很快就能发现某人的能力是否与面试时的表现相符。”

这让本就负担过重的CISO们面临更多难题 。云计算她表示 ：“有了AI，了解潜在员工的能力变得更加困难 。”

AI工具可能会掩盖技能缺陷 ，这是CISO们无法轻易通过新控制措施或工具解决的问题
。她指出
：“我们可能会招聘到在AI辅助下面试表现良好 ，但缺乏基本技术知识的人，你需要具备专业知识和对所应用技术的深刻理解，如果没有这些，AI也帮不了你。”

快速行动 ，但不出差错的模板下载压力

让Fortitude Re公司CISO埃利奥特·富兰克林(Elliott Franklin)夜不能寐的，不仅仅是威胁行为者 ，还有CISO们每天都要面对的内部复杂性 。富兰克林表示 ：“我们大多数人都在管理一套拼凑起来的工具和平台 ，这些工具和平台原本并非设计用来协同工作的 。”

富兰克林指出
，随着时间的推移，为了满足合规需求、应对事件或满足审计要求，各种解决方案层出不穷
，源码下载CISO们则试图将这些解决方案整合成一个有机的整体，但这种结构本质上很脆弱 。他表示
：“它越脆弱
，就越容易出问题
，一旦出问题
，安全部门就要承担责任。”

第三方风险使情况变得更加危险 ，富兰克林以麦当劳近期发生的招聘机器人泄露事件为例，该事件是由于供应商使用“123456”作为管理员密码导致的。他表示：“这并非某种尖端的国家级黑客攻击，而是大多数企业内部都能发现的基本漏洞，但当涉及合作伙伴时，我们的控制力就有限了，而我们的责任却并未减少 。”

这也回到了在追求新工具时忽视基础的问题
。他表示：“这是一个很好的例子
，说明炫酷的技术正在掩盖基本的安全漏洞，让我夜不能寐的不是缺乏创新，而是我们忘记了基础。”

与此同时 ，安全团队需要在不成为障碍的前提下推动创新。他表示 ：“但如果安全部门没有尽早介入，我们就会被迫采取被动应对的姿态，这对谁都没有好处
。我确实担心攻击者，但让我更加担忧的是 ，在脆弱的基础设施上快速推进 
、未经核实就信任第三方 ，以及在跳过基础步骤的同时追求新技术所带来的内部压力。”

富兰克林警告称 ，AI正在加剧这些挑战 ，而且无法解决根本问题 。他表示：“我坚信在合理的地方使用AI——我们正在利用AI减少手动工作并提高速度 ，但我们必须对自己诚实 ：AI无法修复破碎的基础 。”

企业很难确定AI在所有地方的应用情况，更不用说如何确保其安全了。富兰克林表示：“如果你缺乏可见性，访问控制薄弱
 ，或者没有人审查你的警报 ，AI只会增加一层复杂性 ，更糟糕的是
，它可能会给领导层造成一种我们比实际更安全的错觉。”

深度伪造带来重大安全隐患

深度伪造正成为另一大安全威胁，它助长了员工冒充活动 ，随着这种基于AI的威胁变得越来越复杂，CISO们面临着预防和检测这些攻击以及保护其企业的重大挑战 。

深度伪造员工是指利用AI在远程面试中冒充他人，在亚伦的企业中，他们发现了候选人与简历不匹配的情况  ，或者在远程面试中某人的名字与本人似乎不符的情况。随着许多企业进行远程候选人面试，他们需要更加关注识别和阻止这些威胁 。

亚伦表示，深度伪造是我们必须关注的问题 。虽然相关监管滞后于技术发展
，但这是一个安全从业者无法独自应对的威胁。她表示：“我们需要与供应商建立深厚的合作关系
，以确保我们都了解可能发生的情况 ，然后尽可能地进行防御。”

网络钓鱼更难防范

随着GenAI可供网络犯罪分子使用  ，网络钓鱼邮件变得更加逼真 ，数量也大幅增加。这使攻击者能够完美地模仿英语 。亚伦表示：“现在已经没有用蹩脚英语写的邮件了。网络犯罪分子正在收集信息 ，并发送看起来非常逼真的网络钓鱼邮件
。”

她表示 ：“让我夜不能寐的不是AI本身 ，而是它的能力，比如AI模仿人类的能力。”

将安全优先级与业务成果挂钩

CISO这一角色本身就充满了挑战和忧虑 。将安全举措转化为业务价值，这一任务越来越成为该角色中最具挑战性但也最重要的方面之一  。凯伦表示：“将安全优先级与业务成果挂钩的能力是非常需要的 ，但这很难做到 ，然而，对于CISO来说，要在高管层面提供价值并产生影响 ，这一点正变得越来越必要。”

当成功被定义为没有发生的事情——没有发生数据泄露、漏洞减少或新增工具时 ，就很难衡量成功
。经验丰富的安全领导者已经学会调整他们的参考点
，特别是在受市场力量影响的业务中。凯伦表示 ：“我们是一个业务部门，我们的衡量标准是公司的股价 。”

然而 ，如果没有明确的途径成为以业务为导向的安全领导者 ，CISO们将面临不确定的前进方向 。他表示：“企业确实有责任引导CISO了解业务，并让他们融入业务节奏，以便他们能够与业务紧密相连。”

凯伦建议CISO们寻求有针对性的培训、教育和指导 ，以更好地掌握如何将安全转化为业务指标。

Agero公司的CISO兼首席信息官鲍勃·沙利文(Bob Sullivan)在销售和专业服务领域担任过高管职务，因此培养了强烈的商业思维
。他将指标与重要事项——业务使命联系起来
，展示安全风险对业务可能造成的潜在损害。

例如 ，一份漏洞列表听起来很糟糕 ，但直到他能够解释哪些漏洞是无害的
，或者不是面向外部的，因此对现实世界构成的威胁很小，情况才会变得明朗。对于那些对业务构成风险的漏洞，沙利文会可视化威胁路径，以展示漏洞利用如何导致个人身份信息泄露，以及如果这些信息被泄露、出售或曝光 ，将会产生重大影响。沙利文告诉记者：“如果我只是说这是云中的一个配置问题 ，那对他们来说毫无意义
，但如果我能将其可视化，我就能创造那种背景
 ，并将其与业务故事联系起来 。”

在许多方面
，这是用美元或声誉影响来定义风险  ，因为它们是业务可行性的基础
。他表示：“作为一名网络安全专业人士 ，你必须能够说业务语言
，否则没人会听你的 。”