让CISO夜不能寐的六大安全挑战

CISO们心中装满了各种问题，从团队倦怠、AI风险到证明业务价值的压力，安全领导者们正在应对一系列复杂的威胁。

安全行业存在压力问题

安全行业普遍存在压力问题，从初级分析师到C级高管都深受影响。变化的速度、持续暴露于威胁之中以及高风险操作的压力，创造了一个缺乏心理安全的环境。

Qualtrics首席安全官Assaf Keren表示：“我们存在压力问题，而且站出来说自己无法应对日常工作会让人感到羞耻。”

Keren认为，沉默的文化需要改变，否则这个行业可能会耗尽人才，加剧技能差距。“你不应该因为工作而夜不能寐，如果有什么工作相关的事情让你失眠，你应该寻求帮助。”

他希望寻求帮助能在行业内常态化，因为错误或不幸的个人和职业代价可能很高。“我们有资源让事情变得更好，作为行业，我们都应该做得更多，”他告诉CSO。

Keren对AI的可能性感到兴奋，例如处理分类或某些手动任务，以帮助减轻安全从业者的负担和相关压力。“我们越多地减少人们所做的琐碎日常工作，让他们专注于大局思考，就越能减少对工作流程的干扰。”

AI可能引发能力危机

在心理健康组织Headspace，CISO Jameeka Aaron看到了AI的许多潜在应用，但她正在平衡启用与谨慎。然而，Aaron特别关注生成式AI对招聘过程的影响。虽然强大的开发者可以利用AI获得优势，但较弱的开发者在面试和初步评估中可能显得更有能力。

“你必须拥有技能。如果没有，AI当然可以帮助你回答面试问题，但当你开始工作时，这并没有帮助，我们很快就能知道某人的能力是否与他们在面试中表现一致，”她说。

这给已经过度 stretched 的CISO增加了另一层困难。“随着AI的发展，了解潜在员工的能力变得越来越难，”她说。

AI工具可以掩盖技能缺陷，这是CISO无法通过新控制或工具轻易解决的问题。“存在招聘那些在AI帮助下面试表现良好但缺乏基本技术知识的人的风险，”她说。“你需要有部落知识和对所启用技术的深入理解，如果没有，AI不会帮助你做到这一点。”

快速前进但不破坏东西的压力

让Fortitude Re CISO Elliott Franklin夜不能寐的不仅仅是威胁行为者，还有CISO每天应对的内部复杂性。“我们大多数人都在管理一堆从未设计为协同工作的工具和平台，”Franklin说。

随着时间的推移，为了满足合规需求、响应事件或满足审计，解决方案层层累积，CISO们试图将它们粘合成连贯的东西，但结构 inherently 脆弱，据Franklin说。“它越脆弱，就越可能破裂。当它破裂时，安全部门是承担责任的人。”

第三方风险使情况更加危险，Franklin引用了最近麦当劳招聘机器人漏洞事件，该事件是由供应商使用‘123456’作为管理员密码引起的，作为一个完美的例子。“那不是某种尖端国家支持的黑客攻击。这是大多数组织内部会发现的基本失败——但当它是合作伙伴时，我们的控制有限，我们的责任也不明确，”他说。

这也回到了在追逐闪亮新工具时忽略基础的问题。“这是一个完美的例子，说明华丽的技术如何掩盖基本的安全失败。让我夜不能寐的不是缺乏创新，而是我们忘记了基础，”他说。

与此同时，安全团队被期望 enable 创新，而不是成为障碍。“但当安全没有被及早引入时，我们被迫采取 reactive 姿态，这对任何人都没有好处。我确实担心攻击者。但我更担心在脆弱基础设施上快速移动的内部压力，在没有验证的情况下信任第三方，以及在跳过基础的同时追逐新技术，”他说。

AI正在加剧这些挑战，并且不会解决 underlying 问题，Franklin警告说。“我坚信在合理的地方使用它——我们正在 leaning into AI 以减少手动工作并提高速度。但我们必须对自己诚实：AI不会修复破碎的基础。”

组织难以识别AI被使用的 everywhere，更不用说如何保护它。“如果你没有 visibility，如果你的访问控制薄弱，或者没有人审查你的警报，AI只是增加了另一层复杂性。更糟的是，它可能给领导层一种我们比实际更安全的 illusion，”Franklin说。

深度伪造导致重大安全头痛

深度伪造正在成为另一种安全威胁， enable 员工冒充活动。随着这种AI驱动的威胁变得越来越复杂，CISO面临重大挑战，以预防和检测这些攻击并保护他们的组织。

深度伪造员工是指AI在远程面试中冒充某人。在Aaron的组织中，他们检测到候选人与简历不匹配，或者远程面试中某人的名字似乎与人不匹配。随着许多组织远程进行候选人面试，他们将需要更多关注识别和阻止这些威胁。

深度伪造是我们必须关注的事情，Aaron说。虽然法规滞后于技术，但这是安全从业者无法单独对抗的威胁。“我们需要与供应商建立深度合作伙伴关系，以确保我们都了解什么是可能的，然后我们尽可能防御那些事情，”她说。

钓鱼更难捕捉

钓鱼电子邮件变得更加 realistic，并且随着网络犯罪分子可用生成式AI，数量增加。它给了攻击者 flawless 模仿英语的能力。“不再有 broken English 写的电子邮件。[网络犯罪分子]正在收集信息并发出非常 realistic 的钓鱼电子邮件，”Aaron说。

“让我夜不能寐的不是AI本身。是 capabilities，比如AI模仿人性的能力，让我夜不能寐，”她说。

连接安全优先级与业务成果

CISO角色有自己的头痛和担忧。 increasingly，将安全倡议转化为业务价值是角色中最困难但最重要的方面之一。“将安全优先级与业务成果连接起来的能力是一种 sorely needed 的肌肉，而且非常困难，但对于CISO在 executive 级别提供价值和影响力 increasingly necessary，”Keren说。

当成功由未发生的事情定义时——没有漏洞、 fewer 漏洞或添加新工具——很难衡量。经验丰富的安全领导者学会了调整他们的参考点，尤其是在暴露于市场力量的企业中。“我们是一个业务功能，我们通过公司的股价来衡量，”Keren说。

然而，没有明确的路径成为以业务为导向的安全领导者，CISO面临关于最佳前进方式的不确定性。“这绝对是企业的责任，让CISO along 理解业务并成为业务节奏的一部分，以 enable 他们连接，”他说。

Keren建议CISO寻求 targeted 培训、教育和指导，以帮助更好地掌握如何将安全转化为业务指标。

凭借包括销售和专业服务 executive 角色的职业生涯，Agero CISO和CIO Bob Sullivan developed 了强大的商业 mindset。他将指标与重要的事情、业务使命联系起来，显示安全风险对业务造成潜在损害的地方，或者没有。

例如，一份漏洞列表听起来很糟糕，直到他能够解释哪些是良性的，或者不是外部面向的，因此构成 little 现实世界威胁。对于那些对业务有风险的人，Sullivan可视化威胁路径，以演示如何利用可能导致PII，如果被 breached 并出售或暴露，将产生重大 ramifications。“如果我只是说这是云中的配置问题，这对他们来说毫无意义。但如果我能可视化它，我可以创建那种 context 并将其与业务故事联系起来，”Sullivan告诉CSO。

在许多方面，它是用美元或声誉影响定义风险，因为它们是业务可行性的 fundamentals。“作为网络专业人士，你必须能够说商业语言，否则没有人会听，”他说。