让CISO夜不能寐的六大网络安全挑战

安全行业存在压力问题

安全行业普遍存在压力问题，从初级分析师到C级高管都深受影响。变化的速度、持续暴露于威胁之中以及高风险操作的压力，共同造成了缺乏心理安全感的环境。

Qualtrics首席安全官Assaf Keren表示：“我们存在压力问题，而且主动承认自己无法应对日常工作是件令人羞耻的事。”他认为，沉默文化需要改变，否则行业可能耗尽人才，加剧技能缺口。“你不应该因为工作而夜不能寐，如果工作让你失眠，就应该寻求帮助。”

心理健康组织Headspace的CISO Jameeka Aaron看到了AI的许多潜在应用，但她谨慎地平衡赋能与风险。她特别担心生成式AI对招聘过程的影响：虽然优秀的开发者可以利用AI优势，但能力较弱的开发者可能在面试和初步评估中显得更有能力。

“你必须具备技能。如果没有，AI当然能帮你回答面试问题，但当你开始工作时，它就没用了，而且我们很快就能发现某人的能力与面试表现不符，”她说。这给本已超负荷的CISO增加了另一层难度。“有了AI，了解潜在员工的能力变得越来越难。”

Fortitude Re的CISO Elliott Franklin夜不能寐的原因不仅是威胁行为者，还有CISO每天应对的内部复杂性。“我们大多数人都在管理一堆从未设计为协同工作的工具和平台，”Franklin说。

随着时间的推移，为了满足合规需求、响应事件或通过审计，层层解决方案不断累积，CISO们试图将它们粘合成连贯的整体，但结构本身脆弱。“越脆弱，就越容易出问题。一旦出问题，安全部门就得背锅。”

深度伪造正成为另一种安全威胁，支持员工冒充活动。随着这种AI驱动的威胁变得越来越复杂，CISO在预防和检测这些攻击以及保护组织方面面临重大挑战。

深度伪造员工是指AI在远程面试中冒充某人。在Aaron的组织中，他们发现了候选人与简历不匹配的情况，或者远程面试中某人的名字与本人不符。随着许多组织远程进行候选人面试，他们需要更加关注识别和阻止这些威胁。

钓鱼电子邮件变得更加逼真，数量也随着网络犯罪分子使用生成式AI而增加。这使攻击者能够完美模仿英语。“不再有蹩脚英语写的电子邮件。[网络犯罪分子]正在收集信息并发出非常逼真的钓鱼邮件，”Aaron说。

“让我夜不能寐的不是AI本身，而是AI模仿人类的能力，”她说。

CISO角色有其自身的头痛和担忧。将安全计划转化为业务价值的任务越来越成为该角色最困难但最重要的方面之一。“将安全优先级与业务成果联系起来的能力是一种急需的肌肉，而且非常困难，但对于CISO在高管层提供价值和影响力越来越必要，”Keren说。

当成功由未发生的事件定义时——没有漏洞、更少的漏洞或新工具的添加——很难衡量成功。经验丰富的安全领导者已经学会调整参考点，尤其是在受市场力量影响的企业中。“我们是一个业务职能部门，我们通过公司股价来衡量，”Keren说。