在AI优先的世界中，网络安全的未来在于其劳动力

Foote Partners LLC的首席分析师兼研究合伙人David Foote认为，到2030年，网络安全的未来将与今天大不相同，而且随着AI稳步重塑世界，这个过程将是“混乱”且“不可预测”的。

该行业目前的重点主要在于处理托管服务、云工作负载、终端和身份。但在10月底于田纳西州纳什维尔举行的ISC2安全大会2025上，Foote表示这一切即将改变。

到2030年，从财务系统到楼宇控制系统，几乎每个业务系统都将包含某种形式的嵌入式AI代理来做出决策。这些决策将包括调动资金和与供应商谈判。其结果是，网络安全专业人员将需要保护从智能工厂、机器人到可植入医疗设备、脑/计算机接口的一切。

“想象一个生物与技术相结合的世界，而你正试图保护它，”Foote说，“这是一个非常不同的世界。”

其他需要新保护手段的系统将包括人类感知设备和神经形态设备。模仿人脑神经系统的神经形态芯片目前正由IBM和英特尔等供应商开发。基于这种技术的系统不仅速度将比现有计算机更快，而且在处理非结构化数据方面也会更有效。

威胁将无处不在

与此同时，网络安全领域本身的重要新兴技术包括自主安全和量子加密。Foote预计量子计算机最快可能在五到八年内出现，这将使现有的加密技术变得无用。

“网络安全正变得具有预测性，而非被动反应，零信任正成为基本要求——这是新的常态，”Foote说，“你将保护在你控制之外自主运行的系统和行为体。”

这意味着“威胁将来自四面八方，而不仅仅是边界，因为已无边界安全——边界的概念已经消失了，”他补充道。因此，网络安全专业人员的角色将从“保护者”转变为就风险向公司提供建议，并确保每个人都参与管理这些风险。

另一个结果是，身份的概念将变得比以往任何时候都更重要。“将是身份优先；一切皆身份，”Foote说，“如果你的系统没有得到妥善保护，身份将变得比现在危险得多。”

拥抱变革的必要性

尽管应对这样的未来可能令人感到恐惧，但Foote相信，如果网络安全专业人员愿意拥抱即将到来的变革，他“想不出比这更具前瞻性、拥有更多机会的职业了”。

这些机会将源于以下事实：“网络攻击将更多、成本更高，对人才的需求巨大，增长空间广阔，有机会与不断发展的技术一起工作，能够全球办公，自主创业，而且薪酬相当不错。这在IT职场的范畴内并不常见，”他说。

例如，在劳动力短缺方面，ISC2估计目前全球约有480万专业人员的缺口。更糟糕的是，世界经济论坛指出，只有14%的雇主有信心他们拥有实现其网络安全目标所需的必要人才。

当前已经需求旺盛、并且未来会更加重要的关键专长是软技能。随着AI承担越来越多目前由从业者完成的知识性工作，那些能够有效沟通并与业务部门协作的人将尤其受到重视。

“未来，你将与机器协作，但也将与更多以前从未合作过的人、与公司里从未接触过的领域进行更多协作，”Foote说，“因此，你的团队协作能力、在团队中的表现、以及适应变化、学习、摒弃旧知识、重新学习、从失败中恢复、灵活转换方向的能力——将变得极其重要。”

他相信，这些包括创造性思维、领导力与社会影响力、韧性、灵活性和敏捷性在内的技能，在我们“进入创新经济”的过程中也将变得越来越重要。因为它们对于帮助企业“生存下去”至关重要。

“到2030年，公司可能会在经历一次严重到备份系统丢失、甚至无法恢复的入侵后，开始怀疑自己是否还能继续经营下去，”Foote警告道，“这听起来很可怕，但你必须准备好去防御这些情况，这就要求你提升自己的能力。”

对具备商业头脑的“多面手”的需求

然而，他并不建议通过获取更多认证或重新认证来实现这一点，因为“这没有帮助”。相反，秘诀在于培养更多的商业头脑，而非技术知识。

“你需要参加更多的商业会议，甚至是人力资源会议，以更多地了解业务部门对你有什么期望，以及如果安全是决定公司生死存亡的首要因素，你将在多大程度上参与以前从未涉足的决策过程，”Foote说。

雇主方面的另一个日益增长的转变是他们对于所谓的“多面手”的兴趣日益浓厚，而非通才或专才——这种需求在未来几年只可能增加。多面手在一两个特定领域拥有深厚的技术技能，同时也具备跨领域的知识和对业务背景的理解。

“公司希望一个人能同时具备威胁情报、事件响应、AI安全、身份管理、工业控制系统等领域的技能——他们希望这些技能集于一人之身，同时还希望这个人具备广泛的知识领域，以便能在公司各处工作，而不仅仅局限于一个岗位，”Foote补充道。

但有趣的是，他说从现在到2030年，雇主对“房间里最聪明的技术专家”的兴趣会降低。相反，重点将更多地放在寻找能够“在机器、风险和法规……以及业务目标之间进行转化，同时保持团队健康高效”的专业人士。

Foote指出，这里的关键点在于“随着工具变得更加自动化，工作变得更加人性化”。这些更人性化的工作包括理解AI的风险、影响和伦理。

应对高层的变革

与此同时，在网络安全高层出现的另一个转变是首席信息安全官（CISO）办公室的兴起。在经历了前CISO的高职业倦怠率并离开该行业之后，CISO办公室由两位互补的领导者组成。每个人都能展现出通常难以在单一个体中同时具备的专业知识和优势。

第一位是技术专家，负责管理和支持网络安全团队。第二位则更侧重于业务，通常是前内部顾问，专注于战略并与高级管理层和利益相关者互动。

招聘咨询公司CyberSN的创始人兼首席执行官Deidre Diamond在过去几年中观察到了一个类似的相关趋势，即安全总监职位的设立。“过去，只有CISO和工程师或分析师，中间没有其他层级，”她说，“没有主管，没有安全总监，这表明了投资的增加。”

许多这样的安全总监专注于战略，在某些领域，他们首次被称为“参谋长”。他们通常来自治理、风险和合规或架构背景，Diamond相信这个角色对于“真正跟上网络安全能力和变化速度”将越来越“关键”。

“他们的职责不仅仅是接受战略并确保实现它，还要指出战略中的差距、网络安全能力所在，并在每次出现变动或变化时都能跟上。这是一项繁重的工作，”她说。

成功等于训练有素且积极性高的劳动力

在层级更低的层面，Diamond指出了近年来雇主雇佣的新进入者数量下降——她将其描述为“我们所有人的问题，因为这些人是我们未来的力量”。

例如，过去三年中，接收实习生的组织数量有所下降。但这并非因为缺乏愿意的候选人，而是因为“除非是财富250强或以上的公司”，否则缺乏人手和时间在内部培训他们。

“这仍然是我们面临的一个问题，而且并未消失，”Diamond说，“如果说有什么变化，那就是情况变得更糟了，因为在过去18个月里，我们首次开始将网络安全业务外包到其他国家，而且规模相当大，这意味着我们在培训那边的人，导致我们这里熟练的专业人员更少了。”

更糟糕的是，由于专业人员需要五到八年的时间才能达到那个水平，因此非常熟练的工程师或架构师也严重短缺。

“那是一段很长的时间。所以，技能短缺确实存在，这肯定是一个培训问题，”Diamond说，“即使对于那些有培训预算的公司来说，人们也根本没有时间去参加培训。”

但Foote相信，无论是否准备好，变革必将发生，这意味着网络安全专业人员需要做好准备。在他看来，他们大约有12个月的时间。之后，组织将在AI方面更清楚地了解他们需要什么以获得投资回报，制定适当的业务计划，并相应地进行人员配置。

但他指出，在这个新世界中成功的秘诀不仅仅在于防御系统。它将关乎构建安全的生态系统、合乎道德的AI政策，以及一种有韧性的文化，而最重要的是，这一切都基于一支训练有素且积极性高的劳动力队伍。