根据BitDefender近期发布的一份报告，随着攻击面不断扩大，CISO对其所在企业管理风险的能力比中级安全管理人员更有信心(45% vs.19%)，与此同时，Darktrace发布的《AI网络安全现状报告》发现，与安全高管相比，安全从业人员对其所在企业抵御AI驱动威胁的能力信心较低(49% vs. 62%)。

Darktrace的报告总结道：“这些信心差异表明，领导者与一线从业人员之间存在脱节，那些在一线奋战的人员深知，每天与由AI支持的对手作战是何种滋味，也清楚地看到当前解决方案的不足之处。”

渗透测试公司Cobalt的首席技术官Gunter Ollmann表示，这种脱节在安全企业中很常见，在确保安全优先级一致方面可能会带来挑战。

Ollmann表示：“长期以来，那些日常直面各种攻击的‘前线人员’与那些远离一线的人之间存在脱节。一线安全人员饱受警报疲劳之苦，每日的工作负荷带来的压力持续不断，且永远无法圆满完成，这使得他们更难看清‘全局’。”

与此同时，网络安全培训平台SecureFlag的技术专家Nicolette Clarkin表示，安全高管脱离日常网络工作，可能会导致实际问题被忽视。

她说：“高管们通常依赖高层报告和仪表板，而一线从业人员则看到日常挑战，如覆盖范围有限、遗留系统以及警报疲劳等问题，这些问题很少被纳入董事会讨论，这种脱节可能会让高层产生一种虚假的安全感，导致在安全开发、威胁建模或技术技能等领域的投资不足。”

One Identity全球IAM战略高级副总裁Larry Chinski表示：“根据我们的经验，中级管理人员总是更关心自身的网络安全态势，因为他们通常更接近所部署的工具，这些工具构成了他们的安全框架。”

CISO与一线安全专业人员之间的这种安全脱节造成了感知准备与实际准备之间的差距，这可能导致：

• 优先级错位：网络安全供应商Acronis TRU的首席安全研究员Santiago Pontiroli表示，投资往往更倾向于可见性和合规性，而非“检测工程、事件响应和威胁遏制等核心能力”。

• 适应延迟：Pontiroli表示，AI驱动的威胁需要更快、更智能的防御，但由于风险被低估，关键升级(如基于行为的分析或自动化)往往被推迟。

• 实施效果不佳：安全工具可能在未进行适当集成或培训的情况下就被部署，从而限制了其影响，并增加了运营干扰。

网络安全管理公司FireMon的国际业务高级副总裁David Brown表示：“企业领导者常常认为他们的政策和控制措施是健全的，仅仅是因为近期没有发生安全事件，但一线从业人员更清楚实际情况，他们看到了随时间积累的技术债务、政策泛滥以及配置不一致等问题。”

由AI驱动的威胁常被误解

高管们往往基于高层合规指标或供应商的保证来建立信心，而一线专业人员(安全工程师和分析师)则亲眼目睹了AI驱动威胁的不断演变和复杂性。

网络安全供应商NormCyber的首席技术官Paul Cragg表示，Darktrace近期发布的行业研究凸显了这种对比，表明“高层领导者常常高估其所在企业的准备程度，而一线人员则对评估更为谨慎”。

AI的兴起使对手能够自动化执行曾经耗时且昂贵的任务，降低了进入门槛，增加了成功攻击的可能性。

众包网络安全公司Intigriti的首席黑客官Inti de Ceukelaire表示：“一线从业人员往往是第一个认识到这种转变的人，因为高管们正是依赖他们来首先评估可能性，这并不奇怪。”

攻击者已经在利用生成式AI来扩大网络钓鱼、冒充和勒索软件等攻击规模。与此同时，三分之一或更多的员工在秘密使用AI工具，且缺乏可见性、政策或保护措施。

Ivanti网络安全集团高级副总裁Mike Riemer表示：“这种‘影子AI’趋势极大地扩大了威胁范围，因为它引入了绕过传统控制的无管理工具和数据流，尤其是在与过时的控制和孤立的系统搭配使用时。”

AI威胁的演变速度如此之快，以至于传统政策和风险评估已无法跟上。FireMon的Brown警告称，领导层可能会因定期更新而感到安心，但一线员工看到的却是一个需要实时关注的不断变化的格局。

对AI相关威胁的观点冲突造成了风险滋生的盲点。当领导层认为安全态势比实际更强时，关键投资就会被推迟或误投。

Brown表示：“企业需要围绕最小权限原则重新架构，实现执行的自动化，并持续验证控制措施。如果你的政策已经难以手动管理，那么AI驱动的威胁将彻底破坏它们。”

可见性与背景信息

Forescout安全情报副总裁Rik Ferguson告诉记者，这种脱节在很大程度上源于可见性和背景信息的差异，因为安全态势的解读会因个人在企业中的角色不同而有所差异。

Ferguson解释道：“例如，安全运营中心(SOC)分析师查看一组数据，安全经理查看另一组数据，而CISO看到的又有所不同，每组数据都受到与其在企业中层级相关的工具、团队和优先级的影响。每一步都会引入信息失真：数据会根据感知的相关性或时间压力进行汇总、重塑或选择性突出显示。”

这导致了对同一数据的不同理解，进而可能导致优先级错位和对企业实际安全成熟度和风险暴露的错误假设。

此外，GRC International Group信息安全经理Adam Seamons表示，CISO地位的提升和向商业领导角色的转变也可能加剧了这种脱节。

Seamons说：“许多CISO已经从技术领导转变为商业领导。问题是，这样做会使他们与运营细节脱节，这就在高管认为正在发生的事情与一线实际发生的事情之间产生了一种‘翻译鸿沟’。”

缺乏共享指标

如果没有对风险和态势的一致、共享视图，战略就会变得碎片化，导致决策迟缓或在特定领域的过度或投资不足，进而造成对手可利用的盲点。

Forescout的Ferguson建议：“弥合这一差距首先要改进安全数据的传达和背景化方式。与其将经过过滤的信息向上传递(在此过程中可能会丢失关键细微差别)，不如让安全工具以与角色相关的方式呈现相同的基础数据。”

例如，安全运营中心分析师需要技术细节，而CISO可能需要与业务影响相关的高层视图。

Ferguson表示：“当工具能够在不改变含义的情况下定制背景信息时，它们有助于避免信息失真并改善共同理解。”

其他专家认为，由于工具的改进和沟通的加强，安全意识方面的差距正在缩小。

One Identity的Chinski表示：“CISO应该更多地参与团队工作，定期沟通，并持续利用技术进步与团队一起了解安全态势中的差距。由于企业攻击面大幅扩大，我们近期看到CISO的参与度大幅提高，因此我们认为，随着他们采用新的工具来评估安全态势，这些差距将显著缩小。”

企业网D1net(www.d1net.com)：

国内头部to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。