CISO及其安全指揮鏈似乎對其所在企業的網絡安全成熟度和韌性存在顯著分歧。

根據BitDefender近期發布的一份報告，隨著攻擊面不斷擴大，CISO對其所在企業管理風險的能力比中級安全管理人員更有信心(45% vs.19%)，與此同時，Darktrace發布的《AI網絡安全現狀報告》發現，與安全高管相比，安全從業人員對其所在企業抵御AI驅動威脅的能力信心較低(49% vs. 62%)。

Darktrace的報告總結道：“這些信心差異表明，領導者與一線從業人員之間存在脫節，那些在一線奮戰的人員深知，每天與由AI支持的對手作戰是何種滋味，也清楚地看到當前解決方案的不足之處。”

滲透測試公司Cobalt的首席技術官Gunter Ollmann表示，這種脫節在安全企業中很常見，在確保安全優先級一致方面可能會帶來挑戰。

Ollmann表示：“長期以來，那些日常直面各種攻擊的‘前線人員’與那些遠離一線的人之間存在脫節。一線安全人員飽受警報疲勞之苦，每日的工作負荷帶來的壓力持續不斷，且永遠無法圓滿完成，這使得他們更難看清‘全局’。”

與此同時，網絡安全培訓平臺SecureFlag的技術專家Nicolette Clarkin表示，安全高管脫離日常網絡工作，可能會導致實際問題被忽視。

她說：“高管們通常依賴高層報告和儀表板，而一線從業人員則看到日常挑戰，如覆蓋范圍有限、遺留系統以及警報疲勞等問題，這些問題很少被納入董事會討論，這種脫節可能會讓高層產生一種虛假的安全感，導致在安全開發、威脅建模或技術技能等領域的投資不足。”

One Identity全球IAM戰略高級副總裁Larry Chinski表示：“根據我們的經驗，中級管理人員總是更關心自身的網絡安全態勢，因為他們通常更接近所部署的工具，這些工具構成了他們的安全框架。”

CISO與一線安全專業人員之間的這種安全脫節造成了感知準備與實際準備之間的差距，這可能導致：

? 優先級錯位：網絡安全供應商Acronis TRU的首席安全研究員Santiago Pontiroli表示，投資往往更傾向于可見性和合規性，而非“檢測工程、事件響應和威脅遏制等核心能力”。

? 適應延遲：Pontiroli表示，AI驅動的威脅需要更快、更智能的防御，但由于風險被低估，關鍵升級(如基于行為的分析或自動化)往往被推遲。

? 實施效果不佳：安全工具可能在未進行適當集成或培訓的情況下就被部署，從而限制了其影響，并增加了運營干擾。

網絡安全管理公司FireMon的國際業務高級副總裁David Brown表示：“企業領導者常常認為他們的政策和控制措施是健全的，僅僅是因為近期沒有發生安全事件，但一線從業人員更清楚實際情況，他們看到了隨時間積累的技術債務、政策泛濫以及配置不一致等問題。”

由AI驅動的威脅常被誤解

高管們往往基于高層合規指標或供應商的保證來建立信心，而一線專業人員(安全工程師和分析師)則親眼目睹了AI驅動威脅的不斷演變和復雜性。

網絡安全供應商NormCyber的首席技術官Paul Cragg表示，Darktrace近期發布的行業研究凸顯了這種對比，表明“高層領導者常常高估其所在企業的準備程度，而一線人員則對評估更為謹慎”。

AI的興起使對手能夠自動化執行曾經耗時且昂貴的任務，降低了進入門檻，增加了成功攻擊的可能性。

眾包網絡安全公司Intigriti的首席黑客官Inti de Ceukelaire表示：“一線從業人員往往是第一個認識到這種轉變的人，因為高管們正是依賴他們來首先評估可能性，這并不奇怪。”

攻擊者已經在利用生成式AI來擴大網絡釣魚、冒充和勒索軟件等攻擊規模。與此同時，三分之一或更多的員工在秘密使用AI工具，且缺乏可見性、政策或保護措施。

Ivanti網絡安全集團高級副總裁Mike Riemer表示：“這種‘影子AI’趨勢極大地擴大了威脅范圍，因為它引入了繞過傳統控制的無管理工具和數據流，尤其是在與過時的控制和孤立的系統搭配使用時。”

AI威脅的演變速度如此之快，以至于傳統政策和風險評估已無法跟上。FireMon的Brown警告稱，領導層可能會因定期更新而感到安心，但一線員工看到的卻是一個需要實時關注的不斷變化的格局。

對AI相關威脅的觀點沖突造成了風險滋生的盲點。當領導層認為安全態勢比實際更強時，關鍵投資就會被推遲或誤投。

Brown表示：“企業需要圍繞最小權限原則重新架構，實現執行的自動化，并持續驗證控制措施。如果你的政策已經難以手動管理，那么AI驅動的威脅將徹底破壞它們。”

可見性與背景信息

Forescout安全情報副總裁Rik Ferguson告訴記者，這種脫節在很大程度上源于可見性和背景信息的差異，因為安全態勢的解讀會因個人在企業中的角色不同而有所差異。

Ferguson解釋道：“例如，安全運營中心(SOC)分析師查看一組數據，安全經理查看另一組數據，而CISO看到的又有所不同，每組數據都受到與其在企業中層級相關的工具、團隊和優先級的影響。每一步都會引入信息失真：數據會根據感知的相關性或時間壓力進行匯總、重塑或選擇性突出顯示。”

這導致了對同一數據的不同理解，進而可能導致優先級錯位和對企業實際安全成熟度和風險暴露的錯誤假設。

此外，GRC International Group信息安全經理Adam Seamons表示，CISO地位的提升和向商業領導角色的轉變也可能加劇了這種脫節。

Seamons說：“許多CISO已經從技術領導轉變為商業領導。問題是，這樣做會使他們與運營細節脫節，這就在高管認為正在發生的事情與一線實際發生的事情之間產生了一種‘翻譯鴻溝’。”

缺乏共享指標

如果沒有對風險和態勢的一致、共享視圖，戰略就會變得碎片化，導致決策遲緩或在特定領域的過度或投資不足，進而造成對手可利用的盲點。

Forescout的Ferguson建議：“彌合這一差距首先要改進安全數據的傳達和背景化方式。與其將經過過濾的信息向上傳遞(在此過程中可能會丟失關鍵細微差別)，不如讓安全工具以與角色相關的方式呈現相同的基礎數據。”

例如，安全運營中心分析師需要技術細節，而CISO可能需要與業務影響相關的高層視圖。

Ferguson表示：“當工具能夠在不改變含義的情況下定制背景信息時，它們有助于避免信息失真并改善共同理解。”

其他專家認為，由于工具的改進和溝通的加強，安全意識方面的差距正在縮小。

One Identity的Chinski表示：“CISO應該更多地參與團隊工作，定期溝通，并持續利用技術進步與團隊一起了解安全態勢中的差距。由于企業攻擊面大幅擴大，我們近期看到CISO的參與度大幅提高，因此我們認為，隨著他們采用新的工具來評估安全態勢，這些差距將顯著縮小。”