58% 的 CISO 認為企業無力抵御網絡攻擊！四大核心難題掣肘安全議程落地

當前，網絡攻擊已從 “是否發生” 的疑問，轉變為 “何時來襲” 的必然，這已成為全球企業安全管理者的普遍共識。更為嚴峻的是，Proofpoint 于 2025 年 8 月發布的《首席信息安全官之聲報告》顯示，76% 的 CISO 預判未來 12 個月企業將面臨重大網絡攻擊威脅，該比例較上一年的 70% 持續攀升；同時，高達 58% 的 CISO 坦言，其所在企業尚未具備有效應對網絡攻擊的能力。

企業網絡安全體系建設推進艱難，首席信息安全官（CISO）主導的安全規劃屢屢受阻，其背后究竟存在哪些核心瓶頸？本文結合多位行業安全領袖觀點與多項權威調研數據，梳理出制約企業安全議程落地的四大關鍵問題，并提出針對性破局路徑。

團隊能力缺位：事務繁雜不堪重負，核心優先級難以錨定

當下，CISO 正承受著前所未有的職業壓力。Nagomi Security《2025 年 CISO 壓力指數報告》數據顯示，80% 的 CISO 處于高壓或極端高壓狀態，87% 表示過去 12 個月壓力持續攀升，67% 甚至每周或每日均存在職業倦怠現象。

安全團隊工作任務繁重已成為行業常態，優先級管控遂成為 CISO 的核心工作內容。但現實困境在于，多數 CISO 僅自身掌握優先級判定邏輯，未對團隊開展系統化培訓，導致團隊成員無法獨立做出契合企業安全戰略的決策與行動。

Databricks 現場安全業務負責人 Omar Khawaja 指出，該問題將使 CISO 陷入事必躬親的管理困境，既耗費高管核心精力，又大幅拉低團隊整體運轉效率。

破局思路：CISO 需構建清晰的決策支撐體系與優先級判定標準，明確高、中、低風險事項的劃分依據，賦能團隊成員自主、精準完成工作排序，推動權責下沉，聚焦核心安全任務，釋放團隊整體效能。

AI 發展脫節：業務端加速布局 AI，安全防護難以同步跟進

人工智能技術的高速迭代，推動企業紛紛加快技術轉型，期望借助 AI 實現流程革新與降本增效。但與之形成強烈反差的是，多數 CISO 的安全管控節奏，遠滯后于業務部門的 AI 應用速度。

Cyera《2025 年 AI 數據安全狀況報告》針對 921 名 IT 與網絡安全專業人士的調研結果令人警醒：83% 的企業已落地 AI 應用，但僅 13% 的企業可清晰掌握 AI 系統對敏感數據的訪問與處理行為，16% 將 AI 作為獨立身份主體進行管理，11% 可實現高風險 AI 行為的自動化阻斷，僅 7% 設立了專職 AI 治理團隊。

SANS 首席 AI 官 Robert T. Lee 表示，諸多 CISO 因安全顧慮，要么直接否決 AI 應用場景，陷入 “拒絕式安全防御” 思維；要么在 AI 安全評估環節過度滯后，拖慢企業數字化轉型節奏。加之企業 AI 戰略頻繁調整，進一步導致安全團隊防護目標模糊不定。

更為嚴峻的是，業務部門為快速推進 AI 落地，常繞過安全部門自主部署，直接催生影子 AI、未授權代理與非透明數據流，顯著擴大企業攻擊面，引發大量安全隱患。

破局思路：CISO 需以整體化思維適配企業 AI 發展，而非采用單點評估模式。先為企業核心數據建立風險檔案，簡化低風險數據的 AI 部署評估流程，聚焦中高風險數據的 AI 場景防護；同時向業務單元派駐安全專員，實時對接 AI 應用需求，定向培養團隊 AI 項目評估與防護能力，摒棄盲目否定，實現安全管控與技術創新協同發展。

安全運營守舊：AI 賦能安全價值凸顯，規模化落地仍顯遲緩

一方面是安全團隊跟不上業務端 AI 應用步伐，另一方面，CISO 自身在將 AI 融入安全運營的過程中，同樣進展緩慢。盡管 AI 對網絡安全的賦能價值已得到行業公認，但真正實現規模化落地的企業仍占少數。

ISC2《2025 年網絡安全勞動力研究》針對 1.6 萬名企業管理者的調研顯示，僅 28% 的企業已將 AI 工具融入安全運營體系，19% 處于測試階段，22% 仍停留在前期評估階段。

ISC2 首席信息安全官 Jon France 直言，當前 CISO 群體在 AI 安全部署層面普遍處于 “追趕狀態”。值得關注的是，已應用 AI 安全工具的企業中，63% 表示工作生產力顯著提升。在 AI 對安全運營的短期價值貢獻中，40% 受訪者認為網絡監控受益最為突出，其次為安全運營與安全測試（均占 30%）、漏洞管理（29%）等領域。

這充分印證，AI 在安全運營領域的實用價值已得到驗證，應用落地的滯后，直接意味著企業安全運營效率的落后。

人才短板凸顯：人員與技能雙重缺口，安全建設缺乏人力支撐

人才困境始終是 CISO 推進安全議程的核心障礙，當下這一問題愈發尖銳，成為企業構建強健安全態勢的主要制約因素。埃森哲《2025 年網絡安全韌性狀況報告》顯示，83% 的 IT 高管將網絡安全人才短缺列為提升安全能力的首要障礙。

ISC2 研究進一步揭示人才問題的兩大核心矛盾：一是人員供給不足，2025 年 63% 的企業存在不同程度的網絡安全人才缺口，雖較 2024 年的 68% 略有回落，但形勢依然嚴峻；二是技能結構斷層，2025 年 59% 的企業存在關鍵技能需求缺口，遠高于 2024 年的 44%，95% 的企業至少存在一項技能短板，其中 AI 相關技能需求最為迫切（41%），其次為云安全（36%）、風險評估（29%）等。

Omar Khawaja 還提出全新視角：當前安全團隊不僅缺乏技術能力與軟技能，更稀缺“中間技能”，如風險管理、變革管理等。此類技能是推動安全工作與業務深度對齊、引導全員遵守安全規范的關鍵，技能缺失將導致安全工作推進處處受阻。

破局思路：面對外部人才市場環境，CISO 雖無法直接主導，但可制定系統化人才戰略，以技能與能力為核心優化招聘方向，精準彌補團隊技能缺口；同時強化 “中間技能” 培養，打造復合型安全人才梯隊，以人才優勢支撐安全議程高效落地。

企業網絡安全體系建設，從來不是 CISO 的單兵作戰，亦非安全團隊的孤軍奮戰，而是需要企業全員協同、技術與人才雙輪驅動的系統性工程。上述四大問題看似獨立，實則相互關聯：團隊能力不足源于人才與培訓缺失，AI 應用滯后受制于能力與視野局限，人才短板又從根本上制約能力提升與技術落地。

對 CISO 而言，突破安全議程落地困局，需從 “單兵作戰” 轉向 “體系化建設”：既要完善團隊能力培養與決策機制，也要緊跟技術趨勢實現 AI 雙向賦能，更要構建適配企業發展的人才梯隊。唯有如此，能讓企業網絡安全建設同步于業務發展節奏，在日趨復雜的網絡攻擊環境中筑牢安全防線。

合作電話：18610811242

合作微信：aqniu001

聯系郵箱：bd@aqniu.com