2025年網(wǎng)絡(luò)安全現(xiàn)狀5DCDC5D目錄8/人員招募與職位空缺12/職業(yè)倦怠與人才留任14/雇主福利正在減少17/未來(lái)人才之憂18/技能差距21/預(yù)算21/董事會(huì)與網(wǎng)絡(luò)安全優(yōu)先級(jí)27/網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估《2025年網(wǎng)絡(luò)安全現(xiàn)狀：全球網(wǎng)絡(luò)安全人力、資源與運(yùn)營(yíng)更新報(bào)告》呈現(xiàn)了ISACA⑧于2025年第二季度開展的年度全球網(wǎng)絡(luò)安全現(xiàn)狀調(diào)查的結(jié)果。本報(bào)告揭示了網(wǎng)絡(luò)安全領(lǐng)域在招聘、人員配置和預(yù)算方面的趨勢(shì)，以及網(wǎng)絡(luò)風(fēng)險(xiǎn)與威脅、安全運(yùn)營(yíng)的現(xiàn)狀，并探討了人工智能(AI)在網(wǎng)絡(luò)安全工作中的角色。盡管部分調(diào)查結(jié)果與往年相似，但一些顯著差異也預(yù)示著網(wǎng)絡(luò)安全運(yùn)營(yíng)模式及整體人才趨勢(shì)正在發(fā)生深刻變化。網(wǎng)絡(luò)風(fēng)險(xiǎn)，以及人工智能(Al)在安·適應(yīng)能力成為人才首選：在評(píng)估候選人資質(zhì)時(shí)，適應(yīng)能力躍居首位，被61%的受訪者視為“至關(guān)重要”。而去年排名第一的“過(guò)往實(shí)操經(jīng)驗(yàn)”今年退居第二，重要性獲得60%受訪者的認(rèn)可，較去年73%的高比例顯著下降。這一變化凸顯企業(yè)·人才斷檔問(wèn)題凸顯：繼去年首次出現(xiàn)45至54歲受訪者比例超過(guò)35至44歲群體后，這一趨勢(shì)今年進(jìn)一步延續(xù)。目前，45至54歲人群占比達(dá)35%(較去年上升1個(gè)百分點(diǎn)),成為最大群體。與此同時(shí)，34歲及以下的受訪者比例小幅下降1個(gè)百分點(diǎn)，令人擔(dān)憂。更明顯的信號(hào)是，不到一半的受訪者管理著工作經(jīng)驗(yàn)不足三年的團(tuán)隊(duì)成員。隨著資深安全人員陸續(xù)步入退休年齡，具備管理經(jīng)驗(yàn)的后備人才可能嚴(yán)重不足。企業(yè)亟需立即啟動(dòng)繼任規(guī)劃，以應(yīng)對(duì)未來(lái)可能出現(xiàn)的管理人才斷檔與招聘難題?！ゎA(yù)算樂觀情緒降溫：對(duì)網(wǎng)絡(luò)安全預(yù)算增長(zhǎng)持樂觀態(tài)度的比例從去年的47%降至今年的41%。與此同時(shí)，預(yù)計(jì)預(yù)算將下降的受訪者比例從13%上升至18%,反映出企業(yè)在投入上的謹(jǐn)慎態(tài)度。崗位壓力依然高企：66%的受訪者表示，當(dāng)前工作壓力較五年前有所增加(顯著或略有增加)。壓力主要源于日益復(fù)雜的威脅環(huán)境。盡管威脅復(fù)雜性仍是首要壓力源，但將其視為挑戰(zhàn)的受訪者比例從去年的81%大幅降至今年的63%。崗位壓力依然高企：66%的受訪者表示，當(dāng)前工作壓力較五年前有所增加(顯著或略有增加)。軟技能缺口持續(xù)擴(kuò)大：安全從業(yè)者在軟技能方面的短板日益突出，認(rèn)為存在此問(wèn)題的企業(yè)從去年的51%上升至今年的59%。受訪者普遍認(rèn)為，當(dāng)下最重要的三大軟技能是：批判性思維 (57%)、溝通能力(含傾聽、表達(dá)與沖突解決，56%)以及解決問(wèn)題的能力(47%)?！と瞬帕羧螇毫徑?，但仍存挑戰(zhàn)：半數(shù)受訪企業(yè)表示在留住合格安全人才方面面臨困難，這是自2020年以來(lái)的最低比例。工作壓力大、晉升與發(fā)展機(jī)會(huì)有限，以及被其他企業(yè)挖角，是人才流失的三大主因?！て髽I(yè)福利重心轉(zhuǎn)向?qū)I(yè)發(fā)展：今年，由企業(yè)提供的重要福利中，專業(yè)發(fā)展培訓(xùn)首次超越“支付員工認(rèn)證費(fèi)用”,以60%的比例(較去年上升3個(gè)百分點(diǎn))位居榜首。而支付認(rèn)證費(fèi)用的福利覆蓋率則從去年的65%降至54%,退居第二?！ぬ钛a(bǔ)技術(shù)缺口的內(nèi)部努力減弱：企業(yè)通過(guò)內(nèi)部培訓(xùn)將非安全人員轉(zhuǎn)崗至安全崗位的努力大幅減少，比例從去年的41%驟降至29%。目前，企業(yè)應(yīng)對(duì)技術(shù)缺口的主要方式是增加對(duì)外部合同工或顧問(wèn)的依賴。但即便如此，采取此措施的企業(yè)比例也從去年的36%降至今年的30%,整體應(yīng)對(duì)力度有所今年，企業(yè)在彌補(bǔ)網(wǎng)絡(luò)安全技術(shù)能力缺口方面的投入顯著減少。目前，應(yīng)對(duì)技術(shù)人才短板最主要的方式是增加對(duì)外部合同員工或顧問(wèn)的使用。AI應(yīng)用深化，安全團(tuán)隊(duì)參與度提升：Al在威脅檢測(cè)與響應(yīng)自動(dòng)化、終端安全及常規(guī)任務(wù)自動(dòng)化等安全場(chǎng)景中的應(yīng)用持續(xù)擴(kuò)大。安全專業(yè)人員不僅更頻繁地使用AI工具，也更深地參與到企業(yè)AI戰(zhàn)略的制定中。與2024年相比，更多安全人員正參與AI解決方案的開發(fā)、部署或?qū)嵤?，以及制定?guī)范AI技術(shù)使用的相關(guān)政策?！と藛T配置與技能·組織架構(gòu)/董事會(huì)受訪者主要職責(zé)領(lǐng)域受訪者主要職責(zé)領(lǐng)域網(wǎng)絡(luò)安全管理IT風(fēng)險(xiǎn)管理網(wǎng)絡(luò)安全從業(yè)者.IT合規(guī)自自自其他領(lǐng)域北美*歐洲亞洲**中國(guó)***拉丁美洲非洲印度員工規(guī)模11%150-499人10,000-14,999人少于150人請(qǐng)說(shuō)明貴組織所在主要行業(yè)。(國(guó)家/州/地方)電信/通信與往年類似，許多受訪者仍認(rèn)為網(wǎng)絡(luò)安全人員配置是一大難題。本次調(diào)查中，過(guò)半數(shù)(55%)的受訪者認(rèn)為其安全團(tuán)隊(duì)人手不足，較去年的57%略有改善。在員工規(guī)模為500至4999人的企業(yè)中，這一比例更高——62%的受訪者表示其安全團(tuán)隊(duì)存在明顯或一定關(guān)崗位空缺情況與去年相比變化不大。圖3展示了存布。其中，存在初級(jí)崗位空缺的企業(yè)比例與去年持平，為18%;而存在非初級(jí)崗位空缺的企業(yè)比例則較2024年上升1個(gè)百分點(diǎn)，達(dá)到47%。往都需要較長(zhǎng)時(shí)間。其中，38%的受訪者表示，填補(bǔ)一個(gè)初級(jí)安全崗位平均需要3到6個(gè)月，另有13%的受毫無(wú)意外，填補(bǔ)非初級(jí)崗位所需時(shí)間更長(zhǎng)：39%的受訪者表示需要3至6個(gè)月，25%的受訪者表示平均耗時(shí)超過(guò)6個(gè)月。不同地區(qū)差異顯著——在亞洲1,31%的洲這一比例為30%;而大洋洲僅有14%的受訪者持相同看法。關(guān)于招聘周期的變化，21%的受訪者認(rèn)為比以往更長(zhǎng)，43%認(rèn)為基本不變，17%則認(rèn)為有所縮短。圖3:崗位空缺貴組織是否有尚未填補(bǔ)的(空缺)網(wǎng)絡(luò)安全崗位?(可多選)%1不含中國(guó)和印度92025年網(wǎng)絡(luò)安全現(xiàn)狀：全球勞動(dòng)力、資源與網(wǎng)絡(luò)安全運(yùn)營(yíng)更新報(bào)告企業(yè)中，空缺網(wǎng)絡(luò)安全崗位主要集中在哪類職級(jí)。許多企業(yè)在尋找最合適、最優(yōu)秀的人才方面仍面臨困難。四分之一。圖5列出了當(dāng)前網(wǎng)絡(luò)安全從業(yè)者在評(píng)估候選人資質(zhì)時(shí)認(rèn)為“至關(guān)重要”的各項(xiàng)因素。值得關(guān)注的是，作為今年調(diào)查新增的選項(xiàng)，“適應(yīng)能力”已經(jīng)成為衡量候選人資質(zhì)的首要標(biāo)準(zhǔn)。鑒于網(wǎng)絡(luò)威脅發(fā)生迅速、技術(shù)環(huán)境瞬息萬(wàn)變，企業(yè)更希望招聘到能夠靈活應(yīng)對(duì)各種復(fù)雜環(huán)境和突發(fā)狀況的安全人才。再加上企業(yè)戰(zhàn)略重點(diǎn)的調(diào)整，這些因素共同解釋了為何“適應(yīng)能力”如今最受青睞。相較去年，過(guò)往網(wǎng)絡(luò)安全工作經(jīng)驗(yàn)的重要性明顯下降，從第一降至第二位。而前三項(xiàng)最受看重的因素明顯領(lǐng)先于其他選項(xiàng)，說(shuō)明在當(dāng)前環(huán)境下，適應(yīng)能力、相關(guān)工作經(jīng)驗(yàn)和團(tuán)隊(duì)契合度，比其他因素更能體現(xiàn)一名候選人的勝任力。許多企業(yè)在尋找最合適、最優(yōu)秀的人才方面仍面臨網(wǎng)絡(luò)安全崗位的未來(lái)需求因職級(jí)而異。根據(jù)圖6顯示，需求最有可能增長(zhǎng)的是“一線技術(shù)型安全人員”?？紤]到企業(yè)通常會(huì)配備多名一線技術(shù)骨干，而高管和高級(jí)經(jīng)理崗位數(shù)量有限，因此對(duì)高級(jí)職位的需求自然低于基層執(zhí)行崗位?？傮w來(lái)看，各層級(jí)崗位的需求預(yù)期與去年調(diào)查結(jié)果相近，但整體增長(zhǎng)預(yù)期較去年有所回落。圖4:網(wǎng)絡(luò)安全崗位空缺層級(jí)您的未招到(空缺)網(wǎng)絡(luò)安全崗位中，各層級(jí)分別占多少?圖中百分比顯示選擇“全部”和“大部分”的受訪者比例。一線技術(shù)型安全人員一線非技術(shù)型安全人員網(wǎng)絡(luò)安全經(jīng)理高級(jí)經(jīng)理/網(wǎng)絡(luò)安全總監(jiān)網(wǎng)絡(luò)安全高管或C級(jí)職位(如CISO)102025年網(wǎng)絡(luò)安全現(xiàn)狀：全球勞圖5:衡量候選人資質(zhì)的關(guān)鍵因素以下各項(xiàng)因素在判斷網(wǎng)絡(luò)安全候選人是否合格時(shí)有多重要?圖中百分比顯示認(rèn)為該因素“至關(guān)重要”的受訪者比例。網(wǎng)絡(luò)安全培訓(xùn)項(xiàng)目%網(wǎng)絡(luò)安全靶場(chǎng)**2025年調(diào)查新增選項(xiàng)圖6:網(wǎng)絡(luò)安全崗位需求預(yù)期2在未來(lái)一年內(nèi)，您認(rèn)為以下各層級(jí)網(wǎng)絡(luò)安全崗位的需求將增加、減少還是保持不變?一線技術(shù)型安全人員%一線非技術(shù)型安全人員網(wǎng)絡(luò)安全經(jīng)理4%網(wǎng)絡(luò)安全高管或C級(jí)職位(如CISO)增加保持不變減少2本圖不包括“不清楚”選項(xiàng)的回復(fù)122025年網(wǎng)絡(luò)安全現(xiàn)狀：全球勞動(dòng)力、資源與網(wǎng)絡(luò)安全運(yùn)營(yíng)更新報(bào)告職業(yè)倦怠與人才留任與去年的調(diào)查結(jié)果一致，大多數(shù)受訪者表示，當(dāng)前的工作壓力比五年前更大。今年，有37%的受訪者認(rèn)為自己的崗位壓力“顯著增加”,高于去年的35%。圖7展示了網(wǎng)絡(luò)安全工作壓力較五年前增大的主要原圖7:工作壓力來(lái)源團(tuán)隊(duì)成員技能或培訓(xùn)不足%網(wǎng)絡(luò)安全未被列為優(yōu)先事項(xiàng)*2025年調(diào)查新增選項(xiàng)132025年網(wǎng)絡(luò)安全現(xiàn)狀：全球勞動(dòng)力、資源與網(wǎng)絡(luò)安全運(yùn)營(yíng)更新報(bào)告培訓(xùn)的比例也略有上升(見圖11)3進(jìn)一步佐證了問(wèn)題。倦怠不僅會(huì)降低員工效率、推高人員流失·彈性工作時(shí)間(53%)·鼓勵(lì)員工休假和短暫休息(46%)·重新調(diào)整工作負(fù)荷(30%)崗位輪換(15%)·提供休假或強(qiáng)制休假(12%)以來(lái)的最低水平(見圖8)。圖8:人才留任難度(2020-2025)5workplaces/workplace-burn任方面的困難也有所不同(見圖9)。北美地區(qū)面臨他企業(yè)挖角的情況下降了5%。對(duì)薪酬激勵(lì)不滿而離職的比例也顯著減少，較2024年下降了6個(gè)百分點(diǎn)。職業(yè)倦怠及其他工作不滿因素，可能導(dǎo)致網(wǎng)絡(luò)安全從業(yè)者選擇跳槽。圖10展示了安全專業(yè)人員離職的主要原因。數(shù)據(jù)顯示，近年來(lái)盛行的“被動(dòng)留任” 圖10的調(diào)查結(jié)果還表明，當(dāng)前雇主在網(wǎng)絡(luò)安全人才這一雇主優(yōu)勢(shì)也體現(xiàn)在企業(yè)提供的福利較2024年整體有所縮減(見圖11)。6%印度歐洲中國(guó)4●回答“是”的受訪者比例6Lewis,G.;Zurbano,A.;"The'BigStablog/talent-acquisition/big-stay-is7Thefiguredepicts“ayforLong,"Linkedln,16May2024,www.linkedin.co/152025年網(wǎng)絡(luò)安全現(xiàn)狀：全球勞動(dòng)力、資源與網(wǎng)絡(luò)安全運(yùn)營(yíng)更新報(bào)告圖10:離職原因調(diào)查%被其他公司挖角薪酬福利缺乏吸引力團(tuán)隊(duì)文化或工作環(huán)境不佳%7%圖11:雇主福利您的雇主提供以下哪些福利?(可多選)專業(yè)發(fā)展培訓(xùn)支付員工認(rèn)證考試費(fèi)用支付員工認(rèn)證維持費(fèi)用(如續(xù)證費(fèi))彈性工作時(shí)間學(xué)歷教育報(bào)銷帶薪志愿服務(wù)時(shí)間招聘激勵(lì)獎(jiǎng)金入職簽約獎(jiǎng)金以上皆無(wú)11個(gè)百分點(diǎn)。此外，學(xué)費(fèi)報(bào)銷的覆蓋率也下降了5個(gè)技能提升”),依然是企業(yè)為安全人員提供的核心福大幅下降了11個(gè)百分點(diǎn)。根據(jù)受訪者反饋，技能提限。僅有30%的受訪者表示企業(yè)會(huì)主動(dòng)調(diào)整和平衡工作負(fù)荷，提供彈性工作時(shí)間的企業(yè)比例也僅為53%。無(wú)論是通過(guò)專業(yè)培訓(xùn)還是考取認(rèn)證來(lái)提升技能(即“·運(yùn)營(yíng)預(yù)算(34%)·根據(jù)具體情況，由運(yùn)營(yíng)預(yù)算和人力資源(HR)預(yù)算共同承擔(dān)(25%)·人力資源預(yù)算(12%)另有5%的受訪者表示，其所在企業(yè)完全不資助員工的技能提升，24%的受訪者則不清楚企業(yè)如何為此類由于通往網(wǎng)絡(luò)安全職業(yè)的道路多種多樣，并非所有當(dāng)前從事安全工作的人都是從這一領(lǐng)域起步的。40%的受訪者表示，其安全團(tuán)隊(duì)中有一半或以上人員是直接從網(wǎng)絡(luò)安全相關(guān)職業(yè)開始職業(yè)生涯的；而46%的受訪者則表示，其團(tuán)隊(duì)中過(guò)半成員最初來(lái)自其他行業(yè)，之后才轉(zhuǎn)入網(wǎng)絡(luò)安全崗位。2023年與2024年ISACA《網(wǎng)絡(luò)安全現(xiàn)狀》調(diào)查已表明，網(wǎng)絡(luò)安全從業(yè)人員正在逐步老齡化(見圖12)。圖12:從業(yè)人員年齡分布請(qǐng)選擇您的年齡。者中，39至49歲年齡段的比例增加到了35%,而進(jìn)入該領(lǐng)域的人員中只有12%的人年齡在30歲以下。8方式老齡化。例如，在印度，有15%的受訪者年齡介于25至34歲之間，而51%的受訪者年齡介于35至44歲之間；在中國(guó)，這兩個(gè)數(shù)字分別為14%和34%。今年的調(diào)查結(jié)果顯示，35歲以下的受訪者比例略有下降，而45至54歲年齡段的受訪者比例高于35至44安全職業(yè)的道路，有助于緩解與繼任計(jì)劃相關(guān)的挑比例比去年更高，達(dá)到了59%,比去年增加了8個(gè)百分點(diǎn)。云計(jì)算仍然是第二大技能差距(37%)。圖13圖13:當(dāng)前網(wǎng)絡(luò)安全專業(yè)人員的技能缺口3IT基礎(chǔ)技能8ISC2,2024ISC2CybersecurityWorkforceStudy.GlobalCybersecurityWorkforcePreparesforInsights/2024/10/ISC2-2024-Cybersecurity-Workforc軟技能在安全專業(yè)人士中廣受認(rèn)可。根據(jù)回收的問(wèn)卷，受訪者認(rèn)為，安全人員最需要的五大軟技能依·批判性思維(57%)·溝通能力(包含傾聽、表達(dá)與沖突解決)(56%)·問(wèn)題解決能力(47%)·團(tuán)隊(duì)協(xié)作(包含合作與協(xié)同)(45%)·適應(yīng)能力/靈活性(40%)這五大核心軟技能與2024年調(diào)查結(jié)果一致，排序也·自我驅(qū)動(dòng)力(32%)·領(lǐng)導(dǎo)力(31%)·職業(yè)操守(30%)·正直/誠(chéng)信(29%)·工作態(tài)度(29%)·組織能力(27%)·寫作能力(21%)·同理心(15%)習(xí)平臺(tái)(51%)、導(dǎo)師指導(dǎo)(41%)、企業(yè)內(nèi)部培訓(xùn)活動(dòng)(34%)以及學(xué)術(shù)學(xué)費(fèi)報(bào)銷(19%)等方式。盡管軟技能至關(guān)重要，但成功的網(wǎng)絡(luò)安全從業(yè)者仍需具備扎實(shí)的技術(shù)能力。受訪者選出的五大核心技術(shù)能力為：·數(shù)據(jù)安全(54%)·漏洞管理(50%)·威脅檢測(cè)與響應(yīng)技術(shù)(49%)·云計(jì)算(47%)·身份與訪問(wèn)管理(47%)·事件響應(yīng)(46%)漏洞發(fā)現(xiàn)(27%)腳本編寫/自動(dòng)化(25%)大語(yǔ)言模型安全運(yùn)維(24%)·機(jī)器學(xué)習(xí)安全運(yùn)維(19%)·應(yīng)用程序接口(15%)·微隔離(12%)·虛擬化技術(shù)(11%)非安全崗位員工提供培訓(xùn)，助其轉(zhuǎn)型進(jìn)入安全團(tuán)隊(duì) (41%)。然而，今年這一投入大幅下降至29%,取而代之的是“聘用合同制員工”成為首選方式(占比30%,較2024年下降6個(gè)百分點(diǎn))。其他用于彌補(bǔ)技·依賴人工智能或自動(dòng)化工具(23%)·加大再培訓(xùn)項(xiàng)目的投入(21%)·推廣以績(jī)效為導(dǎo)向的培訓(xùn)，真實(shí)檢驗(yàn)技能掌握程度(20%)·利用學(xué)徒制或?qū)嵙?xí)項(xiàng)目(19%)更加倚重專業(yè)認(rèn)證來(lái)衡量實(shí)際專業(yè)水平(18%)全球多數(shù)受訪者(56%)通常要求初級(jí)網(wǎng)絡(luò)安全從業(yè)存在顯著差異(見圖14)。法不一。圖15展示了受訪者對(duì)近年大學(xué)畢業(yè)生應(yīng)對(duì)圖14:全球大學(xué)學(xué)位要求9印度中國(guó)歐洲●回答“是”的受訪者比例圖15:職業(yè)準(zhǔn)備度您在多大程度上同意或不同意“近年來(lái)網(wǎng)絡(luò)安全專業(yè)的大學(xué)畢業(yè)生已充分準(zhǔn)備好應(yīng)對(duì)同意既不同意也不反對(duì)7%9回答“是”的受訪者比例·事件響應(yīng)(43%)·數(shù)據(jù)安全(39%)·威脅檢測(cè)與響應(yīng)技術(shù)(39%)·身份與訪問(wèn)管理(39%)·漏洞管理(37%)·云計(jì)算(32%)·漏洞發(fā)現(xiàn)(29%)·腳本編寫/自動(dòng)化(27%)·大語(yǔ)言模型安全運(yùn)維(26%)·機(jī)器學(xué)習(xí)安全運(yùn)維(24%)·應(yīng)用程序編程接口(20%)·微隔離(20%)·虛擬化(15%)接近一半(45%)的受訪者負(fù)責(zé)管理具有不到三年工·數(shù)據(jù)安全(48%)·事件響應(yīng)(47%)·威脅檢測(cè)與響應(yīng)技術(shù)(42%)·漏洞管理(41%)·云計(jì)算(40%)·身份與訪問(wèn)管理(40%) 圖17)。盡管如此，對(duì)網(wǎng)絡(luò)安全預(yù)算可能削減的悲觀情緒卻在上升，目前已接近2021年的水平——當(dāng)時(shí)有20%的受訪者預(yù)測(cè)未來(lái)12個(gè)月內(nèi)網(wǎng)絡(luò)安全預(yù)算將下降(見圖18)。這種擔(dān)憂可能源于當(dāng)前的經(jīng)濟(jì)不略超一半的受訪者(53%)認(rèn)為，其網(wǎng)絡(luò)安全預(yù)算存在一定程度或顯著不足。相比2024年(59%的受訪者認(rèn)為預(yù)算不足),這一比例有所改善(見與去年相同，仍有56%的受訪者認(rèn)為其董事會(huì)能夠充分重視網(wǎng)絡(luò)安全。同樣與去年持平的是，74%的受訪業(yè)中，這一比例躍升至95%。222025年網(wǎng)絡(luò)安全現(xiàn)狀：全球勞動(dòng)力、資源與網(wǎng)絡(luò)安全運(yùn)營(yíng)更新報(bào)告圖18:網(wǎng)絡(luò)安全預(yù)算預(yù)測(cè)貴組織的網(wǎng)絡(luò)安全預(yù)算在未來(lái)12個(gè)月內(nèi)將如何變化?(如有變化)<%圖17:網(wǎng)絡(luò)安全預(yù)算資金情況資金適當(dāng)貴組織的網(wǎng)絡(luò)安全預(yù)算在未來(lái)12個(gè)月內(nèi)將如何變化?(如有變化)會(huì)的優(yōu)先考慮可以確保網(wǎng)絡(luò)安全團(tuán)隊(duì)擁有必要的資·56%的受訪者對(duì)其企業(yè)網(wǎng)絡(luò)安全團(tuán)隊(duì)檢測(cè)和響應(yīng)網(wǎng)絡(luò)威脅的能力感到完全有信心或非常有信心(相比之下，那些董事會(huì)未能充分重視網(wǎng)絡(luò)安全的企業(yè)的這一比例僅為21%)?！?5%的受訪者認(rèn)為其網(wǎng)絡(luò)安全預(yù)算不足(而在董事會(huì)不重視網(wǎng)絡(luò)安全的企業(yè)中，這一比例高達(dá)·董事會(huì)優(yōu)先考慮網(wǎng)絡(luò)安全的受訪企業(yè)更有可能提供有競(jìng)爭(zhēng)力的福利(例如專業(yè)發(fā)展培訓(xùn)、支付員工認(rèn)證費(fèi)用等)?！H有48%的受訪者表示在留住合格的網(wǎng)絡(luò)安全人員方面存在挑戰(zhàn)(而在董事會(huì)不優(yōu)先考慮網(wǎng)絡(luò)安全的企業(yè)中，這一比例為64%)。超過(guò)三分之一的受訪人士表示，其所在企業(yè)遭遇的網(wǎng)絡(luò)攻擊較一年前有所增加(見圖19),盡管這一比例較去年下降了三個(gè)百分點(diǎn)。圖20列出了發(fā)動(dòng)攻擊的各類網(wǎng)絡(luò)威脅行為體，整體結(jié)果與去年的調(diào)查數(shù)據(jù)基本相似。圖19:網(wǎng)絡(luò)攻擊趨勢(shì)與去年相比，貴組織今年遭遇的網(wǎng)絡(luò)安全攻擊是增加了還是減少了?%3減少%圖20:威脅行為體如果貴組織今年遭遇了安全事件，以下哪些威脅行為體應(yīng)為此負(fù)責(zé)?僅有10%的受訪者表示其所在企業(yè)自2024年6月以來(lái)曾遭受安全入侵。65%的受訪者表示在此期間未發(fā)生入侵事件，另有26%表示不清楚。圖21展示了這些企魚郵件或惡意代碼，因此令人意外的是，僅有19%的的。近三分之一(31%)的受訪者表示不清楚攻擊是網(wǎng)絡(luò)攻擊(43%)(見圖22),但這一比例較去年(47%)略有下降。圖21:被利用的攻擊向量(包括商業(yè)電子郵件欺詐)漏洞利用(包括未打補(bǔ)丁、配置錯(cuò)誤和已知漏洞)內(nèi)部威脅(包括惡意和非惡意行為)供應(yīng)鏈攻擊(例如第三方、API)遠(yuǎn)程訪問(wèn)污染和惡意廣告)圖22:遭遇網(wǎng)絡(luò)攻擊的可能性您認(rèn)為貴組織在明年遭遇網(wǎng)絡(luò)攻擊的可能性有多大?非常有可能有可能可能性一般不太可能非常不可能不清楚不想回答盡管許多受訪者認(rèn)為未來(lái)一年內(nèi)發(fā)生網(wǎng)絡(luò)攻擊的可能性較高，但令人擔(dān)憂的是，僅有41%的受訪者對(duì)其企業(yè)網(wǎng)絡(luò)安全團(tuán)隊(duì)檢測(cè)和應(yīng)對(duì)網(wǎng)絡(luò)威脅的能力表示完全或非常有信心(見圖23)。需要注意的是，資源更充足的企業(yè)受訪者普遍更有信心——網(wǎng)絡(luò)安全預(yù)算超出需求的受訪者中，有52%對(duì)其網(wǎng)絡(luò)安全團(tuán)隊(duì)檢測(cè)和響應(yīng)威脅的能力完全或非常有信心，預(yù)算資金適當(dāng)?shù)氖茉L者中這一比例為53%。在認(rèn)為其網(wǎng)絡(luò)安全團(tuán)隊(duì)人員配置合理的企業(yè)中，53%的受訪者對(duì)其檢測(cè)和應(yīng)對(duì)網(wǎng)絡(luò)威脅的能力完全或非常有信心。員工人數(shù)超過(guò)10,000人的企業(yè)中，有50%的受訪者對(duì)其網(wǎng)絡(luò)安全團(tuán)隊(duì)的威脅檢測(cè)與響應(yīng)能力完全或非常有信心。大多數(shù)受訪者認(rèn)為網(wǎng)絡(luò)犯罪存在低報(bào)現(xiàn)象。39%的受訪者表示，即使有義務(wù)報(bào)告，大多數(shù)企業(yè)仍會(huì)少報(bào)網(wǎng)絡(luò)犯罪事件；17%的受訪者表示，即使沒有報(bào)告要求，企業(yè)也會(huì)少報(bào)網(wǎng)絡(luò)犯罪。略低于四分之一的受訪者(23%)認(rèn)為網(wǎng)絡(luò)犯罪得到了準(zhǔn)確報(bào)告。這些發(fā)現(xiàn)有助于理解為何29%的受訪者認(rèn)為誠(chéng)信/誠(chéng)實(shí)是安全專業(yè)人員的重要軟技能——未報(bào)告網(wǎng)絡(luò)犯罪，尤其是在被要求報(bào)告的情況下，引發(fā)了對(duì)職業(yè)道德和誠(chéng)信的質(zhì)疑。圖24)。表示已使用網(wǎng)絡(luò)保險(xiǎn)的受訪者比例比去年的8%上升至2025年的11%(見圖25)。不清楚不想回答我所在的組織未購(gòu)買網(wǎng)絡(luò)保險(xiǎn)是否10Araullo,K.;"Ransomwarestillcostly,butcyberclaimsdown-Coalition,"InsuranceBusincyber/ransomware-still-costly-but-cyber-claims-down-coalition-5在那些企業(yè)網(wǎng)絡(luò)安全戰(zhàn)略與整體業(yè)務(wù)目標(biāo)不一致的受訪者中，從未進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的受訪者比例上升至10%,表明企業(yè)的網(wǎng)絡(luò)安全狀況與其業(yè)務(wù)優(yōu)先事項(xiàng)的一致性之間存在關(guān)聯(lián)。圖26列出了企業(yè)在開展網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估時(shí)面臨的主要障礙。投入時(shí)間不足和人員短缺仍是前兩大障礙，圖25:網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的頻率貴組織多久進(jìn)行一次網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估?每月每1-6個(gè)月每7-12個(gè)月圖26:開展網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的障礙貴組織在開展網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估時(shí)面臨哪些(如有)障礙?網(wǎng)絡(luò)安全工具成本高人工智能與網(wǎng)絡(luò)安全今年，企業(yè)將人工智能(Al)工具應(yīng)用于安全運(yùn)營(yíng)的比例較去年有所上升(見圖27)。提供專業(yè)意見的價(jià)值和重要性，預(yù)示著未來(lái)Al的部署將更加安全和負(fù)責(zé)任。40%的受訪者表示，他們本人或其團(tuán)隊(duì)成員參與了Al解決方案的開發(fā)、引入或?qū)嵤?，這一比例顯著高于去年的29%(見圖28)。近一半的受訪者還表示，他們(或其團(tuán)隊(duì))參與制定了規(guī)范本企業(yè)使用Al的政策，該比例明顯高于2024年的水平(見圖29)。這一上升趨勢(shì)令人謹(jǐn)慎樂觀——企業(yè)似乎日益認(rèn)識(shí)到網(wǎng)絡(luò)安全團(tuán)隊(duì)在AI應(yīng)用中AI工具的采用可能與企業(yè)的網(wǎng)絡(luò)安全成熟度相關(guān)。在那些從不進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的企業(yè)中，有44%的受訪者表示，他們?cè)谡{(diào)查所列的任何任務(wù)中均未使用Al。這一發(fā)現(xiàn)表明，企業(yè)已意識(shí)到使用AI可能帶來(lái)的風(fēng)險(xiǎn)；如果企業(yè)連開展網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的資源都不足，便更不愿意承擔(dān)引入AI工具所帶來(lái)的額外安全風(fēng)險(xiǎn)。圖27:人工智能在安全運(yùn)營(yíng)中的使用情況貴組織是否在以下任何安全運(yùn)營(yíng)中使用人工智能?%%以上皆無(wú)1圖28:參與Al生命周期的情況您或您團(tuán)隊(duì)中的任何人是否參與了AI解決方案的開發(fā)、引入或?qū)嵤?是否3圖29:參與制定AI政策的情況您或您團(tuán)隊(duì)中的任何人是否參與了貴組織關(guān)于人工智能技術(shù)使用政策的制定?是否近一半的受訪者表示，他們或其團(tuán)隊(duì)參與了企業(yè)Al近一半的受訪者表示，他們或其團(tuán)隊(duì)參與了企業(yè)Al使用政策的制定，這一比例明顯高于2024年。這一持續(xù)上升的趨勢(shì)令人謹(jǐn)慎樂觀——企業(yè)正越來(lái)越意識(shí)到網(wǎng)絡(luò)安全團(tuán)隊(duì)在AI應(yīng)用中提供意見的價(jià)值和重要性，預(yù)示著未來(lái)Al的落地將更加安全、更加負(fù)責(zé)任。結(jié)語(yǔ)：為不確定的未來(lái)做好準(zhǔn)備人才。專業(yè)人士正接近退休年齡，而年輕一代從業(yè)者可能的企業(yè)允許非網(wǎng)絡(luò)