网络安全风险的人力成本：暴露风险管理如何缓解安全团队倦怠

网络安全风险的真正成本在于人力。孤立的工具和脱节的运营不仅威胁着企业的安全，还对团队造成了切实负担。如今，是时候采用统一、主动的方法，消除网络安全工作中的阻力了。

我们常从业务角度谈论网络安全风险，但网络攻击的影响最终会波及人们的生活。试想，医院遭遇勒索软件攻击，患者无法获得救命的医疗服务。旅客滞留机场。家庭无法完成新房交易。欺诈与身份盗用带来经济损失和情感创伤。最终，人们会以这样或那样的方式为这些后果付出代价。

而身处网络防御一线的人员，对网络安全风险的人力代价有着深刻体会。他们同样在为此付出成本。

安全团队正濒临倦怠。团队中不乏精通云、OT 和 IT 的优秀专职专家，却被迫在各自孤立的领域工作。云管理员不堪重负。OT 工程师担心补丁时机不当，导致生产中断。漏洞管理团队被大量“严重”警报淹没。其结果是：工作阻力大、精力浪费严重，且团队始终担忧，可能导致业务终止的重大威胁，正潜藏在漏洞之中。

以下数据可直观展现安全团队面临的挑战规模：

• 多达 83 款安全工具，由 29 家供应商提供
  • 每款工具均需一个或多个数据连接器支持
• 自成立以来，MITRE 已跟踪 300,000 个 CVE
  • 预计年底前未修复漏洞数量将达 5150 亿个¹
  • 2025 年上半年披露的影响 OT 的漏洞达 670 个
• AI 普及：89% 的企业要么已在使用 AI，要么正在试点 AI 应用
  • 34% 的企业遭遇过与 AI 相关的外泄事件
• 动态云环境：82% 的企业采用混合云环境
  • 63% 的企业需要应对两家或更多家云服务提供商

这样的例子还有很多，但核心问题已很明确。当团队最需要清晰信息时，却因可见性碎片化、行动脱节和不确定性而举步维艰。在 IT、OT、云、AI 等所有孤立领域中管理漏洞与暴露风险，依然过于复杂且依赖手动操作。 团队需花费数小时（有时甚至数天）整合报告、关联漏洞、分配修复任务，并试图理解这些信息对企业整体风险暴露的意义。他们缺乏一种方法，来整合、统一并分析日常面临的海量安全数据。

当 CEO 或董事会向 CISO 提问“我们是否面临暴露风险？”时，后者往往无法给出有数据支撑的明确答案。

安全团队及其汇报对象（高管）正被数据淹没，却迫切需要清晰的信息。

当疲惫不堪、士气低落的团队进行脱节的防御时，攻击者便获得了最大优势。企业团队在跨领域协作和清晰掌握风险方面步履维艰，而攻击者却能将企业环境视为一个相互关联的“机会场”。通过将漏洞管理、身份、云和运营技术 (OT) 中看似无关的弱点串联起来，攻击者能绘制出可导航的企业环境地图，找到安全团队在各自孤立的职能领域中无法发现的攻击路径。威胁制造者正针对企业零散的防御体系，发动统一的攻击。

难道我们的网络防御者不应该拥有统一的防御阵线吗？

网络安全的胜利，并非依靠个人英雄孤军奋战。而是需要统一的阵线，能够像敌人一样清晰地洞察整个“战场”。这正是暴露风险管理的用武之地。

暴露风险管理是一种主动安全战略方法，旨在整合孤立的团队、工具和数据。它使 IT 和安全团队能够全面洞察攻击面，从而聚焦对企业威胁最大的威胁。通过暴露风险管理，企业可获得：

• 单一、统一的攻击面视图
• 单一、整合的安全数据源
• 跨安全领域的统一风险评分方法
• 基于业务影响和技术上下文，进行优先级分析并修复暴露风险的能力

借助这些能力，企业能够发现看似独立的漏洞、错误配置和过度权限如何组合，形成通往企业最核心系统和数据的攻击路径。凭借这种可见性和洞察力，企业可主动阻断这些暴露风险。

了解暴露风险管理如何改变 Tenable 自身的安全团队。

网络安全倦怠是一种业务风险

兰卡斯特大学一项关于负责任网络安全的研究强调，网络安全岗位人员的福祉，是企业安全战略的关键考量因素。研究参与者表示存在严重的倦怠问题，研究人员指出，这不仅对个人构成风险，还会威胁企业乃至整个社会。

如今，是时候消除网络安全工作中的阻力了。团队理应获得新的方法，减少冗余信息、提供准确的优先级分析指导，在降低风险的同时避免倦怠。暴露风险管理为团队提供了战略和结构，辅以可见性、洞察力和行动力，助力团队协同作战，构建统一的防御阵线。

¹来源：Tenable Research 团队基于遥测扫描数据的估算。

了解详情

使用暴露风险管理对网络威胁先发制敌。