如何借力AI促进网络安全文化建设？

AI与网络安全文化

如今，越来越多的企业开始拥抱人工智能(AI)及生成式人工智能(GenAI)技术，以提升成本效率、促进业务增长以及加速技术创新。开年以来，网络安全厂商也不甘落后地纷纷宣布接入Deepseek大模型，以提升安全运营、威胁检测、攻防对抗、漏洞挖掘等安全产品和服务的效率和速度。另外一个极具潜力但尚未充分探索的领域是，如何利用AI促进组织的网络安全文化建设。

毕马威与麻省理工学院斯隆管理学院网络安全研究中心于2024年联合开展了一项研究，并发布了题为《网络安全文化新时代：如何利用AI促进职场安全行为》的调查报告，该报告深入洞察了网络安全文化的内涵，网络安全文化建设的挑战，以及AI技术对员工安全价值观、态度和信念的影响。这是业内首个探索AI技术对组织网络安全文化建设影响的研究之一。

据Verizon 2024 DBIR报告显示，超过三分之二(68%)的数据泄漏事件与非恶意的内部员工有关，有效的“人为因素安全风险管理”对于任何组织的网络安全文化建设都至关重要。新兴技术(尤其是AI)的广泛应用是一把双刃剑，在提升效率的同时也扩大了组织的攻击暴露面，带来了前所未有的新风险。正如MIT斯隆管理学院网络安全研究中心执行董事Dr. Keri E. Pearlson所说：“AI对于员工工作方式产生的（以及可能产生的）影响是每位企业管理者都必须关注的问题。忽视AI对驱动员工行为背后的价值观、态度和信念的影响，就等于为组织面临的网络安全威胁敞开了方便之门。”管理网络安全风险需要组织采取更广泛的应对措施来解决，将安全技术控制措施与“以人为中心”的策略相结合，而不能仅仅靠网络安全职能部门一个团队去战斗，这正是打造网络安全文化的关键所在。

网络安全文化的三个组织层次

MIT斯隆管理学院网络安全研究中心将网络安全文化定义为：“驱动员工行为以保护和捍卫组织免受网络攻击的集体信念、价值观和态度的总和”。信念、价值观和态度是组织内每个人都了解，但很少有人能够清晰表达的不成文规则。然而，它们可以从组织中的领导者、团队和个人的日常行为中观察到。

在领导层，组织中的领导层在创建和传播组织安全文化方面发挥着重要作用。网络安全文化体现在领导者对于网络安全的重视程度（网络安全在组织中的位置及优先级）、参与程度，以及自身的网络安全意识与技能。领导者身先士卒、树立榜样会影响整个组织的安全认识和信念。当员工看到领导者优先考虑安全并积极参与安全活动时，中层管理者和基层员工也会随之纷纷效仿，安全参与度和积极性也就随之上升。当领导者更理解网络安全，自身的安全知识和管理水平更高时，领导者会为组织带来新视角、技能和信息，并积极影响全员对于安全文化建设的共同理解，进而促进安全文化与组织战略的一致性。

在团队层面，组织是由共同协作配合，执行业务流程，开展业务活动的不同岗位群体组成。这些群体在日常工作中建立起了共同的价值观和信念，这些都是文化的产物。网络安全文化体现在员工对于群体规范和信念的遵从、团队合作精神，以及跨部门协作意识。

在个人层面，网络安全文化体现在员工对个人影响安全的能力的了解和信心（自我效能）、对各项安全合规制度的理解和掌握，以及对各类网络安全威胁的了解和防范。

网络安全文化成熟度的五个等级

MIT斯隆管理学院网络安全研究中心将组织网络安全文化成熟度水平划分为五个等级：

L1-随机级(Adhoc)：

在这个阶段，组织网络安全文化更多体现在安全技术保护措施的投资与部署，组织可能会随机开展一些安全意识宣贯与培训活动。员工对于网络安全的普遍心态是：网络安全是IT部门的事儿，员工个人不用承担什么安全责任，反正他们会保证我们的安全。

L2-定义级(Defined)：

在这个阶段，组织成立了IT安全团队，有一个初步的安全文化建设计划，管理层已经明确了期望员工应展现的安全行为，并在传统的安全意识宣贯与培训之外，采取了一些额外措施（如处罚和激励机制）来塑造企业文化。员工对于网络安全的普遍心态是：网络安全是IT安全团队的事儿，他们安排什么我们就配合做什么（被动服从和参与）。

L3-管理级(Managed)：

在这个阶段，组织指定了一名安全文化建设工作责任人（不是由首席信息安全官兼任），形成了一个较系统的安全文化建设计划，管理层中有一名网络安全文化领导者，负责组织安全文化的制定、管理及变革。员工对于网络安全的普遍心态是：员工个人对网络安全负有一定的责任，但安全行为仍未成为员工的一种自觉行为，需要网络安全文化领导者的不断提醒、纠正和干预。

L4-先进级(Developed)：

在这个阶段，网络安全已成为管理层的优先事项之一，组织的安全文化建设工作已形成体系化，组织采取了一系列措施及机制确保安全文化落地，为员工充分赋能，形成安全合力。员工对于网络安全的普遍心态是：网络安全是全体员工的共同责任，我将尽力贡献我的一份力量（例如，积极发挥“人力防火墙”的作用，精准识别钓鱼邮件，并及时上报安全风险）。

L5-动态级(Dynamic)：

在这个阶段，组织网络安全文化能够根据不断变化的威胁环境进行动态调整，集体的安全价值观、信念和态度表现出了高度的适应性及与时俱进性。员工对于网络安全的普遍心态是：自动、自发、自驱、创造性。网络安全成为全体员工日常工作中经常讨论的一个话题，即使没有额外的奖惩机制，员工的安全行为习惯依然能够保持。每当新的安全威胁出现时，员工会创造性地带来新的想法和安全建议，自发制定符合自己的安全意识培训计划，积极寻求帮助组织变得更具网络弹性的方法。

在此次调查中，大多数受访者将其组织的网络安全文化成熟度水平自评估为L3或以下。

网络安全文化建设的四大挑战

该报告认为，组织网络文化建设面临的障碍和挑战主要体现在四个方面：

1）行为改变的难度：

网络安全文化建设面临的两个最大挑战均与员工行为有关。第一大挑战是“对改变的抗拒”，个体或群体对新变化或新事物的本能抵触；第二大挑战是“管理人为风险因素和创建强大的网络安全文化”，人为因素安全风险极具复杂性，“一刀切”式的方法行不通。

2）新兴技术的应用：

新兴技术（如物联网、人工智能、量子计算等），尤其是AI带来的安全与隐私挑战：如伦理道德风险、监管风险、能力与技能缺乏、错误信息与虚假信息泛滥、员工误用或滥用AI工具等，74%的受访者认为一个强有力的网络安全文化是在组织内成功实施AI战略的关键前提。

3）供应链生态的风险：

对组织的安全威胁可能来自第三方、第四方甚至第五方供应商，确保日益关联的供应链生态系统、外部服务提供商和合作伙伴免受网络风险的影响，将网络安全价值观、态度和信念扩展到供应链生态伙伴具有相当的复杂性和难度。

4）安全文化的度量：

设定合理的安全文化度量指标，并定期收集数据、衡量偏差和汇报进展，有助于与管理层弥合沟通差距，更好地展示成功和获得支持，最终有助于降低人为因素安全风险。但只有不到50%的受访者在组织内设定了安全文化度量指标，且指标较浅显和初级（仅在合规层），未能衡量员工的行为变化（影响层）或不知道如何衡量网络安全文化和评估行为变化。

组织如何借力AI提升网络安全文化？

该报告指出，人工智能技术可通过五个关键方面（可见性、高效性、可扩展性、个性化及可量化）助力组织建立强大的网络安全文化。

1）可见性(Visibility)

有了AI基础设施的加持（利用人工智能来聚合及分析数据），首席信息安全官和业务领导者能够实时了解其组织内的潜在内部威胁和风险活动（如敏感信息被发送至组织外部、关键信息系统/数据的非授权访问等），从而实时洞察导致安全事件的异常行为。AI技术还可以帮助管理者识别、关联和解读此前未能察觉的风险行为模式。通过将AI整合到工作流程和通信工具中，可以在潜在的“人为漏洞”出现苗头时立即发送预警通知和开展调查分析。

2）高效性(Efficiency)

AI技术可以通过自动化减少重复性任务和耗时活动（如访问权限审查、日志分析等）的负担，同时从一开始就将安全性纳入其中。这能够实现长期以来所期望的“设计即安全(Security-by-Design)”和“纵深防御(Defense-in-depth)”，平衡人为因素、制度流程与技术管控。当网络安全防护的数量和质量能够自动调用时，效率就会大幅提升。

3）可扩展性(Scalability)

AI技术能够加快安全防护措施和安全策略的扩展。快速分析大量数据并转化为安全控制措施的高效性，可以扩展到帮助保护多样化的群体。长远来看，这有可能超越组织的内部安全文化运营，将安全文化延伸至更广泛的供应链生态，改善上下游行业的安全文化。

4）个性化(Personalization)

AI技术能够帮助区分低风险员工和高风险员工，使安全团队能够优先考虑并为高风险员工提供量身定制的安全控制措施和安全培训，从而最大程度地降低人为因素风险。AI还可以分析团队成员的行为模式、学习需求和风格、技能差距和能力短板，并在个体微观层面进行定制，同时正向强化安全行为。通过在合适的时间，向合适的群体，提供合适的个性化安全意识培训，可以大大增强培训的效果。