基础设施安全
安全劳动力难题:招聘无法解决的深层问题
安全团队引入AI自动化后,若仍沿用旧有组织结构,将导致效率提升但韧性下降,产生‘专长债务’。本文分析三种不同类型的安全工作,并给出企业应对建议。
导语
多数安全领导者已经做了合乎逻辑的事情:将AI引入安全运营,自动化告警队列,在漏洞管理管道中加入机器学习,并将AI集成到SIEM中。即时收益显著——响应时间缩短,常规工作加速,分析师可以将更多精力放在需要深度思考的任务上。然而,团队结构往往保持不变。这种脱节正在造成一个招聘无法解决的安全劳动力难题:组织常常在现有团队结构上叠加自动化,而非围绕人与机器的新分工重新设计架构。结果可能是效率提升但韧性未增,容量增加但专家培养路径模糊。
事件概览
2025年,当AI安全工具已趋成熟之际,Dexian CEO Maruf Ahmed在Cybersecurity Insiders撰文指出,许多安全团队的运营模式仍然停留在自动化前的时代。安全领导者看到仪表盘数据改善、更多任务被处理,却感觉团队整体能力并未实质增强。高级分析师花大量时间复核机器产生的输出,而非从事其经验本应支持的深度调查;初级分析师在自动化工作流中快速流转,却未能获得足够的实践上下文来培养模式识别能力和独立判断力。
技术与风险分析
文章区分了三种通常被统称为“分析师工作”的任务类型:
1. 可由自动化主导的工作:常规富化、重复性关联、初始优先级排序。技术能比人工更快速、一致地完成。 2. 需人工验证机器产出的工作:审查自动分类决策、检查严重性评分是否匹配更广泛的业务上下文、判断推荐是否基于可用事实合理。 3. 需要深度人类主导的工作:复杂调查、威胁建模、对抗性推理、事件响应决策、影响业务的判断。这些工作依赖于经验、上下文、怀疑精神以及识别熟悉信号可能暗含不同含义的能力。
这三种工作本质上不同,需要不同的技能、经验水平和职业路径。然而,许多团队依然让同一批人在三者之间来回切换,取决于队列中下一个是什么。这种方式导致高级分析师被迫花大量时间验证本可由低级别人员处理的例行输出,而初级分析师则在缺乏足够上下文的情况下快速通过自动化流程,无法识别系统建议的不合理之处。
企业影响分析
从企业视角看,这种错配带来多重风险:
- 人才利用低效:高薪高级人员从事低价值工作,造成资源浪费。
- 专长债务(Expertise Debt):组织在处理日常工作时看似更轻松,却越来越不注重培养未来所需的判断力。长期来看,关键岗位将出现经验断层。
- 运营韧性下降:当自动化系统出现误报或面对新型攻击时,缺乏深度经验的团队难以做出正确响应。
- 合规与品牌风险:安全事件响应中因判断失误导致的延误可能增加违规成本并损害声誉。
行业趋势观察
Ahmed的观点呼应了更广泛的行业趋势。安全劳动力短缺问题长期存在,但许多组织的应对策略是“招聘更多+部署更多自动化”,而非重新思考工作架构。随着AI在安全运营中的渗透率持续提升(Gartner预测到2027年近60%的告警将由自动化处理),单纯增加人力已无法解决能力错配。行业正从“自动化套壳”阶段转向“人机协作再设计”阶段——这要求CISO重新定义分析师角色、技能要求和职业发展路径。
防御与应对建议
企业可采取以下措施解决这一结构性劳动力问题:
1. 重新设计团队结构:根据三种工作类型分离职责,设立明确的层级和升级标准。例如,将例行验证任务分配给初级分析师或自动化,高级分析师专注于深度调查。 2. 建立专长发展机制:设计培训计划,使初级分析师在自动化辅助下仍能接触真实威胁场景,逐步积累判断力。轮岗、模拟演练、红队经验均可帮助。 3. 调整绩效指标:不仅衡量处理量(如告警关闭数),还应关注团队能力提升、判断准确性、创新贡献等长期指标。 4. 投资于可解释AI:确保自动化系统能向人类解释其结论依据,便于验证和学习。 5. 定期审计人机分工:每季度评估哪些任务可进一步自动化,哪些应保留人工,并根据威胁格局变化调整。
SecurityPost Insight
安全行业的劳动力讨论长期困于“人才缺口”和“认证不足”的表层叙事。Dexian CEO Maruf Ahmed的文章提醒我们,更深层的问题在于组织设计——当AI和自动化承担了越来越多操作性任务后,我们并未同步重构“人”的角色。这不仅是效率问题,更是能力传承问题。若企业继续用旧架构运行新工具,将在无形中积累专长债务。未来,真正的竞争力将不来自拥有多少安全工具,而来自组织如何围绕人机协作重新定义工作、培养判断力,并将人类智慧与机器速度有机结合。CISO应当将劳动力架构设计提升到与安全架构同等重要的战略地位。
*参考来源:Maruf Ahmed, “The Security Workforce Problem That Hiring Won’t Fix,” Cybersecurity Insiders. 原文链接*
证据路径 · securitypost
securitypost 将这段说明放在「威胁简报 / 企业安全 / 聚焦身份、云防护、终端安全、安全运营、供应商动态,以及影响企业风险管理的关键控制措施。」的站点语境中。「威胁简报 / 企业安全 / 聚焦身份、云防护、终端安全、安全运营、供应商动态,以及影响企业风险管理的关键控制措施。」解释了本文的本地编辑角度: 读者复用摘要前应先打开来源链接。日期、名称和状态变化仍需重新核对。