Cybereason 發表人工智慧時代的《人物焦點：CIO（資訊長）》

Cybereason 合同會社 (A LevelBlue Company) 在日本提供人工智慧 (AI) 驅動的網路攻擊防禦平台「Cybereason」，現已發布一份名為《人物焦點：CIO（資訊長）》的調查報告。該報告針對包括美國在內的 12 個國家、1,500 名 CIO（資訊長）及其直屬下屬進行了調查。

面對人工智慧威脅日益嚴峻的局面，CIO 們強烈意識到人工智慧驅動的網路安全工具的必要性，但在實際建立和運營防禦體系方面卻面臨巨大挑戰。此外，本次調查也凸顯了一個結構性問題：有限的預算被用於事後「救火」，導致預防性投資延遲。為打破這種局面，報告指出，當務之急是深化管理層的參與，並將安全問題從僅限於 IT 部門的挑戰轉變為涵蓋所有業務部門的韌性策略。

■ 本次調查報告的重點

1. 儘管 71% 的人認為投資人工智慧工具不可或缺，但只有 20% 的 CIO 在實踐中感受到其有效性。

* 51% 預測在未來 12 個月內將發生人工智慧驅動的攻擊。
* 72% 回答說，需要人工智慧驅動的網路安全工具來提高組織的威脅檢測和響應能力。
* 只有 20% 回答說，他們的組織在防禦人工智慧驅動的攻擊者方面的努力「極為有效」。
* 71% 回答說，建立適應性安全使公司能夠在創新中承擔更大的風險。

2. 事後應對的巨大成本和主動安全策略的必要性。

* 在過去兩年中，62% 的人將更多成本花費在處理已發生的事件「救火」上，而不是威脅預防和檢測。
* 46% 預測，如果安全策略不變得更加主動，網路入侵造成的損害將會更大。
* 41% 回答說，內部管理的網路安全解決方案是「有效」的。
* 不到 47% 回答說，全公司範圍的網路安全文化是「有效」的。

3. 近 70% 的人對業務部門和安全部門之間的協作評價不高。

* 47% 回答說，管理層不優先考慮網路韌性是改進的障礙。
* 49% 優先考慮在未來 12 個月內將網路安全整合到業務部門和所有專案中。
* 只有 33% 評價網路安全團隊與業務部門之間的協作「非常有效」。
* 不到 50% 回答說，他們建立了有效連結安全與業務成果的關鍵績效指標 (KPI)。然而，相同數量 (不到 50%) 的人回答說，業務風險承受能力和安全風險管理沒有有效連結。

4. 對軟體供應鏈的高度警惕：超過 56% 的人回答說，軟體供應鏈攻擊是迫在眉睫的威脅，並表示需要加強供應鏈。

* 59% 回答說軟體分發管道，57% 回答說第三方風險管理，都構成高風險，兩者都超過了整體高階主管的數字 (49%)。
* 只有 22% 回答說他們「非常有效地應對」。
* 70% 回答說，他們對加強軟體供應鏈安全進行了中度到顯著的投資。
* 只有 25% 回答說，人工智慧的引入對軟體供應鏈風險構成風險。他們對人工智慧改善軟體供應鏈風險管理的潛力持積極態度。

■ 人工智慧驅動網路韌性的建議重點

* **與業務價值連結：** 向管理層解釋人工智慧對網路韌性的好處，並將相關策略與提升業務價值連結起來。
* **管理層意識改革：** 提高管理層政策的一致性，以加強整體組織韌性。
* **與外部專家合作：** 促進與事件響應和威脅情報專家的合作，為新的攻擊方法做準備。
* **供應鏈風險管理：** 加強整體供應鏈風險管理，例如識別與第三方相關的漏洞並實施嚴格的盡職調查。

【關於本次調查】

* **調查期間：** 2025 年 1 月
* **調查方法：** FT Longitude 進行的定量調查
* **調查對象：**
* **國家/地區：** 美國、英國、法國、德國、印度、澳洲、加拿大、韓國、新加坡、巴西、愛爾蘭、墨西哥
* **員工規模：** 少於 999 名員工 (2%)、1,000-1,999 名員工 (42%)、2,000 名以上員工 (剩餘百分比)