近日，Cobalt 发布了《2025年CISO安全洞察报告》，揭示了当前企业在人工智能（AI）、第三方风险与内部威胁方面的核心安全挑战及应对策略。

报告基于对225位首席信息安全官（CISO）的调研，这些受访者所在企业员工规模从500人至10,000人不等，涵盖中大型组织在网络安全管理方面的前沿认知。

01

供应链风险成焦点：开源与AI功能令安全变得更难审计

报告显示，68% 的安全负责人担忧其组织技术栈中由第三方引入的软件工具或组件所带来的风险；而 73% 的受访者在过去一年至少收到了与软件供应链相关的漏洞或事件通知。

这意味着企业对外部软件开发的依赖程度不断加深，供应链漏洞已成为“外包开发”的安全代价。尤其是当开源代码和AI生成式功能的使用越来越广泛时，原有的安全审计机制很难适应这种复杂性和快速迭代带来的风险。

调研显示，46% 的安全高管对AI功能（尤其是大型语言模型）带来的安全影响感到不安，而 在董事会层面，这一话题被认为更为紧迫 —— 有 68% 的CISO 表示其董事会将安全部署生成式AI（genAI）视为关键优先事项。

Cobalt CISO Andrew Obadiaru 表示：

“攻击者的演进速度远超以往，单靠防守远远不够。我们的研究发现，企业正在转向‘进攻型安全’，不仅仅是找漏洞，更是构建一种可持续的安全韧性文化——像攻击者一样不断‘演练’系统，而不是等风险出现才被动响应。”

这也解释了为何有 60% 的受访CISO认为攻击节奏快到难以维持真正的安全韧性。自动化与AI已经被攻击者用来规模化攻击，而企业安全系统却还未完成数字化转型，防御模式仍以“事后响应”为主，这显然难以应对新型威胁。

55% 的安全负责人表示，他们始终担心单个员工的失误可能导致全公司陷入重大安全风险。员工点击钓鱼链接、上传未审查代码、误操作配置等，都可能触发连锁反应，造成严重后果。

这类“非恶意型内部威胁”已成为CISO眼中安全管理的软肋，倒逼企业向更主动、自动化的内控安全体系过渡。

面对越来越复杂的威胁场景，88% 的CISO将渗透测试视为企业安全体系的关键组成部分，不再只是为满足合规要求，而是作为提前发现和缓解漏洞的重要手段。

渗透测试的“左移”趋势也日渐明显：

• 58% 的CISO要求第三方提供渗透测试报告，作为软件安全性的前置验证条件；

• 55% 会额外开展独立代码审查；

• 53% 则由内部团队进行补充性测试。

这表明，组织在供应链安全方面正采取更具深度的多层审查机制，确保外部软件或合作方产品不会引入新的风险。

报告还指出，红队演练（Red Teaming）等“实战化”测试手段，正在成为企业安全战略的重要一环。通过“持续性、威胁驱动的安全测试”，组织不仅能更真实地评估防御系统，也能在复杂环境中构建“动态韧性”。

这份由 Emerald Research 执行的调研，聚焦CISO及VP级安全管理者的真实反馈，反映出中大型企业已普遍意识到：

• 传统防御模式难以应对AI与自动化攻击浪潮；

• 供应链、员工、AI等因素构成多维安全风险；

• **“攻防结合”“持续测试”“前置验证”**正在成为现代企业构建安全体系的三大关键词。

从报告趋势来看，2025年或将成为“进攻型安全”进入主流视野的一年。