Living Security，全球人类风险管理（HRM）领导者，今日发布了由顶尖研究机构 Cyentia Institute 独立完成的《2025年人类网络风险现状报告》（2025 State of Human Cyber Risk Report）。该报告首次深入揭示了组织内部的行为性风险，并指出，相较于传统方法，战略性HRM计划可将风险降低速度提升60%。

研究基于来自100多家企业和数亿条用户行为事件的数据，首次绘制出网络风险在员工群体中真实存在的数据驱动图谱，并展示了领先企业是如何逐步缩小这一风险的。报告证实了一个长期猜测但鲜有数据支持的事实：

仅10%的员工承担了73%的高风险行为。

研究结果表明：保护企业安全的关键，不只是管理系统，更是管理人。

Living Security 首席执行官兼联合创始人 Ashley Rose 表示：

“安全团队始终知道‘人为因素’在安全漏洞中至关重要，但他们缺乏针对它的可视性。  迄今为止，大多数洞察依赖于零散线索，例如钓鱼邮件点击率等狭隘指标。  这份报告则改变了这一点：它提供了确凿的数据，准确指出风险存在的位置，并展示了什么方法真正有效。”

 报告关键发现：

• 人类风险是高度集中的，而非普遍存在的：  仅10%的员工就占据了企业中近73%的高风险行为。

• 风险可视性极度匮乏：  仅依赖“安全意识培训”（SAT）的组织最多只能识别12%的高风险行为；  而采用成熟HRM方案的企业识别能力是其5倍。

• 风险认知存在偏差：  与普遍观念相反，远程和兼职员工的风险低于办公室常驻员工。

• HRM确实有效：  使用 Living Security 的“Unify平台”的企业将其高风险用户数量减少了50%，并将高风险行为的持续时间缩短了60%。

从“意识”到“行动”：让人类风险变得可衡量

不同于聚焦外部攻击或合规审查的传统报告，《2025人类网络风险现状报告》专注于组织内部的行为性风险，以及在适当干预下这些行为如何改变。

报告内容包括：

• 对人类风险的详细分类，涵盖行为、事件与属性；

• 不同行业、岗位、访问权限层级中的风险分布；

• 基于行为一致性的“人格模型洞察”；

• 基于行为触发的干预行动计划，明确证明这些措施可以显著降低组织整体风险暴露。

给网络安全领导者的提醒：

在预算日益紧缩、威胁不断演化的当下，形势已经非常明确：

网络安全已无法再仅依赖“意识教育”。

领导者必须：

• 优先获取员工行为风险的可视性；

• 实施有针对性的行动干预；

• 推动ROI驱动的安全成果。

Ashley Rose 补充道：

“网络安全不再只是技术问题，而是行为问题。  如果我们不了解谁是我们最具风险的用户、他们为何高风险、以及如何帮助他们改进，  那我们只是在追赶问题的表象，而非解决根源。”

展望未来

这些发现发布之际，恰逢AI代理与数字员工逐渐进入企业环境，企业的攻击面也在迅速扩展。

作为人类风险管理领域的先驱，Living Security 对此趋势有着清晰判断：

未来的网络韧性不仅仅是管理人类风险，更是管理行为风险——无论其来源是人类，还是AI。

这份报告不仅展示了在人类行为方面取得的可衡量进展，也预示了未来的方向：  一个企业将同时对“人”与“代理智能体”实现可见性、统一标准与问责机制的新时代。