勒索软件攻击后,25% 的安全主管被替换

新闻
10天前

在一个理想的世界里,只有当 CISO(首席信息安全官)出现明显失误时,他们才会被问责。但在现实的企业世界中,“替罪羊”几乎成了一种传统。


根据 Sophos 最近的一份报告,在遭遇成功的勒索软件攻击后,CISO 的职位存活率只有 四分之一。业内专家表示,这一结果无论 CISO 是否应当负责,或是否真正拥有阻止此类攻击的实权,都是对所有安全主管的警钟。


勒索软件攻击后,25% 的安全主管被替换_副本.jpg


Info-Tech Research Group 的技术顾问 Erik Avakian 表示:“这个数据并不令人意外,但它反映出董事会层面对安全职能日益增长的挫败感——当安全无法交出理想结果时,这种不满就会显现,而这种判断是否公平往往并不重要。即使攻击源于他们无法直接控制的因素,利益相关方仍然期望 CISO 能防止最坏情况发生。”

Avakian 补充道,勒索软件事件后撤换 CISO 有时确实是必要和合理的,但企业往往过于仓促地做出解雇决定。

他说:“解雇 CISO 对 CIO 或董事会来说似乎是一次必要的重置,但这并不总是战略性的举措。如果事件响应计划得到了执行、检测工具发挥了作用、恢复也在 SLA 之内,那么更换 CISO 往往传递了错误的信息——这表明安全岗位更像是‘面子工程’,而不是实质工作。但如果连基本的安全卫生都没有落实——例如没有网络分段、没有备份、没有桌面演练——那么换人或许是合理的。”


IDC 安全业务集团副总裁 Frank Dickson 认同 Avakian 的看法,但他补充说,在勒索软件事件后,也有一些 CISO 会主动选择离职,从而进一步推高了更换率。

“应对一次勒索软件事件极具消耗性。” Dickson 解释说,


“有些安全人员可能因为倦怠而选择离开,也可能因在修复过程中产生冲突而被要求离开,而并不完全是因为攻击本身。”
1

权限问题


Dickson 还指出,CISO 的“权限”问题值得关注。如果关键决策在业务线(LOB)层面被做出——而且可能是违背 CISO 建议的——那将责任归咎于 CISO 是否合理?

他说:“有人习惯性地认为勒索软件攻击一定是 CISO 的过错。没错,CISO 是一名领导者,但并不是唯一的领导者。安全漏洞往往是多方决策长期累积的结果。”

Avakian 将这种企业反应比作:如果一栋房子因为屋主自身的原因起火,那么房主却去责怪消防队。

他说:“你上一次看到哪位消防队长因为一场火灾被炒掉是什么时候?他们负责的是响应、缓解、教育,并帮助降低未来再次起火的风险。把安全团队,包括你的 CISO,看作是你的消防员。他们在你身后,随时准备在事件发生时出手相助。”

Dickson 还强调,很多企业业务部门,甚至包括一些 CEO 与 COO,常常会意将 CISO 排除在关键会议之外,因为担心他们会拖慢业务进程。


“他们会刻意决定不让安全部门参与。” Dickson 说,


“我告诉这些高管们:‘如果你不想要你的 CISO,别人会要的。’”

2

报告中的调查结果


Sophos 的报告指出,在勒索软件攻击后的取证调查中,往往能发现 CISO 忽视或理应发现的问题。


报告写道: “连续第三年,受害组织将‘被利用的漏洞’识别为最常见的根本原因,占到所有攻击的 32%。被窃取或泄露的凭证依然是第二大常见攻击向量,但比例已从 2024 年的 29% 降至 2025 年的 23%。电子邮件仍然是主要攻击途径:19% 的受害者报告称恶意邮件是根本原因,另有 18% 指出钓鱼攻击——相比去年的 11% 有明显上升。”


Sophos 全球现场 CISO Chet Wisniewski 表示,公司研究发现,40% 的受访者承认勒索软件攻击源于“一个我们早就知道但尚未修复的漏洞”。


“当你面对的是一个造成数百万美元损失的事件时,这种情况是很难幸存下来的。”他说。