企业认可AI网络安全价值但投资回报仍有限

企业网络安全领导者相信AI对其使命至关重要，但据EY最新调查显示，目前很少有企业从智能体安全产品中获得显著收益。

随着AI治理成为高管议程的主导议题，这份周四发布的调查发现，企业正在将风险管理框架整合到运营中取得进展，尽管这种思维方式尚未完全渗透到企业文化中。

调查结果促使EY向仍在决定如何采用和使用AI进行网络安全的企业提出四项高层建议。

企业正在积极推进常规网络安全功能的自动化

EY发现，企业正热衷于追求常规网络安全功能的自动化，认为这样做能够解决安全运营中的预算和效率问题。

"几乎所有安全领导者都认为AI是网络安全的核心防御解决方案（96%），并且已经在网络安全运营中部署AI（95%）"，EY表示。但三分之二的高管表示他们仍在测试AI产品。

网络安全领导者对AI既乐观又担忧，但关注点不同。几乎所有受访者（99%）都预测AI将彻底改变他们保护网络的方式，但同样多的人（96%）表示AI也构成重大威胁，因为它帮助黑客发动快速、复杂的网络攻击。

EY调查涉及对500名来自年收入至少5亿美元公司的高级网络安全领导者的访谈，行业涵盖能源、金融服务到医疗保健等领域。

智能体AI收益尚未实现

在智能体AI方面，EY表示调查"描绘了一幅收益尚未实现的图景"。大约一半使用AI进行网络安全的高管表示，智能体工具产生的回报少于100万美元，另外12%的人要么没有体验到，要么没有跟踪智能体AI的投资回报。

尽管如此，网络安全领导者预期AI将很快接管其团队的许多功能。排在首位的是检测高级持续性威胁（62%的受访者预期这将在未来两年内发生），检测欺诈（58%）和监督身份和访问管理（51%）。

治理框架的重要性

强大的治理框架可能决定这种向AI逐步移交的成败，企业似乎正在认真对待治理问题。大约一半的高管告诉EY，他们已经开始在关键AI活动中实施治理机制。然而，只有26%的人表示他们已经将这些治理流程完全整合到依赖AI的业务部门的工作中，只有20%的人表示治理思维已经嵌入到他们的组织文化中。

然而，调查确实发现了对治理机制重要性的广泛认识。97%的高管表示治理对于从AI网络安全投资中获得价值是"必不可少的"。

人工监督不可或缺

除了治理，人工监督也将防止AI越界并危及企业的网络安全。85%的高管表示他们对所有重大网络安全决策都有人工参与要求，几乎所有受访者（98%）都表示智能体工具需要人工监督才能获得回报。

与此同时，企业没有足够的员工来执行这种监督。在EY调查的高管中，90%表示他们在招聘和留住能够管理AI产品的网络安全工作者方面遇到困难。大约相同比例的人表示，他们公司最大的责任是员工没有准备好抵御AI驱动的网络攻击。

EY称这是"AI在劳动力缺乏适当治理知识时不会减少人为风险的明确指示"。

基于调查结果，EY表示企业需要理解四个重要现实：预算约束使AI在网络安全中成为虚拟必需品；AI的投资回报取决于企业超越"任务级自动化"转向完全智能体操作；AI的人工监督是"不可协商的"；强大的治理流程是值得信赖AI的基础。

Q&A

Q1：企业在网络安全AI应用方面面临什么主要挑战？

A：主要挑战包括智能体AI工具的投资回报有限（约一半企业回报少于100万美元），缺乏足够的网络安全专业人员来管理AI产品（90%企业面临招聘困难），以及员工缺乏应对AI驱动网络攻击的准备。

Q2：网络安全领导者对AI的态度如何？

A：领导者对AI持既乐观又担忧的态度。99%的受访者认为AI将彻底改变网络防护方式，96%认为AI是核心防御解决方案，但同时96%的人担心AI会帮助黑客发动更复杂的攻击。

Q3：企业在AI网络安全治理方面做得如何？

A：企业正在重视治理但仍需改进。约一半企业已开始实施治理机制，97%的高管认为治理对获得AI投资价值至关重要，但只有26%完全整合了治理流程，仅20%将治理思维嵌入组织文化。