文章总结： 作者提出五项网络安全改革愿望：淘汰强制改密等过时实践，以实战模拟取代低效培训；安全团队应从风险汇报者转为建设者，亲力缓释风险；推动工具整合与平台化；角色定位应从阻碍者转向赋能者。行业需向技术化、效率导向转型，适应AI时代以避免被边缘化。 综合评分： 88 文章分类： 安全建设,安全意识,安全运营,网络安全,AI安全

我的 5 个网络安全圣诞愿望

原创

FRANK WANG

安全喵喵站

2025年12月24日 08:30 中国香港

我决定尝试点新花样，写一篇更带“节日氛围”的文章。

此前我多次直言对当下网络安全圈现状的不满——它的惰性，以及对变革的抗拒。随着 AI 迅猛崛起、威胁格局被根本改写，业界却愈发不愿接受、直面并适应这些新现实。

这一次，我们不妨向前看。以下是我给网络安全圈的圣诞愿望清单，直指我们必须改变之处，以重拾实效。

愿望一：彻底抛弃过时的安全实践

安全的核心职能是管理与缓释风险。如今我们能获取海量数据来评估风险，意味着安全指引必须随数据变化与新威胁格局持续迭代。

有两样做法应立即淘汰：

• 强制 90 天更换密码：这是过时的合规要求，且徒增用户困扰，反而养成不良密码习惯。多数人只是在现有密码后加个数字或做简单改动，完全失去轮换意义。机器密钥（如数据库密码、多人共用的服务账户密钥）轮换仍关键，但强制人类定期改密只会适得其反。

• 安全问题：本质上就是失败设计。初衷是方便记忆，但在社交媒体泄露大量个人信息的今天，极易被猜中。身份校验已有更可靠、更抗攻击的方式，尤其随着强力密码管理器与更强认证的普及。

现代安全实践其实很简单：使用密码管理器，并在所有场景启用多因素认证（MFA）。

愿望二：废除安全意识培训

这又是一项痛苦且低 ROI 的合规要求。现有数据对这类通用、强制、年度性培训的实际效果说法不一。员工通常让培训在后台播放，或拼命快进点击完事。这种模式只是单向灌输信息，缺乏日常实战练习，导致员工在真实场景中不知如何应对。在大企业，推行此类培训耗费大量运营成本，却鲜有明显回报。针对性较强的专项培训（如开发者安全培训）往往更糟。

我更希望将投入转向定期、精准的互动，比如贴近真实的钓鱼模拟演练。更重要的是，我们应聚焦持续监控与部署自动护栏——直接改变用户行为、防止误操作，而不是指望他们几个月前看过一段视频就能记住。

愿望三：安全回归建设者角色

我不想要更多安全工具，我要安全团队真正去解决问题，而不是当风险的“传声筒”。不知从何时起，安全负责人认定自身价值只是对项目风险进行程序化管理，而非主动缓释风险。他们成了手握“解决方案”的顾问，却缺乏落地执行的所有权与技术能力。这种脱节正是行业效能低下的根源。

安全必须采用更亲力亲为、以工程为核心的方法。我并非主张安全包揽所有风险，但必须在相当比例的风险削减工作中担起责任。仅花时间与金钱揭示风险，却任其悬而未决，对企业毫无助益。因此，安全需要重新建设，努力成为解决方案的直接组成部分，而非仅仅罗列问题。这一转变需要技术领导者，也需要愿意直接参与代码库的意愿。Jonathan Price 在 LinkedIn 帖子中对此有精辟阐述：

愿望四：推进安全工具整合

与前一个愿望呼应，我们要用更少的工具。正如我所言，多数安全工具过于理论化，往往解决的是营销层面的问题，而非真正的技术难题。

这些单点工具的 ROI 常常模糊不清。它们主要制造更多告警、暴露更多风险，却拿不出可落地执行的缓解方案。我们浪费时间在剔除告警噪音、管理那些几乎无法开箱即用、还需冗长 PoC 的复杂工具上。这种企业级销售模式已失灵，与云和 AI 时代的节奏格格不入。

我期望更多投入统一平台——理想是 AI 驱动的平台——直观易用，让安全团队在一个界面上解决问题，而不是采购几十个单点方案。并购潮已显现整合趋势。单点方案市场竞争过度，实际上损害客户整体价值，因此我期待市场自然向“更少、更深”的解决方案调整。

愿望五：安全更专注，更赋能

这是一个关于文化与战略的宏观愿望。安全花了太多时间泛泛抱怨问题，而非开展建设性对话来推动业务。

以 AI 为例，这项技术已扎根并将加速普及。我们不应围绕 AI 潜在问题散播 FUD（恐惧、不确定、怀疑）——暗示不该用它，而应讨论如何安全高效地使用。任何新技术都会带来新挑战，安全的职责是聚焦解决这些挑战，而非鼓吹限制使用。这就是当“拦路虎”与当“赋能者”的区别，正如我在谈“如何成为工程师不讨厌的安全人”时所强调的。

另一个需聚焦改变的领域是合规。安全合规必须更贴合真实安全风险。当前框架充斥耗时但对实际风险缓释作用微乎其微的勾选项。我们把有限的安全资源与人才耗在证明通过了过时认证，而非解决实际安全问题。

结语：适者生存

这些是我在新一年对行业的若干愿望。

我知道部分改变或许耗时良久，但另一些受市场整合与技术进步推动的变化会来得更快。根本挑战在于，安全固步自封太久。我们长期以运营、审计职能运作，依赖的是前云、前敏捷、更遑论前 AI 时代的流程与杠杆逻辑。

我们看到新一代技术型安全领导者正在涌现——他们深知，要在现代软件驱动业务中管理风险，必须深度理解软件工程与业务背景。正是这种领导力转变，才会真正推动本愿望清单所需的变革。

市场已在施压：

• 安全预算受审视：高管要求可衡量的 ROI 与效率提升，不会再为理论上的风险缓释开空白支票。
• 供应商整合不可避免：大量单点工具——许多用不匹配实际工作流的技术方案解决组织问题——将无法存活。焦点正转向能提供端到端上下文与自动化的平台。
• 信任取代 FUD：安全必须通过高效透明的运营与事件中的清晰沟通，在内部赢得工程团队信任，在外部赢得客户信任。我们要拥抱这样的理念：安全事件不是初始控制的失败，而是展现世界级检测、响应与透明沟通的契机。

选择很明确：要么拥抱向技术化、效率导向、协作型职能的必要转型，要么继续作为过时的守门人，在企业构建与前行中被边缘化。

安全是时候接受新现实，主动适应，方能制胜。

祝大家圣诞快乐🎄

原文链接：

https://franklyspeaking.substack.com/p/my-christmas-security-wishlist

关注「安全喵喵站」，后台回复关键词【报告】，即可获取网安行业研究报告精彩内容合集：

《网安供应链厂商成分分析及国产化替代指南》，《网安新兴赛道厂商速查指南》，《2023中国威胁情报订阅市场分析报告》，《网安初创天使投资态势报告》，《全球网络安全创业加速器调研报告》，《网安创业生态图》，《網安新興賽道廠商速查指南·港澳版》，**《台湾资安市场地图》，《全球网络安全全景图》，《全球独角兽俱乐部行业全景图》，《全球网络安全创业生态图》

话题讨论，内容投稿，报告沟通，商务合作等，请联系喵喵 [email protected]。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全喵喵站 FRANK WANG《我的 5 个网络安全圣诞愿望》