报告行业投资评级 - 报告未明确给出对行业的整体投资评级，其核心是提出一种由人工智能驱动的“设计即安全”方法论，并论证其对企业在智能威胁时代构建网络韧性的必要性[1][2][66] 报告的核心观点 - 人工智能从根本上改变了网络攻击的本质，使其能够以机器速度移动、隐藏和学习，因此防御必须从设计阶段开始，即采用“设计即安全”原则[1][6][8] - 尽管绝大多数技术领导者认同“设计即安全”至关重要，但只有少数企业能大规模实践，导致愿景与执行之间存在巨大差距[6][14] - 成功融合“设计即安全”与人工智能的企业，不仅能提升安全防御，更能将其转化为驱动创新和业务增长的竞争优势[6][23][66] 根据相关目录分别进行总结 简介 - 人工智能使恶意软件从破坏系统演变为研究系统，能够模仿日常业务活动如扫描发票、克隆凭证，攻击以毫秒级速度演变[4][8] - 91%的安全高管表示，需要一种融合架构、运营和文化的新网络安全方法[7][9] - “设计即安全”要求将安全与隐私实践嵌入产品服务的整个生命周期，而人工智能既是使其变得至关重要的原因，也是实现它的关键工具[11][12] 第一部分：创新和安全成为合作设计者 - 42%的高管将“自身运营不足”列为其组织面临的第二大威胁，仅次于网络犯罪分子[19][20] - 72%采用“设计即安全”的组织报告在治理、风险和合规方面取得显著改进，人工智能驱动的策略引擎可自动化检测异常并触发纠正流程[21] - 69%采用“设计即安全”的组织报告新产品和服务收益得到提升，表明安全与创新可以同步[23] - 领导者估计在人工智能安全和“设计即安全”上的支出合计超过当前网络安全预算的四分之一[23][30] - 拥有成熟“设计即安全”计划的企业，其IT和安全管理职能效率提升11%至25%[23][29] 第二部分：架构和操作保持同步，解锁更快响应 - 三分之二的高管表示其安全、技术和运营团队仍在孤立工作，这阻碍了实时响应能力[38] - 基于“设计即安全”和人工智能构建的下一代安全程序，能将智能融入架构与运营，实现持续对话[40][41] - 采用“设计即安全”并优化成熟度的组织，平均运营效率提升11%至25%，响应能力是核心衡量指标之一[44] - 报告列举了规模化实施“设计即安全”的主要挑战，包括预算不足、缺乏标准化安全编码实践、遗留系统技术债务等[47] 第三部分：人工智能加深生态系统依赖——并提供捍卫它的手段 - 56%的高管难以跨部门和运营生命周期进行协作，40%在过去三年内经历过涉及关键合作伙伴的数据泄露[51] - 53%的组织依赖托管安全服务提供商，但只有40%将相同的严格标准应用于供应商和外部合作伙伴[51] - 91%的高管同意安全已成为以正常运行时间、响应速度和价值链信任度衡量的运营成果，但仅25%的企业监控第三方AI模型的输入和输出[52][55] - 五分之一的企业通过更深度的生态系统整合，实现了26%或更高的性能提升；27%的企业增强了供应链韧性[57] - “设计即安全”的下一个阶段是构建“联邦信任”，将整个生态系统视为一个集体安全界面[58][59] 操作指南 - 报告为领导者提供了具体的行动指南，包括：将安全要求嵌入每个设计和建设阶段；利用人工智能自动化治理与实时响应；桥接架构与运营以实现共享可视性；将合作伙伴整合进统一安全框架；确保高管赞助与问责制挂钩；构建能够进行情境威胁建模和自我防御的AI融合系统[68][70] 研究发现与差距 - 研究揭示了可能阻碍进步的三个关键差距：从业摩擦（工具可用性与整合问题）、感知与表现差距（对自身效率的高估或低估）、疗效差距（安全能力与实际成果之间的不匹配）[62][63] - 为应对这些差距，报告建议：整合工具转向集成AI运营平台、利用AI提升安全运营、简化安全流程以提高效率[65] 研究方法论 - 该研究由IBM商业价值研究院与Phronesis Partners合作，于2025年第三季度对20个行业、18个国家的超过1000名C级高管进行了调查[7][10][76] - 受访者包括200多名首席信息安全官、300名首席技术官/首席信息官/首席数据官，以及500多名首席执行官、首席财务官等其他C级高管或其职能等同人员[77] - 受访组织平均年收入约为237亿美元[79] - 研究构建了基础能力分数、网络安全绩效指标和效率提升指数三个核心指标，并采用统计模型分析“设计即安全”成熟度与人工智能实践之间的关系[84][86][87][88][91]