芝加哥有一个大多数游客看不到的"第二 Downtown"。 Downtown Pedestrian Walkway System,即"The Pedway",通过地下通道和商业大厅网络将火车站、写字楼、政府大楼、酒店、商店和公共空间连接起来。它很实用,有那么点令人困惑,而且很容易被忽视——直到天气变糟或者地面上的街道变得拥挤。
现代组织的运转同样依赖于大多数人很少看到的路径。服务账户、API 密钥、SaaS 集成、供应商访问、CI/CD 管道、AI 工具和自动化工作流都在可见的组织架构之下那条"业务地下通道"中流动。这种隐藏层让芝加哥成为了 GCSI Annual Conference 2026 的理想举办地。
这场由 Global Cyber Security Initiative 举办的年度活动,聚集了数百位 CISO、网络安全专家、法律从业者、董事会成员及其他领导者,地点位于伊利诺伊理工学院的芝加哥-肯特法学院,同时也有全球各地的线上参与者。在整个活动期间,我们听到了关于 AI 采纳、供应链风险、董事会治理和攻击性自动化等主题的演讲。很显然,网络安全就绪取决于对决策、数据、凭证和风险实际流动的隐藏路径的理解。
以下是今年活动的几个亮点。
当可见性瓦解时,如何保障供应链安全
供应链风险不再仅仅关乎组织能看到的那部分供应商。题为"在不确定性和集中风险中保障供应链安全"的 CxO 专题讨论,由 InfraShield 的 Mark Rorabaugh 主持,成员包括 McDermott, Will & Schulte 的 Stephen Reynolds、HALOCK 的 Terry Kurzynski 以及 Hartzman Partners 的 Matt Hartzman,将供应链风险定义为业务之外但仍能影响业务的一切,包括供应商、供应商的供应商、嵌入式软件、AI 模型以及下游客户所依赖的服务。
这种不透明性才是真正的问题。已知的风险可以管理。未知的依赖关系则更难防御,尤其是对于缺乏大型企业那种杠杆效应或资源的中型和小型组织。
小组提醒我们:"清单只是起点。"它们不能证明风险已被理解、已减少或已被承担责任。合同、保险和供应商问卷很重要,但它们无法替代理解谁可能造成伤害、存在哪些义务、以及什么是合理的尽职调查的工作。
小组得出结论:组织无法完全转移供应链风险。他们需要先管好自己,然后才能管理合作伙伴的风险。这从提出更好的问题开始,包括哪些大语言模型正在使用中、它们被用在哪里、以及新的供应商或 AI 依赖是如何在无人察觉的情况下进入环境的。供应链每天都在增长。工作的目标是知道你不可能知道一切,然后围绕这一现实建立治理机制。
CxO 专题讨论:保障供应链安全——在不确定性和集中风险中
将网络安全打造为董事会层面的业务议题
"董事会层面讨论——将网络安全提升为战略性业务优先项"专题讨论的共识是:网络安全现已成为董事会层面的优先事项,但许多对话仍未击中要害。Next Era Transformation Group 的 Laszlo Gonc 开门见山地点明了当下的紧迫性,以及需要带着真正能改变现状的东西离开这些讨论。PDA 董事会成员 Robert Barr 指出,董事会的对话在改善,但网络安全仍然太多时候仅作为"威胁态势"更新呈现,缺乏足够的业务背景。Accenture Security 前高管 Bob Kress 提醒我们,董事会不需要一场让他们一头雾水或把 CISO 赶出会议室的技术简报。而小组最后一位成员、Rotary International 的 CISO Wendy Betts,给出了也许是整场活动最具实用性的领导力建议:要成为成功的领导者,必须"鼻子伸进去,手指缩出来",即深入对话但不干涉战略的执行。
小组强调,董事会认可的网络安全领导者必须理解治理。董事会的角色不是做管理决策,技术深度可以很快让对话偏离轨道。CISO 需要将风险翻译成业务术语:财务影响、运营暴露、客户信任、保险要求、产品风险,以及管理每个权衡的选项。领导者需要保持足够的高度,帮助其他董事会成员处理风险,而不被拖入细节。最有效的方式往往是与业务领导者联合展示,用董事会已经使用的语言同时呈现机会和风险。
实际建议很直接。在董事会会议前建立关系。学习董事会的语言,研究其成员,先倾听再尝试证明自己的专业能力。网络安全领导者应该拓展人脉,追求非营利董事会机会,并理解审计委员会和业务优先项如何塑造对话。这意味着立即审查 AI 治理,理解保险条款而不仅仅是技术事件响应演练,按每小时多少美元量化停机成本,重新审视遗留技术债务,并了解组织实际拥有哪些工具和系统。网络安全赢得董事会关注,靠的是推动更好的决策,而不是赢得最技术性的争论。
专题讨论:董事会层面讨论——将网络安全提升为战略性业务优先项
当攻击者并行移动时,防御者需要一个飞轮
在最后的主题演讲中,Armadin 创始人 Evan Pena 将 AI 的攻击性面呈现为一种力量倍增器,它降低了进入门槛并改变了攻击的节奏。他以"超攻击"(hyperattacks)作为下一阶段,指的是基于代理的大规模攻击使对手能够更快地移动、并行运行更多路径,并减少曾经拖慢他们的人力瓶颈。
他谨慎地没有高估 AI 今天的能做之事。AI 可以帮助发现漏洞,但完全自主的利用仍然取决于上下文、访问权限、工具和环境。给 AI 提供源代码、详细的 CVE(通用漏洞披露)数据、已知案例和文档,工作会变得更容易。把它放在一个缺乏上下文的黑盒环境中,问题就变得困难了。
人类是单线程的。代理可以是多线程的。这意味着并行狩猎、更快的凭证攻击、更广泛的侦察,以及更大的压力迫使防御者比攻击者更早地假设失陷并理解影响。
Evan 将此问题的防御方法解释为飞轮:检测工程、安全运营中心工作流和自动化修复,彼此相互强化。团队应该问的是他们多久测试一次所有攻击路径,而不仅仅是抽样的路径。我们应该找到 AI 可以在哪里消除专业知识、覆盖率或时间作为运营瓶颈的节点。我们需要理解 AI 已经如何被构建到安全工作中的现状。他强调,AI 的转变不是即将来临。它已经在这里了。防御者需要为以 AI 速度和规模运作的攻击者做好准备,然后利用同样的力量倍增器来比手动流程更快地缩小差距。
Evan Pena
治理必须变得具体
贯穿整天,治理不断作为翻译问题出现。董事会成员需要业务语言。法律团队需要勤勉的证据。安全团队需要技术细节。业务领导者需要行动空间。摩擦产生于每个群体假设其他群体理解其词汇的那一刻。
演讲指向一个更有用的模型。当治理产生人们可以采取行动的决定时,它才有效。这意味着清晰的职责划分、可衡量的风险、财务框架、经过检验的假设,以及对正在发生什么变化的共同认知。AI 治理、供应链治理和身份治理在停留在政策高度时都会失败。
AI 正在压缩时间
活动最持续的压力是时间。AI 缩短了从想法到原型、从漏洞到利用、从请求到部署、从供应商能力到企业依赖的距离。这种压缩改变了安全团队思考审查周期和控制部署的方式。
年度评估和周期性审查的旧节奏无法承担全部负荷。组织需要持续发现、更快的补丁、更好的可观测性,以及更严格的凭证卫生。他们还需要知道哪些控制可以安全地自动化,哪些决策仍然需要有人负责的人类判断。
身份正在成为操作层
几场演讲的框架是围绕 AI、董事会、供应链和受监管行业。但在这些主题之下,隐藏着身份。谁(或什么)——人、服务、供应商、代理、工作流或系统——可以做什么?哪些凭证暴露了?哪些权限在项目、收购、供应商变更或概念验证后仍然存在?
随着 AI 代理成为日常工作的组成部分,非人类身份成为企业风险更核心的部分。安全运营的未来形态将取决于组织在多大程度上能够清点、治理、轮换和淘汰让机器能够行动的凭证。机密信息扩散是更深层问题的症状:数字工作现在通过比传统治理能够追踪的更快的速度倍增的身份流动。
就绪存在于隐藏层
GCSI 2026 清楚地表明,网络安全就绪不再由组织表面能看到的东西来定义。真正的工作发生在隐藏层——那里供应商从其他供应商继承风险、AI 工具获得对敏感工作流的访问权限、服务账户在系统中移动、凭证悄然成为关键业务基础设施。正是这一层,速度、不透明性和集中风险现在交汇在一起。
答案不是另一份清单。而是能够经受现实检验的治理。董事会需要将风险翻译成业务决策。法律团队需要在事件发生前而不是之后提供勤勉的证据。安全团队需要权威和可见性来测试攻击者实际会使用的路径。而且随着 AI 加速攻击和防御双方,组织需要知道哪些身份、工具、模型和自动化工作流已经在业务内部运作。
在企业安全中,就像 The Pedway 一样,可见结构仍然重要,但韧性取决于对底层路径的理解。那些做得好组织不会是声称拥有完美可见性的组织。他们将是那些持续发现、持续治理、持续轮换、持续追问更难问题的组织——比如"有什么正在我们的业务中流动,我们不能忽视的?"