安全團(tuán)隊(duì)要學(xué)會(huì)接受的6個(gè)殘酷事實(shí)

Neal Weinberg

安全從業(yè)人員的日子并不輕松。處于最前線，要與耐心、狡猾又堅(jiān)定的對(duì)手斗智斗勇，對(duì)手似乎總是領(lǐng)先一步，但是有付出就有回報(bào)。安全社區(qū)有大批同道中人，安全專業(yè)人員為自己在為公司做重要的工作而引以為豪。而且安全崗位的工資也是IT行業(yè)中最高的。

以下是處于一線的安全從業(yè)人員要學(xué)會(huì)接受和應(yīng)對(duì)的6個(gè)殘酷事實(shí)。

黑客可能已潛入企業(yè)網(wǎng)絡(luò)

我們都聽(tīng)過(guò)這句老話：有兩種類型的企業(yè)，一種是被黑的企業(yè)，另一種是被黑卻渾然不知的企業(yè)。這話有一定的道理。據(jù)波耐蒙研究所（Ponemon Institute）為IBM開(kāi)展的一項(xiàng)調(diào)查顯示，平均而言，企業(yè)識(shí)別安全泄密事件要花整整200天的時(shí)間。也就是說(shuō)，攻擊者可能在貴公司的網(wǎng)絡(luò)中潛伏逾六個(gè)月之久。

據(jù)提供網(wǎng)絡(luò)安全服務(wù)的英國(guó)域名注冊(cè)商N(yùn)ominet委托第三方進(jìn)行的一項(xiàng)調(diào)查顯示，近70%的CISO聲稱他們發(fā)現(xiàn)惡意軟件隱藏在其網(wǎng)絡(luò)中，不知道時(shí)間有多久，一些情況下隱藏了一年多。

連科技公司也未能幸免。比如說(shuō)，思杰公司在寫給加利福尼亞檢察總長(zhǎng)的信中表示，從2018年10月至2019年3月，黑客一直潛伏在其網(wǎng)絡(luò)里面，刪除了可能含有姓名、社會(huì)保障號(hào)碼和財(cái)務(wù)信息的文件。

一旦黑客突破了企業(yè)的防線，他們可以不慌不忙，按部就班地獲得提升的登錄信息和管理員權(quán)限，從而訪問(wèn)存儲(chǔ)在公司服務(wù)器上的寶貴數(shù)據(jù)，并偷偷泄露這些數(shù)據(jù)，避開(kāi)檢測(cè)。甚至在一些情況下，黑客能夠“偵聽(tīng)”公司在對(duì)付泄密方面的動(dòng)靜，那樣入侵者便可知道公司在采取什么對(duì)策，從而能夠規(guī)避。

可以采取的措施：考慮部署尋找威脅的工具，這種工具可以設(shè)置蜜罐，并使用其他高級(jí)技術(shù)來(lái)誘捕攻擊者，以免攻擊者造成危害。

各方面都做到位了，但粗心的最終用戶會(huì)毀了一切

這點(diǎn)令人難以接受。開(kāi)展了廣泛的最終用戶培訓(xùn)，但還是得經(jīng)常這么做：發(fā)送虛假的網(wǎng)絡(luò)釣魚(yú)郵件，然后通知點(diǎn)擊不良鏈接的違規(guī)用戶，希望他們會(huì)從錯(cuò)誤中汲取教訓(xùn)。

可仍有人上網(wǎng)絡(luò)釣魚(yú)或魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)的當(dāng)，導(dǎo)致整個(gè)組織岌岌可危。

統(tǒng)計(jì)數(shù)字確實(shí)令人不安。據(jù)Verizon《數(shù)據(jù)泄露調(diào)查報(bào)告》顯示，所有數(shù)據(jù)泄露中32%與網(wǎng)絡(luò)釣魚(yú)有關(guān)。如果企業(yè)組織回頭調(diào)查網(wǎng)絡(luò)間諜事件的根本原因以及后門的安裝和使用，78%的案子都與網(wǎng)絡(luò)釣魚(yú)有關(guān)。

每25封電子郵件中就有1封是網(wǎng)絡(luò)釣魚(yú)，幾乎每家企業(yè)都遇到過(guò)網(wǎng)絡(luò)釣魚(yú)攻擊——據(jù)ProofPoint的《網(wǎng)絡(luò)釣魚(yú)現(xiàn)狀》報(bào)告顯示，接受調(diào)查的全球信息安全人員中83%聲稱遇到過(guò)這種攻擊。

當(dāng)然，最終用戶還可能會(huì)通過(guò)其他途徑破壞安全，包括設(shè)備丟失、設(shè)備被盜，用戶淪為社會(huì)工程伎倆的受害者（受害者向未經(jīng)授權(quán)的用戶透露密碼或其他用戶登錄信息）。

可以采取的措施：有眾多第三方反網(wǎng)絡(luò)釣魚(yú)服務(wù)，它們?cè)噲D在最新的網(wǎng)絡(luò)釣魚(yú)花招面前保持領(lǐng)先一步。

人員配備和技能面臨嚴(yán)重短缺

據(jù)國(guó)際系統(tǒng)安全認(rèn)證聯(lián)盟（ISC2）聲稱，網(wǎng)絡(luò)安全專業(yè)人員（36%）最關(guān)注的問(wèn)題是缺乏熟練/有經(jīng)驗(yàn)的員工。ISC2的最新報(bào)告發(fā)人深省——全球安全人員缺口已達(dá)到了400萬(wàn)個(gè)工作崗位，主要在亞太地區(qū)（缺口260萬(wàn)）。但北美的情況好不了多少。據(jù)估計(jì)，北美安全專業(yè)人員缺口55萬(wàn)人。

ISC2調(diào)查中2/3的企業(yè)組織表示缺乏網(wǎng)絡(luò)安全人員，一半以上的組織（51%）表示，缺乏安全人才使組織面臨中度到極高的風(fēng)險(xiǎn)。

這些數(shù)據(jù)得到了信息系統(tǒng)安全協(xié)會(huì)（ISSA）和調(diào)研公司企業(yè)戰(zhàn)略集團(tuán)（ESG）進(jìn)行的一項(xiàng)調(diào)查的佐證。70%的受訪者表示技能缺乏已對(duì)其組織造成了影響;62%的受訪者（比去年增加近10%）表示，其組織在為安全人員提供足夠到位的培訓(xùn)方面表現(xiàn)落后。

可以采取的措施：專家建議，企業(yè)應(yīng)放寬對(duì)求職者在特定證書(shū)或工作經(jīng)驗(yàn)方面有些嚴(yán)苛的要求。還應(yīng)嘗試招募和培訓(xùn)來(lái)自企業(yè)其他部門的員工。交叉培訓(xùn)很重要，安全團(tuán)隊(duì)與DevOps或網(wǎng)絡(luò)等其他團(tuán)隊(duì)整合起來(lái)也很重要。如果安全成為每個(gè)人工作的一部分，這可以為指定的安全專業(yè)人員減輕部分負(fù)擔(dān)。

物聯(lián)網(wǎng)帶來(lái)新的不可預(yù)見(jiàn)的安全問(wèn)題

物聯(lián)網(wǎng)技術(shù)的優(yōu)勢(shì)在企業(yè)環(huán)境和消費(fèi)者環(huán)境中都很明顯——3D打印、增強(qiáng)現(xiàn)實(shí)及虛擬現(xiàn)實(shí)、協(xié)作機(jī)器人、無(wú)人機(jī)、遠(yuǎn)程傳感器、工業(yè)4.0、自動(dòng)駕駛汽車、智能家居和安全攝像頭。IDC的一項(xiàng)新預(yù)測(cè)估計(jì)，到2025年，將有416億個(gè)聯(lián)網(wǎng)物聯(lián)網(wǎng)設(shè)備或“物件”，生成79.4澤字節(jié)（ZB）的數(shù)據(jù)。

但帶來(lái)安全噩夢(mèng)的并非設(shè)備數(shù)量，而是這些未受保護(hù)的設(shè)備影響組織安全防御的途徑。員工是否在智能手表上收發(fā)公司電子郵件？是否從辦公筆記本電腦連接到家庭安全系統(tǒng)？他們?cè)诩肄k公、通過(guò)VPN連接到企業(yè)網(wǎng)絡(luò)時(shí)，是否在企業(yè)應(yīng)用程序和視頻攝像頭應(yīng)用之間來(lái)回切換？

據(jù)Zscaler在2019年5月分析云流量的結(jié)果顯示，這家基于云的安全提供商每月阻止2000個(gè)基于物聯(lián)網(wǎng)的惡意軟件;到2019年底，每月被阻止的惡意軟件數(shù)量增加了7倍，達(dá)到14000次。

在許多情況下，安全專業(yè)人員甚至可能沒(méi)意識(shí)到一些設(shè)備在生成物聯(lián)網(wǎng)流量，因此會(huì)給網(wǎng)絡(luò)犯罪分子帶來(lái)基于物聯(lián)網(wǎng)的新的攻擊途徑。但是攻擊者當(dāng)然知道這些潛在的漏洞。以2016年的Mirai僵尸網(wǎng)絡(luò)為例，攻擊者就鉆了這個(gè)空子：消費(fèi)者很少更改IP攝像頭和家用路由器上的默認(rèn)密碼，從而發(fā)起了拒絕服務(wù)攻擊，導(dǎo)致互聯(lián)網(wǎng)大面積癱瘓。針對(duì)物聯(lián)網(wǎng)設(shè)備的新漏洞一直在不斷出現(xiàn)，攻擊攝像頭、硬盤錄像機(jī)（DVR）和家用路由器。

可以采取的措施：安全專業(yè)人員應(yīng)致力于深入了解網(wǎng)絡(luò)內(nèi)部有沒(méi)有未經(jīng)授權(quán)的物聯(lián)網(wǎng)設(shè)備（Shodan在這方面可助一臂之力），將物聯(lián)網(wǎng)設(shè)備安裝在單獨(dú)的網(wǎng)絡(luò)上，限制從外部網(wǎng)絡(luò)訪問(wèn)物聯(lián)網(wǎng)設(shè)備，更改默認(rèn)登錄信息，要求使用強(qiáng)密碼，并定期打上安全和固件更新。

安全團(tuán)隊(duì)有時(shí)會(huì)覺(jué)得被誤解和被低估

安全團(tuán)隊(duì)常常在幾個(gè)關(guān)鍵的方面遇到困難：

· 資金：企業(yè)自然希望在降低運(yùn)營(yíng)成本、提高利潤(rùn)、創(chuàng)造新收入來(lái)源、促進(jìn)創(chuàng)新和提高客戶滿意度的方面進(jìn)行投入。安全常常被視為支出，無(wú)法帶來(lái)可衡量的回報(bào)，因此安全預(yù)算無(wú)法跟上威脅狀況。

· 高管支持：企業(yè)的最高層可能無(wú)法充分了解安全威脅。一些企業(yè)的董事會(huì)中有精通安全性的高管，但許多企業(yè)沒(méi)有。

· 業(yè)務(wù)部門合作：業(yè)務(wù)部門常常將安全視為抑制因素，而不是賦能因素。這導(dǎo)致許多部門越過(guò)IT部門，注冊(cè)使用自己的辦公、協(xié)作或存儲(chǔ)應(yīng)用程序，這當(dāng)然帶來(lái)其他的安全問(wèn)題。

· 員工抵制：?jiǎn)T工常常覺(jué)得安全程序（比如密碼的頻繁重置、雙因子身份驗(yàn)證或其他標(biāo)準(zhǔn)安全做法）很煩人，因而忽略或規(guī)避。

可以采取的措施：安全專業(yè)人員應(yīng)齊心協(xié)力，深入到企業(yè)的角角落落，通力合作，成立跨學(xué)科團(tuán)隊(duì)，并傳達(dá)安全人人有責(zé)、應(yīng)融入到每個(gè)業(yè)務(wù)流程中這一訊息。

壓力、焦慮和倦怠必然隨之而來(lái)

面對(duì)上述所有的殘酷事實(shí)，安全專業(yè)人員面臨巨大的壓力、焦慮和倦怠。據(jù)波耐蒙研究所聲稱，65%的安全運(yùn)營(yíng)中心（SOC）專業(yè)人員表示壓力導(dǎo)致他們考慮辭職。

Nominet的調(diào)查發(fā)現(xiàn)，91%的CISO表示自己承受中等或很大的壓力，60%表示基本上在線，很少斷網(wǎng)。更令人不安的是，接受調(diào)查的CISO中1/4認(rèn)為這份工作已對(duì)其心理或身體健康以及個(gè)人和家庭關(guān)系產(chǎn)生了影響。

高倦怠率導(dǎo)致高離職率，這加劇了技能短缺現(xiàn)象，使其余安全專業(yè)人員的日子更難過(guò)。這是個(gè)惡性循環(huán)。

可以采取的措施：這個(gè)問(wèn)題沒(méi)有簡(jiǎn)單的答案，但安全從業(yè)人員需要暢所欲言，與同事們聊聊壓力，下定決心努力改善工作與生活之間的平衡。

本文作者Neal Weinberg是一名自由科技撰稿人兼編輯。

原文網(wǎng)址

https：//www.csoonline.com/article/3538613/6-hard-truths-security-pros-must-learn-to-live-with.html