人為錯(cuò)誤是導(dǎo)致數(shù)據(jù)泄露的首要原因
——訪網(wǎng)絡(luò)安全專家保拉·亞努科維奇

Boxcryptor

在各類組織中，人為錯(cuò)誤仍然是導(dǎo)致數(shù)據(jù)泄露的首要原因。

——保拉·亞努科維奇（Paula Januszkiewicz）

保拉·亞努科維奇是網(wǎng)絡(luò)安全領(lǐng)域的專家，也是國際互聯(lián)網(wǎng)技術(shù)會(huì)議上廣受認(rèn)可的演講者。作為CQURE公司的創(chuàng)始人，她為公司的IT安全戰(zhàn)略提供建議。此外，她還致力于讓更多的年輕人對這個(gè)行業(yè)感興趣。我們很高興邀請她接受采訪，與她談?wù)撟鳛榫W(wǎng)絡(luò)安全顧問的相關(guān)工作。

Boxcryptor：您最初是如何開始擔(dān)任網(wǎng)絡(luò)安全顧問的？您從哪里獲得有關(guān)IT安全行業(yè)動(dòng)態(tài)的信息？

保拉·亞努科維奇：在我剛開始擔(dān)任網(wǎng)絡(luò)安全顧問時(shí)，我已經(jīng)大概了解了市場上正在發(fā)生的事情。我曾經(jīng)在一家非國際企業(yè)的咨詢公司工作過一段時(shí)間，參與過不同類型的團(tuán)體活動(dòng)和特殊項(xiàng)目。這種環(huán)境促使我廣泛閱讀新聞，并與不同行業(yè)的人士進(jìn)行交流，這些能夠幫助我深入了解IT安全行業(yè)正在發(fā)生的事情以及人們?nèi)绾谓忉屜嚓P(guān)事件的發(fā)展變化。在大學(xué)里，我主修計(jì)算機(jī)科學(xué)專業(yè)，并投入很多精力實(shí)踐在大學(xué)里學(xué)到的知識。但如今來看，僅了解一些皮毛是不夠的，還需要無數(shù)次的探索和實(shí)踐。值得一提的是，如今我們可以利用線上工具幫助人們學(xué)習(xí)、更新知識，如推特（Twitter）、GitHub代碼托管平臺、大型新聞門戶網(wǎng)站或者像Medium輕量級內(nèi)容發(fā)行平臺等。利用這些平臺，我們能及時(shí)了解當(dāng)下發(fā)生的網(wǎng)絡(luò)安全事件，并熟悉各種專業(yè)解決方法和策略。

Boxcryptor：當(dāng)您受雇于一家特定公司，在檢查其IT安全狀態(tài)時(shí)，您首先會(huì)看哪里？

保拉·亞努科維奇：因?yàn)槊總€(gè)項(xiàng)目都是不同的，所以方法也多種多樣，這主要取決于項(xiàng)目的類型。例如，當(dāng)我們進(jìn)行內(nèi)部滲透測試時(shí)，經(jīng)過的第一階段是識別和監(jiān)察，這一階段的網(wǎng)絡(luò)威脅活動(dòng)不易防范，所以要清楚，哪里需要怎樣的服務(wù)。一些公司的信息被通過各種途徑惡意公開到互聯(lián)網(wǎng)上，其中，內(nèi)部人員很容易被誘騙導(dǎo)致信息的外泄。隨著時(shí)間的推移，利用這些信息可以完整地識別特定公司的流程、組織結(jié)構(gòu)和潛在的弱點(diǎn)。在監(jiān)察階段之后，決策者們可以選擇合適的方法推進(jìn)滲透測試。測試期間的主要目的在于指出技術(shù)、流程、管理、用戶使用等方面的漏洞，我們會(huì)為系統(tǒng)所有者提供信息技術(shù)支持，并將技術(shù)發(fā)現(xiàn)轉(zhuǎn)化為有價(jià)值的風(fēng)險(xiǎn)管控方案。

Boxcryptor：識別和監(jiān)察階段之后會(huì)發(fā)生什么？

保拉·亞努科維奇：第二階段是掃描。該階段的目的是對訪問人員的身份進(jìn)行掃描識別，并確定可信人員具有哪類級別的訪問權(quán)限。對互聯(lián)網(wǎng)服務(wù)器和網(wǎng)絡(luò)資產(chǎn)進(jìn)行詳細(xì)的安全分析，有助于驗(yàn)證安全性（方法、工具、詳細(xì)的測試步驟以及研究的問題取決于特定企業(yè)）。一旦攻擊者掌握了企業(yè)的運(yùn)作方式并獲得有價(jià)值的內(nèi)部信息，他們就會(huì)對外圍設(shè)備和內(nèi)部網(wǎng)絡(luò)設(shè)備進(jìn)行掃描，試圖尋找弱點(diǎn)。

Boxcryptor：您是否也會(huì)考慮在該公司工作的職員，還是僅僅考慮您正在測試的項(xiàng)目？

保拉·亞努科維奇：當(dāng)然要考慮人為因素。在各種組織中，人為錯(cuò)誤仍然是導(dǎo)致數(shù)據(jù)泄露的首要原因。攻擊者不斷開發(fā)更好的策略來誘騙內(nèi)部人員泄露敏感數(shù)據(jù)。因此，仍然需要在公司內(nèi)部建立網(wǎng)絡(luò)安全防護(hù)意識和總體意識。以目前的情況來看，事態(tài)有所好轉(zhuǎn)。

Boxcryptor：作為安全顧問，您曾為哪類公司提供過建議？如何改善他們的安全狀況？

保拉·亞努科維奇：我們的團(tuán)隊(duì)為國際上眾多的企業(yè)提供過咨詢。有些企業(yè)的雇員人數(shù)超過20萬，這是非常鼓舞人心的。顧問的優(yōu)勢在于，你在網(wǎng)絡(luò)上工作的次數(shù)越多，遇到的人越多，所獲得的經(jīng)驗(yàn)也就越多。在網(wǎng)絡(luò)安全領(lǐng)域中，最具有挑戰(zhàn)的是，每個(gè)企業(yè)所處的安全環(huán)境都不相同，因此我們必須針對不同類型的工作環(huán)境進(jìn)行個(gè)性化的調(diào)整。

我們在執(zhí)行方案之前，會(huì)和客戶進(jìn)行詳細(xì)的商談。我們相信只有這樣，才能提供讓客戶滿意的IT服務(wù)，產(chǎn)生更多的附加值，并為客戶創(chuàng)造更多利潤。

顧問的職責(zé)是熟悉當(dāng)今世界的各種安全環(huán)境。雖然案例是特定的，但是我們能夠看到其背后的模式——相同處理方案所針對的不同問題會(huì)一次又一次地重復(fù)。從客戶的角度來看，有些問題可能是全新的，但我們以前已經(jīng)看到過，并且可以提供準(zhǔn)確的幫助。

Boxcryptor：請舉例說明您在工作中遇到的安全問題，以及您和您的團(tuán)隊(duì)是如何解決這些問題的？

保拉·亞努科維奇：由于我們工作的高度機(jī)密性以及我們開展合作的行業(yè)重要性，很難透露細(xì)節(jié)。但是讓我們想象一下，當(dāng)一位網(wǎng)絡(luò)安全專家來到客戶的辦公室，環(huán)顧四周，發(fā)現(xiàn)員工的密碼就寫在他們的電腦旁邊或是更糟糕的情況，這些都是易被忽略的安全隱患。據(jù)統(tǒng)計(jì)，超過25%的美國員工承認(rèn)，當(dāng)結(jié)束一天的工作下班時(shí)，都沒有鎖閉電腦的習(xí)慣，甚至有更多的員工在去短暫休息時(shí)也不鎖閉電腦。當(dāng)面對這樣的問題時(shí)，也為我們的團(tuán)隊(duì)（或受邀的外部顧問）提供了一個(gè)快速了解企業(yè)情況的絕佳時(shí)機(jī)。對于組織來說，尤其是處理高度敏感信息和個(gè)人數(shù)據(jù)的組織而言，確保技術(shù)和用戶信息安全是多么重要。

Boxcryptor：您認(rèn)為目前貴公司面臨的最大威脅是什么？IT安全戰(zhàn)略中的常見弱點(diǎn)是什么？

保拉·亞努科維奇：人為錯(cuò)誤是進(jìn)行安全防護(hù)時(shí)最薄弱的環(huán)節(jié)。因?yàn)槿藗內(nèi)菀资艿角榫w的影響或是被人利用。然而，所有的組織都是由人構(gòu)建的，管理員、IT專業(yè)人員或決策者也會(huì)失誤。

如今，我們有首席信息安全官（CISO）或首席運(yùn)營官（CCO）這樣的職位，但在復(fù)雜的情況下，我們往往會(huì)忘記網(wǎng)絡(luò)安全的核心原則，因?yàn)槲覀儧]有足夠的時(shí)間去關(guān)注當(dāng)前的趨勢和最新的安全解決方案。因此，對所有人而言，網(wǎng)絡(luò)安全沒有終點(diǎn)，新的挑戰(zhàn)會(huì)隨時(shí)出現(xiàn)。

Boxcryptor：目前量子技術(shù)對貴公司來說是真正的威脅嗎？如果不是，您認(rèn)為何時(shí)情況會(huì)變得危急？

保拉·亞努科維奇：首先，我想強(qiáng)調(diào)的是，谷歌公司于2019年10月發(fā)布聲明，引發(fā)了一場關(guān)于技術(shù)發(fā)展缺乏限制的大規(guī)模辯論，這的確是網(wǎng)絡(luò)安全專業(yè)人士爭論的一個(gè)焦點(diǎn)。量子計(jì)算機(jī)比最先進(jìn)的現(xiàn)代超級計(jì)算機(jī)更加強(qiáng)大。從理論上講，肖爾算法可用于以指數(shù)級的速度分解大的復(fù)合數(shù)。因此，如果黑客能接觸足夠強(qiáng)大的量子計(jì)算機(jī)，他們就可以輕松地破解加密系統(tǒng)。當(dāng)然，量子技術(shù)仍在促進(jìn)醫(yī)學(xué)分析、金融計(jì)算等領(lǐng)域發(fā)揮作用。如今，我們?nèi)匀徊粔蛄私饬孔佑?jì)算是如何影響日常數(shù)據(jù)處理的，一旦量子技術(shù)變得真實(shí)可用，網(wǎng)絡(luò)安全團(tuán)隊(duì)將面臨全新的挑戰(zhàn)。

Boxcryptor：企業(yè)面臨的一個(gè)威脅是設(shè)備被盜或丟失。例如，我首先想到的是該領(lǐng)域的銷售人員。您對這一說法有什么建議嗎？

保拉·亞努科維奇：由于無法阻止盜竊或丟失事件的發(fā)生，因此，確保設(shè)備上的數(shù)據(jù)安全非常重要。將數(shù)據(jù)存儲在云中是推薦的解決方案之一，在云中可以輕松管理所有權(quán)限。

Boxcryptor：您認(rèn)為公司現(xiàn)在更愿意將數(shù)據(jù)遷移到云上嗎？在過去的幾年里，您有沒有看到這種情況的發(fā)展？

保拉·亞努科維奇：實(shí)際上，公司正在邁出這一步。我們有許多客戶將IT系統(tǒng)放入云中，不需要對這些系統(tǒng)提供額外的技術(shù)支持。IT系統(tǒng)從本地基礎(chǔ)設(shè)施遷移到云通常可以降低風(fēng)險(xiǎn)，但可信性在這其中始終扮演著重要角色。

Boxcryptor：您認(rèn)為是什么真正說服公司將業(yè)務(wù)遷移到云上？

保拉·亞努科維奇：首先是服務(wù)的連續(xù)性，其次是實(shí)現(xiàn)各種現(xiàn)成的安全解決方案成為可能。如今，因?yàn)樵朴?jì)算的易操作性，不必熟悉不同類型的服務(wù)器技術(shù)，也不需要現(xiàn)場維護(hù)人員，越來越多的中小型企業(yè)選擇轉(zhuǎn)向云計(jì)算方向。然而云并非適用于所有企業(yè)，它是為可以在外部服務(wù)器上運(yùn)行的服務(wù)而創(chuàng)建的。

云可以給我們提供很多東西。當(dāng)我們與客戶討論數(shù)據(jù)策略或安全策略時(shí)，實(shí)際上，項(xiàng)目與將數(shù)據(jù)移動(dòng)到云端有關(guān)。

Boxcryptor：您認(rèn)為人們是否已經(jīng)準(zhǔn)備好，并且足夠精通相關(guān)技術(shù)來處理2FA（雙因子驗(yàn)證）？

保拉·亞努科維奇：是的，如果他們能處理電子郵件，他們就能做到。相比之前復(fù)雜的操作，如今我的祖父母也可以使用不同類型的在線服務(wù)，但因?yàn)榫W(wǎng)絡(luò)安全不是每個(gè)人的研究領(lǐng)域，所以世界各地的終端用戶都需要能為他們提供安全保障的服務(wù)。

Boxcryptor：那么，您認(rèn)為用戶越來越精通技術(shù)了嗎？

保拉·亞努科維奇：是的，確實(shí)是這樣。這是隨著技術(shù)的發(fā)展和普及而自然發(fā)生的。

Boxcryptor：我們想和您討論的另一個(gè)話題是尋找新的人才。一些公司IT部門很難招到合適的員工。例如，在德國，目前僅IT行業(yè)就有124000個(gè)職位空缺。您在CQURE公司采取什么措施來建立一個(gè)好的團(tuán)隊(duì)？

保拉·亞努科維奇：CQURE公司的團(tuán)隊(duì)極具多元化。從一開始，我就專注于從收到的求職申請中選擇有趣的人，他們大多數(shù)人都有很強(qiáng)的技術(shù)背景，但很少有人具備注重細(xì)節(jié)如“偵探”般的態(tài)度。當(dāng)我們招募新的團(tuán)隊(duì)成員時(shí)，我們不僅要檢驗(yàn)他們的技能水平，還要檢驗(yàn)他們的創(chuàng)造力和熱情。

Boxcryptor：如果讓您推薦推特上的另一位女性網(wǎng)絡(luò)安全專家，那會(huì)是誰？

保拉·亞努科維奇：來自新加坡的瑪格達(dá)·切利（Magda Chelly）。她是亞洲地區(qū)非常受認(rèn)可的安全顧問，具有很多經(jīng)驗(yàn)和有趣的觀點(diǎn)。