高效安全專家五習慣

安全團隊缺乏人員或者只有一個安全人員意味著在安全問題上往往沒有雙重驗證，并導致增加許多虛假信息，從而浪費安全人員本應分析各種海量安全信息的珍貴時間。如果沒有充足的時間正確地解決安全問題，就會對整個企業產生破壞性的后果。

但有幾個關鍵的因素會使小型的安全團隊仍能大有作為。

1.了解企業環境

“知彼知已，百戰不殆。”為了保護企業環境，你必須理解這個環境并知道用戶們在其中做什么。不妨回答如下幾個問題：用戶們最喜歡訪問的網站是哪些？（了解此問題有助于你先發制人，或者預防水坑（Watering Hole）攻擊）用戶們位于何處？（如果用戶從一個不經常使用的位置登錄，就有可能成為入侵的第一個證據）用戶們在下班后都玩什么游戲？（如果這些游戲被利用了其中的Flash漏洞，或者游戲編制者已經在游戲中做了手腳，該游戲就有可能成為企業網絡的“隱形殺手”。）將這些有用的信息融合到企業網絡的防御中非常實用且重要。記住，我們的目標不是窺視，而是為了監視和保護。

2.溝通

為了在高級管理人員和普通員工中高效地創造安全意識，安全從業人員必須善于進行良好的溝通。問題的關鍵是，將適當的信息用正確的方法傳達給適當的人。例如，在你試圖向高級管理人員傳達一個重要漏洞的緊急性時，不妨包括如下方面：

一個指向漏洞解釋的鏈接。

列舉三四個要點，清楚地評估公司風險。

你對解決問題的看法，或者為減輕風險應立即采取的行動。

請求管理人員制定明確的事件響應計劃

溝通風格可以在很大程度上影響員工在企業中的形象，而良好的溝通又可以使工作更高效。如果安全人員經常用“下一個重大的零日漏洞”來嚇唬人，其效果最終就會如同“狼來了”一樣，企業對下一個威脅就會變得麻木，并且有可能破壞不同團隊之間的合作。

嚇唬解決不了問題，而教育和向用戶演示正確的安全實踐會帶來更高的回報。而這樣做反過來又會促進合規和協作，從而減少或避免安全事件的發生。

3.自動化

在小型的安全部門，使任務自動化非常重要，因為這可以節省大量時間和資源。技術集成以及與其它團隊之間的數據接口都適合實施自動化。經驗豐富的安全專家知道什么時候可以自動化、哪些方面不適宜自動化。

記住，我們不能使一切都自動化。安全永遠是首位的，不能讓自動化困住。為有助于任務自動化，你不妨花時間學習一門腳本語言，還要了解企業服務器正在運行的任務是什么。

4.例程化

對于小型的安全團隊來說，每天、每周甚至每小時都有一套完成任務的例程化或常規的過程是很有益的方法。例如，安全人員每天應首先檢查警告，直至所有的危急和高度嚴重的警告都得到解決。其次，要每天檢查事件。可通過事件分類（例如，漏洞利用、惡意軟件、認證）、數據源、數據量等來檢查。每天執行這種檢查有助于知道哪些正常，并更輕松地找到異常情況。這種檢查過程還可以幫助安全人員調整并創建更合理的策略。

每周應至少執行一次漏洞掃描。掃描應具有針對性，而且應將相似的服務器或子網組合在一起。全面地掃描整個環境只會增加掃描時間，并且報告起來也困難。在掃描漏洞之前，要確保你已經建立了修復計劃，否則就會浪費時間，并會暴露網絡。

5.威脅共享

安全專家可以利用大量的威脅情報共享，從業界的同仁獲得信息。共享的雙向交互對于理解企業面臨的最新最嚴重的威脅是至關重要的。安全專業人員只要有所準備，并建立良好的習慣，就完全可以更高效地解決安全問題。