安全團隊要學(xué)會接受的6個殘酷事實

Neal Weinberg

安全從業(yè)人員的日子并不輕松。處于最前線，要與耐心、狡猾又堅定的對手斗智斗勇，對手似乎總是領(lǐng)先一步，但是有付出就有回報。安全社區(qū)有大批同道中人，安全專業(yè)人員為自己在為公司做重要的工作而引以為豪。而且安全崗位的工資也是IT行業(yè)中最高的。

以下是處于一線的安全從業(yè)人員要學(xué)會接受和應(yīng)對的6個殘酷事實。

黑客可能已潛入企業(yè)網(wǎng)絡(luò)

我們都聽過這句老話：有兩種類型的企業(yè)，一種是被黑的企業(yè)，另一種是被黑卻渾然不知的企業(yè)。這話有一定的道理。據(jù)波耐蒙研究所（Ponemon Institute）為IBM開展的一項調(diào)查顯示，平均而言，企業(yè)識別安全泄密事件要花整整200天的時間。也就是說，攻擊者可能在貴公司的網(wǎng)絡(luò)中潛伏逾六個月之久。

據(jù)提供網(wǎng)絡(luò)安全服務(wù)的英國域名注冊商Nominet委托第三方進(jìn)行的一項調(diào)查顯示，近70%的CISO聲稱他們發(fā)現(xiàn)惡意軟件隱藏在其網(wǎng)絡(luò)中，不知道時間有多久，一些情況下隱藏了一年多。

連科技公司也未能幸免。比如說，思杰公司在寫給加利福尼亞檢察總長的信中表示，從2018年10月至2019年3月，黑客一直潛伏在其網(wǎng)絡(luò)里面，刪除了可能含有姓名、社會保障號碼和財務(wù)信息的文件。

一旦黑客突破了企業(yè)的防線，他們可以不慌不忙，按部就班地獲得提升的登錄信息和管理員權(quán)限，從而訪問存儲在公司服務(wù)器上的寶貴數(shù)據(jù)，并偷偷泄露這些數(shù)據(jù)，避開檢測。甚至在一些情況下，黑客能夠“偵聽”公司在對付泄密方面的動靜，那樣入侵者便可知道公司在采取什么對策，從而能夠規(guī)避。

可以采取的措施：考慮部署尋找威脅的工具，這種工具可以設(shè)置蜜罐，并使用其他高級技術(shù)來誘捕攻擊者，以免攻擊者造成危害。

各方面都做到位了，但粗心的最終用戶會毀了一切

這點令人難以接受。開展了廣泛的最終用戶培訓(xùn)，但還是得經(jīng)常這么做：發(fā)送虛假的網(wǎng)絡(luò)釣魚郵件，然后通知點擊不良鏈接的違規(guī)用戶，希望他們會從錯誤中汲取教訓(xùn)。

可仍有人上網(wǎng)絡(luò)釣魚或魚叉式網(wǎng)絡(luò)釣魚的當(dāng)，導(dǎo)致整個組織岌岌可危。

統(tǒng)計數(shù)字確實令人不安。據(jù)Verizon《數(shù)據(jù)泄露調(diào)查報告》顯示，所有數(shù)據(jù)泄露中32%與網(wǎng)絡(luò)釣魚有關(guān)。如果企業(yè)組織回頭調(diào)查網(wǎng)絡(luò)間諜事件的根本原因以及后門的安裝和使用，78%的案子都與網(wǎng)絡(luò)釣魚有關(guān)。

每25封電子郵件中就有1封是網(wǎng)絡(luò)釣魚，幾乎每家企業(yè)都遇到過網(wǎng)絡(luò)釣魚攻擊——據(jù)ProofPoint的《網(wǎng)絡(luò)釣魚現(xiàn)狀》報告顯示，接受調(diào)查的全球信息安全人員中83%聲稱遇到過這種攻擊。

當(dāng)然，最終用戶還可能會通過其他途徑破壞安全，包括設(shè)備丟失、設(shè)備被盜，用戶淪為社會工程伎倆的受害者（受害者向未經(jīng)授權(quán)的用戶透露密碼或其他用戶登錄信息）。

可以采取的措施：有眾多第三方反網(wǎng)絡(luò)釣魚服務(wù)，它們試圖在最新的網(wǎng)絡(luò)釣魚花招面前保持領(lǐng)先一步。

人員配備和技能面臨嚴(yán)重短缺

據(jù)國際系統(tǒng)安全認(rèn)證聯(lián)盟（ISC2）聲稱，網(wǎng)絡(luò)安全專業(yè)人員（36%）最關(guān)注的問題是缺乏熟練/有經(jīng)驗的員工。ISC2的最新報告發(fā)人深省——全球安全人員缺口已達(dá)到了400萬個工作崗位，主要在亞太地區(qū)（缺口260萬）。但北美的情況好不了多少。據(jù)估計，北美安全專業(yè)人員缺口55萬人。

ISC2調(diào)查中2/3的企業(yè)組織表示缺乏網(wǎng)絡(luò)安全人員，一半以上的組織（51%）表示，缺乏安全人才使組織面臨中度到極高的風(fēng)險。

這些數(shù)據(jù)得到了信息系統(tǒng)安全協(xié)會（ISSA）和調(diào)研公司企業(yè)戰(zhàn)略集團（ESG）進(jìn)行的一項調(diào)查的佐證。70%的受訪者表示技能缺乏已對其組織造成了影響;62%的受訪者（比去年增加近10%）表示，其組織在為安全人員提供足夠到位的培訓(xùn)方面表現(xiàn)落后。

可以采取的措施：專家建議，企業(yè)應(yīng)放寬對求職者在特定證書或工作經(jīng)驗方面有些嚴(yán)苛的要求。還應(yīng)嘗試招募和培訓(xùn)來自企業(yè)其他部門的員工。交叉培訓(xùn)很重要，安全團隊與DevOps或網(wǎng)絡(luò)等其他團隊整合起來也很重要。如果安全成為每個人工作的一部分，這可以為指定的安全專業(yè)人員減輕部分負(fù)擔(dān)。

物聯(lián)網(wǎng)帶來新的不可預(yù)見的安全問題

物聯(lián)網(wǎng)技術(shù)的優(yōu)勢在企業(yè)環(huán)境和消費者環(huán)境中都很明顯——3D打印、增強現(xiàn)實及虛擬現(xiàn)實、協(xié)作機器人、無人機、遠(yuǎn)程傳感器、工業(yè)4.0、自動駕駛汽車、智能家居和安全攝像頭。IDC的一項新預(yù)測估計，到2025年，將有416億個聯(lián)網(wǎng)物聯(lián)網(wǎng)設(shè)備或“物件”，生成79.4澤字節(jié)（ZB）的數(shù)據(jù)。

但帶來安全噩夢的并非設(shè)備數(shù)量，而是這些未受保護(hù)的設(shè)備影響組織安全防御的途徑。員工是否在智能手表上收發(fā)公司電子郵件？是否從辦公筆記本電腦連接到家庭安全系統(tǒng)？他們在家辦公、通過VPN連接到企業(yè)網(wǎng)絡(luò)時，是否在企業(yè)應(yīng)用程序和視頻攝像頭應(yīng)用之間來回切換？

據(jù)Zscaler在2019年5月分析云流量的結(jié)果顯示，這家基于云的安全提供商每月阻止2000個基于物聯(lián)網(wǎng)的惡意軟件;到2019年底，每月被阻止的惡意軟件數(shù)量增加了7倍，達(dá)到14000次。

在許多情況下，安全專業(yè)人員甚至可能沒意識到一些設(shè)備在生成物聯(lián)網(wǎng)流量，因此會給網(wǎng)絡(luò)犯罪分子帶來基于物聯(lián)網(wǎng)的新的攻擊途徑。但是攻擊者當(dāng)然知道這些潛在的漏洞。以2016年的Mirai僵尸網(wǎng)絡(luò)為例，攻擊者就鉆了這個空子：消費者很少更改IP攝像頭和家用路由器上的默認(rèn)密碼，從而發(fā)起了拒絕服務(wù)攻擊，導(dǎo)致互聯(lián)網(wǎng)大面積癱瘓。針對物聯(lián)網(wǎng)設(shè)備的新漏洞一直在不斷出現(xiàn)，攻擊攝像頭、硬盤錄像機（DVR）和家用路由器。

可以采取的措施：安全專業(yè)人員應(yīng)致力于深入了解網(wǎng)絡(luò)內(nèi)部有沒有未經(jīng)授權(quán)的物聯(lián)網(wǎng)設(shè)備（Shodan在這方面可助一臂之力），將物聯(lián)網(wǎng)設(shè)備安裝在單獨的網(wǎng)絡(luò)上，限制從外部網(wǎng)絡(luò)訪問物聯(lián)網(wǎng)設(shè)備，更改默認(rèn)登錄信息，要求使用強密碼，并定期打上安全和固件更新。

安全團隊有時會覺得被誤解和被低估

安全團隊常常在幾個關(guān)鍵的方面遇到困難：

· 資金：企業(yè)自然希望在降低運營成本、提高利潤、創(chuàng)造新收入來源、促進(jìn)創(chuàng)新和提高客戶滿意度的方面進(jìn)行投入。安全常常被視為支出，無法帶來可衡量的回報，因此安全預(yù)算無法跟上威脅狀況。

· 高管支持：企業(yè)的最高層可能無法充分了解安全威脅。一些企業(yè)的董事會中有精通安全性的高管，但許多企業(yè)沒有。

· 業(yè)務(wù)部門合作：業(yè)務(wù)部門常常將安全視為抑制因素，而不是賦能因素。這導(dǎo)致許多部門越過IT部門，注冊使用自己的辦公、協(xié)作或存儲應(yīng)用程序，這當(dāng)然帶來其他的安全問題。

· 員工抵制：員工常常覺得安全程序（比如密碼的頻繁重置、雙因子身份驗證或其他標(biāo)準(zhǔn)安全做法）很煩人，因而忽略或規(guī)避。

可以采取的措施：安全專業(yè)人員應(yīng)齊心協(xié)力，深入到企業(yè)的角角落落，通力合作，成立跨學(xué)科團隊，并傳達(dá)安全人人有責(zé)、應(yīng)融入到每個業(yè)務(wù)流程中這一訊息。

壓力、焦慮和倦怠必然隨之而來

面對上述所有的殘酷事實，安全專業(yè)人員面臨巨大的壓力、焦慮和倦怠。據(jù)波耐蒙研究所聲稱，65%的安全運營中心（SOC）專業(yè)人員表示壓力導(dǎo)致他們考慮辭職。

Nominet的調(diào)查發(fā)現(xiàn)，91%的CISO表示自己承受中等或很大的壓力，60%表示基本上在線，很少斷網(wǎng)。更令人不安的是，接受調(diào)查的CISO中1/4認(rèn)為這份工作已對其心理或身體健康以及個人和家庭關(guān)系產(chǎn)生了影響。

高倦怠率導(dǎo)致高離職率，這加劇了技能短缺現(xiàn)象，使其余安全專業(yè)人員的日子更難過。這是個惡性循環(huán)。

可以采取的措施：這個問題沒有簡單的答案，但安全從業(yè)人員需要暢所欲言，與同事們聊聊壓力，下定決心努力改善工作與生活之間的平衡。

本文作者Neal Weinberg是一名自由科技撰稿人兼編輯。

原文網(wǎng)址

https：//www.csoonline.com/article/3538613/6-hard-truths-security-pros-must-learn-to-live-with.html