安全团队要学会接受的6 个残酷事实

　　安全从业人员的日子并不轻松。处于最前线，要与耐心、狡猾又坚定的对手斗智斗勇，对手似乎总是领先一步，但是有付出就有回报。安全社区有大批同道中人，安全专业人员为自己在为公司做重要的工作而引以为豪。而且安全岗位的工资也是IT 行业中最高的。

　　以下是处于一线的安全从业人员要学会接受和应对的6 个残酷事实。

　　黑客可能已潜入企业网络

　　我们都听过这句老话：有两种类型的企业，一种是被黑的企业，另一种是被黑却浑然不知的企业。这话有一定的道理。据波耐蒙研究所（Ponemon Institute） 为 IBM 开展的一项调查显示，平均而言，企业识别安全泄密事件要花整整200 天的时间。也就是说，攻击者可能在贵公司的网络中潜伏逾六个月之久。

　　据提供网络安全服务的英国域名注册商Nominet 委托第三方进行的一项调查显示， 近70% 的CISO 声称他们发现恶意软件隐藏在其网络中，不知道时间有多久，一些情况下隐藏了一年多。

　　连科技公司也未能幸免。比如说，思杰公司在写给加利福尼亚检察总长的信中表示，从2018 年10 月至2019 年3 月，黑客一直潜伏在其网络里面，删除了可能含有姓名、社会保障号码和财务信息的文件。

　　一旦黑客突破了企业的防线，他们可以不慌不忙，按部就班地获得提升的登录信息和管理员权限，从而访问存储在公司服务器上的宝贵数据，并偷偷泄露这些数据，避开检测。甚至在一些情况下，黑客能够“侦听” 公司在对付泄密方面的动静，那样入侵者便可知道公司在采取什么对策，从而能够规避。

　　可以采取的措施：考虑部署寻找威胁的工具，这种工具可以设置蜜罐，并使用其他高级技术来诱捕攻击者，以免攻击者造成危害。

　　各方面都做到位了，但粗心的最终用户会毁了一切

　　这点令人难以接受。开展了广泛的最终用户培训，但还是得经常这么做：发送虚假的网络钓鱼邮件，然后通知点击不良链接的违规用户，希望他们会从错误中汲取教训。

　　可仍有人上网络钓鱼或鱼叉式网络钓鱼的当，导致整个组织岌岌可危。

　　统计数字确实令人不安。据Verizon《数据泄露调查报告》显示，所有数据泄露中 32% 与网络钓鱼有关。如果企业组织回头调查网络间谍事件的根本原因以及后门的安装和使用，78% 的案子都与网络钓鱼有关。

　　每25 封电子邮件中就有1 封是网络钓鱼，几乎每家企业都遇到过网络钓鱼攻击——据ProofPoint 的《网络钓鱼现状》报告显示，接受调查的全球信息安全人员中83% 声称遇到过这种攻击。

　　当然，最终用户还可能会通过其他途径破坏安全，包括设备丢失、设备被盗，用户沦为社会工程伎俩的受害者（受害者向未经授权的用户透露密码或其他用户登录信息）。

　　可以采取的措施：有众多第三方反网络钓鱼服务，它们试图在最新的网络钓鱼花招面前保持领先一步。

　　人员配备和技能面临严重短缺

　　据国际系统安全认证联盟（ISC2）声称，网络安全专业人员（36%）最关注的问题是缺乏熟练/ 有经验的员工。ISC2 的最新报告发人深省——全球安全人员缺口已达到了400 万个工作岗位，主要在亚太地区（缺口260 万）。但北美的情况好不了多少。据估计，北美安全专业人员缺口55 万人。

　　ISC2 调查中2/3 的企业组织表示缺乏网络安全人员，一半以上的组织（51%）表示，缺乏安全人才使组织面临中度到极高的风险。

　　这些数据得到了信息系统安全协会（ISSA）和调研公司企业战略集团（ESG）进行的一项调查的佐证。 70 ％ 的受访者表示技能缺乏已对其组织造成了影响； 62％的受访者（比去年增加近10％）表示，其组织在为安全人员提供足够到位的培训方面表现落后。

　　可以采取的措施：专家建议，企业应放宽对求职者在特定证书或工作经验方面有些严苛的要求。还应尝试招募和培训来自企业其他部门的员工。交叉培训很重要，安全团队与DevOps 或网络等其他团队整合起来也很重要。如果安全成为每个人工作的一部分，这可以为指定的安全专业人员减轻部分负担。

　　物联网带来新的不可预见的安全问题

　　物联网技术的优势在企业环境和消费者环境中都很明显——3D 打印、增强现实及虚拟现实、协作机器人、无人机、远程传感器、工业4.0、自动驾驶汽车、智能家居和安全摄像头。IDC 的一项新预测估计，到2025 年，将有416 亿个联网物联网设备或“物件”，生成79.4 泽字节（ZB）的数据。

　　但带来安全噩梦的并非设备数量，而是这些未受保护的设备影响组织安全防御的途径。员工是否在智能手表上收发公司电子邮件？是否从办公笔记本电脑连接到家庭安全系统？他们在家办公、通过VPN 连接到企业网络时，是否在企业应用程序和视频摄像头应用之间来回切换？

　　据Zscaler 在2019 年5 月分析云流量的结果显示，这家基于云的安全提供商每月阻止2000 个基于物联网的恶意软件；到2019 年底，每月被阻止的恶意软件数量增加了7 倍，达到14000 次。

　　在许多情况下，安全专业人员甚至可能没意识到一些设备在生成物联网流量，因此会给网络犯罪分子带来基于物联网的新的攻击途径。但是攻击者当然知道这些潜在的漏洞。以2016 年的 Mirai 僵尸网络为例，攻击者就钻了这个空子：消费者很少更改IP 摄像头和家用路由器上的默认密码，从而发起了拒绝服务攻击，导致互联网大面积瘫痪。针对物联网设备的新漏洞一直在不断出现，攻击摄像头、硬盘录像机（DVR）和家用路由器。

　　可以采取的措施：安全专业人员应致力于深入了解网络内部有没有未经授权的物联网设备（Shodan 在这方面可助一臂之力），将物联网设备安装在单独的网络上，限制从外部网络访问物联网设备，更改默认登录信息，要求使用强密码，并定期打上安全和固件更新。

　　安全团队有时会觉得被误解和被低估

　　安全团队常常在几个关键的方面遇到困难：

　　· 资金：企业自然希望在降低运营成本、提高利润、创造新收入来源、促进创新和提高客户满意度的方面进行投入。安全常常被视为支出，无法带来可衡量的回报，因此安全预算无法跟上威胁状况。

　　· 高管支持：企业的最高层可能无法充分了解安全威胁。一些企业的董事会中有精通安全性的高管，但许多企业没有。

　　· 业务部门合作：业务部门常常将安全视为抑制因素，而不是赋能因素。这导致许多部门越过IT 部门，注册使用自己的办公、协作或存储应用程序，这当然带来其他的安全问题。

　　· 员工抵制：员工常常觉得安全程序（比如密码的频繁重置、双因子身份验证或其他标准安全做法）很烦人，因而忽略或规避。

　　可以采取的措施：安全专业人员应齐心协力，深入到企业的角角落落，通力合作，成立跨学科团队，并传达安全人人有责、应融入到每个业务流程中这一讯息。

　　压力、焦虑和倦怠必然随之而来

　　面对上述所有的残酷事实，安全专业人员面临巨大的压力、焦虑和倦怠。据波耐蒙研究所声称，65% 的安全运营中心（SOC）专业人员表示压力导致他们考虑辞职。

　　Nominet 的调查发现， 91% 的CISO 表示自己承受中等或很大的压力，60% 表示基本上在线，很少断网。更令人不安的是，接受调查的CISO 中1/4 认为这份工作已对其心理或身体健康以及个人和家庭关系产生了影响。

　　高倦怠率导致高离职率，这加剧了技能短缺现象，使其余安全专业人员的日子更难过。这是个恶性循环。

　　可以采取的措施：这个问题没有简单的答案，但安全从业人员需要畅所欲言，与同事们聊聊压力，下定决心努力改善工作与生活之间的平衡。

　　本文作者Neal Weinberg 是一名自由科技撰稿人兼编辑。

　　原文网址 https://www.csoonline. com/article/3538613/6-hardtruths- security-pros-mustlearn- to-live-with.html