如果你身在安全界，你怎么描述你的工作?如果你沒在安全界，你怎么描述安全?

[[203184]]

安全似乎是靠著不斷克服消極性才堅持下來的。被大量安全失敗的消息淹沒，加上不斷增加的無錯運行的壓力，往往構(gòu)筑了一個只會輸出混亂的操作環(huán)境。我們被吸引到安全行業(yè)，卻似乎只是讓自己感覺不好。

Awake Security共同創(chuàng)始人加里·哥倫布在威脅分析上有將近20年從業(yè)經(jīng)驗，主導(dǎo)了一系列著名案例的調(diào)查和控制工作。追溯夠遠(yuǎn)的話，他是 Dragon NIDS/HIDS (網(wǎng)絡(luò)入侵檢測系統(tǒng)/主機入侵檢測系統(tǒng))研究人員，再之前，他在美國海軍陸戰(zhàn)隊第2部隊偵察連服役。

當(dāng)他請業(yè)內(nèi)人士描述自己的工作時，得到的答案大多悲傷。安全界人士感到疲憊、不被賞識、注定失敗。這是種很可怕的工作方式。加里認(rèn)為我們應(yīng)該采取不同的方式了。

今天的安全產(chǎn)品正將人的元素從SOC中移除

或許只是懷舊，但回想2000年左右我作為安全分析師初入行的時候，想起的都是令人興奮的有趣工作。那個時候，分析師需要相當(dāng)嚴(yán)謹(jǐn)?shù)乃季S;因為在我們今天大致上還可以的情報共享出現(xiàn)之前，當(dāng)時的很多攻擊工具和流程都是缺乏文檔記錄的。大多數(shù)分析師都得參與解決很有趣的問題(只有很少的初級工具可用)，迫使你不得不掌握威脅發(fā)現(xiàn)的手藝，精煉關(guān)鍵捕獵技術(shù)。

過去幾年，我花了大量時間與全球的安全分析師交談，發(fā)現(xiàn)上述參與感和動機在今天已經(jīng)缺失了。當(dāng)我請分析師描述他們的工作時，我常常聽到的詞是“單調(diào)”和“令人泄氣”——與我的美好回憶大不相同。這數(shù)以千計(或者百萬計)的警報背后，是負(fù)責(zé)決定是否從網(wǎng)絡(luò)中拉出一臺主機的分析師。一旦做出錯誤的決定，不是報警工具，而是分析師，要擔(dān)負(fù)起“中斷業(yè)務(wù)”的指責(zé)。毫不意外，這讓分析師不愿意去響應(yīng)那些更“易出錯”的威脅類型，而這同時也會直接或間接地增加挫折感和倦怠感。

今天的安全工具更側(cè)重于發(fā)現(xiàn)模式，而不是讓分析師更強大。這就創(chuàng)建了一個以交付盡可能對機器有意義的數(shù)據(jù)為優(yōu)先的環(huán)境。數(shù)據(jù)里面對人有意義的信息少得可憐。于是，現(xiàn)在的分析師花費大量時間關(guān)聯(lián)適用于機器的數(shù)據(jù)——往往需要30多種工具來做這事兒，讓他們的決策過程更易于出錯。

這不僅僅阻礙了分析師，還讓他們無法磨礪真正重要的很多技能，自然就很是令人沮喪了。而且，這還排除了主動狩獵之類高價值的安全任務(wù)——不是因為像很多人以為的企業(yè)沒有這些技術(shù)，而是因為供他們使用的工具阻礙了這些功能。捕獵技術(shù)算不上多么新鮮，但啟用這種技術(shù)面臨的問題才是真正的難點所在。

我們面對的是有創(chuàng)造性的攻擊者。雖然也可以是有利可圖的，但毫無疑問，黑客活動很有趣。這是問題解決和創(chuàng)造性思維——讓我愛上安全分析的原因。然而，不幸的是，今天身處企業(yè)防御前線的分析師們，周旋在一大堆將他們從安全工藝專家轉(zhuǎn)換成重復(fù)性勞動工蜂的工具中間。

本質(zhì)上講，安全總是人類創(chuàng)造力之間的平衡：一群人在智慧上勝過另一群人，而我們卻正在把分析師的工作變得單調(diào)重復(fù)，讓他們在這場斗智斗勇中居于下方。即便有了自動化，我們也只是消除了那最后一公里。這一問題的解決方案，就是安全行業(yè)產(chǎn)出不僅關(guān)注計算算法，還強調(diào)認(rèn)知特性和過程性知識的工具，讓老手和新手都能很自信地決定是否中斷某個業(yè)務(wù)過程，并在這個過程中增加自己的知識積累。

結(jié)語

我們知道，安全總是關(guān)注負(fù)面的東西——即便只是為了防止“壞事”發(fā)生。安全和人之間的脫節(jié)總那么令人遺憾。安全角色的發(fā)展和新解決方案也會讓我們與過程脫節(jié)的事，倒是從未考慮過。但若技術(shù)以人為先，就會創(chuàng)造出讓我們每個人都交付可觀價值的機會。期待吧~