灰帽子行為有時(shí)候不過是釋放壓力的一種形式，不用過于大驚小怪難以容忍。

網(wǎng)絡(luò)犯罪所造成的損失通常以直接開銷計(jì)：修復(fù)費(fèi)用、取證支持、律師費(fèi)、合規(guī)罰款等等。但Malwarebytes委托奧斯特曼研究所所做的最新調(diào)查采取了略微不同的方法，審查的是與網(wǎng)絡(luò)犯罪活動(dòng)相關(guān)的管理性開銷。

該研究于今年5月到6月間進(jìn)行，調(diào)查了5個(gè)國家900位安全從業(yè)人士：美國(200)、英國(175)、德國(175)、澳大利亞(175)和新加坡(175)。受訪者均在員工規(guī)模在200到1萬人之間的公司工作，負(fù)責(zé)管理網(wǎng)絡(luò)安全事務(wù)或處理網(wǎng)絡(luò)安全問題。

研究關(guān)聯(lián)了員工工資、安全預(yù)算和緩解開銷，稱雇傭2500名員工的美國公司平均每年要在網(wǎng)絡(luò)安全相關(guān)問題上耗費(fèi)掉200萬美元。其他4個(gè)國家受訪公司的網(wǎng)絡(luò)安全相關(guān)開銷沒那么大，但也接近或超過每年100萬美元。有趣的是，該調(diào)查不走尋常路，專門研究了公司所雇灰帽子的數(shù)量與網(wǎng)絡(luò)安全總體開銷之間的關(guān)系。

該項(xiàng)研究的基本結(jié)論沒有超出我們的預(yù)期，且已被其他多項(xiàng)調(diào)查研究所證實(shí)：大部分公司都被成功入侵過;網(wǎng)絡(luò)釣魚是最常見的攻擊方法;中型市場(chǎng)公司與大公司同為遭遇較頻繁攻擊的目標(biāo)，小公司遭遇網(wǎng)絡(luò)攻擊的頻率相對(duì)較低;攻擊頻率不斷攀升，令人心生警惕。

該調(diào)查最令人驚訝的發(fā)現(xiàn)，就是那些正在公司企業(yè)工作的灰帽子和曾被公司企業(yè)雇傭過的黑帽子數(shù)量?；颐弊颖举|(zhì)上是計(jì)算機(jī)安全專家，只是有時(shí)候會(huì)無傷大雅地違反法律或傳統(tǒng)道德標(biāo)準(zhǔn)，但絕對(duì)沒有全職黑帽子的那種惡意。

總體上，這900位受訪者認(rèn)為，同事中有4.6%是灰帽子--用報(bào)告中的話說就是：兼職黑帽子的全職安全人員。情況各國不同：德國、澳大利亞和新加坡受訪者認(rèn)為自家同事里有3.4%是灰帽子，美國是5.1%，英國最高，為7.9%。

成為灰帽子的動(dòng)機(jī)是什么?受訪者給出的答案包括：黑帽子活動(dòng)更有利可圖(63%)，有挑戰(zhàn)性(50%)，想報(bào)復(fù)老板(40%)、哲學(xué)原因(39%)，以及，這又不是啥真正的壞事對(duì)吧(34%)?

Bromium研究所在2018年4月發(fā)布的一份獨(dú)立研究報(bào)告證實(shí)了白帽子雇員與黑帽子黑客之間的收入差距：高收入的網(wǎng)絡(luò)罪犯每月能賺16.6萬美元以上;中等收入的每月至少7.5萬美元;低收入網(wǎng)絡(luò)罪犯每月也有3500美元以上的進(jìn)賬。

而根據(jù)Malwarebytes的調(diào)查，美國安全從業(yè)人員最高平均起薪為6.56萬美元每年，也就是每月僅5464美元(想想中等收入黑帽子的每月7.5萬美元，頂級(jí)安全人員的收入也就人家一個(gè)零頭)。英國的狀況就更差了，安全人員平均起薪甚至少于每月3000美元。

這就有意思了。整個(gè)行業(yè)都在焦慮安全人才短缺問題，但公司企業(yè)在招聘新安全人員時(shí)通常又不愿付出高薪。公司企業(yè)和政府都在抱怨難以找到合適的人才，但當(dāng)他們確實(shí)招進(jìn)人來，卻又往往沒有給予人家應(yīng)得的薪金。

將美國與英國的數(shù)據(jù)做關(guān)聯(lián)分析時(shí)難免會(huì)得出一個(gè)結(jié)論。不僅僅是美國公司支付給安全人員的薪金比英國公司的高得多，而且美國公司的安全預(yù)算也相對(duì)高出很多(美國公司平均安全預(yù)算157萬美元，英國公司35萬美元)。于是，英國公司里灰帽子百分比更高，緩解開銷也相應(yīng)較高(美國公司安全預(yù)算的14.7%，英國公司安全預(yù)算的17.0%)，難道僅僅是個(gè)巧合?

預(yù)算少，緩解開銷比例自然就高;人們也更傾向于認(rèn)為黑產(chǎn)的高回報(bào)會(huì)對(duì)低收入的英國安全人員產(chǎn)生吸引力。美國政府就認(rèn)為，發(fā)現(xiàn)并觸發(fā)了WannaCry“死亡開關(guān)”的英國研究員 Marcus Hutchins 正是個(gè)中典型案例。干掉WannaCry無疑是純粹的白帽子行為，但Hutchins隨后就在美國被捕，訴以涉嫌編寫并分發(fā)Kronos銀行惡意軟件。

Hutchins 的支持者不少，反對(duì)者也不少。但鑒于受雇白帽子中有相當(dāng)一部分人被同事認(rèn)為是灰帽子，這事兒最終作何定論還有待觀察。

相對(duì)較低的行業(yè)薪酬可能是信息安全界灰帽子數(shù)量驚人的部分原因?；颐弊诱急茸罡叩?，是無法支付頂級(jí)薪金的中型企業(yè)，這種企業(yè)在英國是主流。但經(jīng)濟(jì)原因肯定不是唯一的驅(qū)動(dòng)因素。有些人是真正意義上的純黑客，喜歡四處探索尋求真相--即便嚴(yán)格說來這是非法的。但這對(duì)他們做好安全工作也有好處，通過探索背后真相，可以更好地理解罪犯的運(yùn)作方式，也就能更好地加以防御。

但這里面還有社會(huì)問題。技術(shù)宅可能有社交障礙，難以融入公司組織結(jié)構(gòu)。不是每個(gè)人都適合在商業(yè)公司環(huán)境中干活。而在信息安全領(lǐng)域，壓力山大是常態(tài)。朝九晚五周末雙休是不可能的，網(wǎng)絡(luò)罪犯才不會(huì)像公務(wù)員一樣按時(shí)打卡，安全人員經(jīng)常每周工作80小時(shí)以上還沒加班費(fèi)。巨大的精神壓力便源自于此，信息安全界過勞現(xiàn)象太嚴(yán)重了?，F(xiàn)實(shí)很難很殘酷，只要身處信息安全領(lǐng)域，24/7全年無休就是你的命。

公司企業(yè)因?yàn)樾┰S的灰帽子行為就解雇員工是不對(duì)的，這么做很可能會(huì)引發(fā)災(zāi)難。但同時(shí)，企業(yè)主又有責(zé)任要找出解決方案。在勞動(dòng)回報(bào)率上，公司企業(yè)是沒辦法與黑帽子競(jìng)爭(zhēng)了，但應(yīng)盡可能地包容和支持信息安全領(lǐng)域中頂著巨大壓力干活的人。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文