安全需要聰敏的人員、過程和技術(shù)(PPT)。但該P(yáng)PT方程式中“人(P)”的部分往往被忽略掉了。

[[245562]]

互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)預(yù)測，全球數(shù)字化轉(zhuǎn)型技術(shù)開支今年將達(dá)1.3萬億左右。但防控現(xiàn)代威脅需要的不僅僅是技術(shù)解決方案，還需要強(qiáng)有力的安全團(tuán)隊。

強(qiáng)安全團(tuán)隊由什么組成?

如果你已經(jīng)遭遇過惡意軟件感染或別的安全事件，你可能就會覺得自己的安全團(tuán)隊肯定稱不上強(qiáng)安全團(tuán)隊。然而，個別事件代表不了團(tuán)隊的能力。

基于與數(shù)百名安全人員和一些全球最具安全意識的組織共事的經(jīng)驗，可以得出最高效安全團(tuán)隊具備的7個習(xí)慣。

1. 投資威脅情報，不寄希望于安全萬靈丹

安全技術(shù)只是達(dá)到目的的手段或方法。盡管投入大量資源，公司企業(yè)仍常常在安全事件發(fā)生數(shù)月之后才檢測到，然后忙于在數(shù)據(jù)都滲漏出去之后的漏洞修復(fù)。

更糟的是，這種事后分析通常都會發(fā)現(xiàn)之前被忽視掉的跡象。最好的安全團(tuán)隊運(yùn)用技術(shù)以更為積極主動地做出風(fēng)險管理決策。他們用技術(shù)綜合來自整個企業(yè)的數(shù)據(jù)，方便分析師做出更為明智的決策。

2. 了解哪些東西需要保護(hù)

攻擊者發(fā)動攻擊總要有個最終目標(biāo)。成功的安全團(tuán)隊會從攻擊者的角度思考，了解每臺電腦、服務(wù)器和技術(shù)產(chǎn)品與該最終攻擊目標(biāo)之間的聯(lián)系，摸清這些設(shè)備和產(chǎn)品一旦被黑可能會給公司帶來的風(fēng)險。

攻擊者花費(fèi)大量時間研究目標(biāo)和基礎(chǔ)設(shè)施，尋找漏洞，并重新評估每一步的環(huán)境。想要阻止攻擊，就要了解攻擊者的這些行為模式。隨時保護(hù)所有東西是不現(xiàn)實的——會按對公司的重要程度給資產(chǎn)和可能的攻擊途徑排個優(yōu)先級的團(tuán)隊就具備了成為好團(tuán)隊的潛質(zhì)。

3. 明白警報并不全面

最高效的安全團(tuán)隊幾乎從不響應(yīng)安全警報。相反，他們將警報當(dāng)成定義優(yōu)先級的風(fēng)險評估中的另一數(shù)據(jù)點(diǎn)。

盲目追逐每一個警報是安全團(tuán)隊通往失敗的坦途，只會制造混亂，對改善公司安全狀況毫無用處。最好的安全團(tuán)隊會在上下文中考慮警報的嚴(yán)重性，綜合進(jìn)諸如攻擊目標(biāo)和攻擊行為對公司造成影響的可能性等其他因素。高效安全團(tuán)隊會將可能導(dǎo)致最大傷害的事件列為頭等大事。

4. 清醒認(rèn)識AI替代不了人類直覺

用人工智能和機(jī)器學(xué)習(xí)替代安全團(tuán)隊或許是安全行業(yè)中炒作最甚也最為危險的一個趨勢。

人類決策是創(chuàng)建和實現(xiàn)強(qiáng)企業(yè)安全不可或缺的，因為人類的洞察力可以補(bǔ)償數(shù)學(xué)模型的固有局限。技術(shù)投資應(yīng)聚焦支持安全團(tuán)隊和自動化繁瑣任務(wù)，比如要求高度面向過程專業(yè)知識的取證調(diào)查。最好的團(tuán)隊民主化該職能，充分賦予人類員工做出重要風(fēng)險管理決策的權(quán)力。

5. 溫故知新，防患未然

最好的團(tuán)隊從過往攻擊中學(xué)習(xí)積累經(jīng)驗以在未來更好地保護(hù)自身。盡管攻擊者會改進(jìn)其惡意軟件和工具，他們的策略往往大體不變。最為成熟的安全團(tuán)隊不僅僅觀測惡意軟件，他們審查異常行為和不屬于自身環(huán)境的行為。

6. 視安全為團(tuán)隊運(yùn)動

Cybersecurity Ventures 宣稱，到2021年，全球網(wǎng)絡(luò)安全職位空缺將達(dá)350萬個。安全團(tuán)隊需打造下一代安全人員隊伍。最成功的團(tuán)隊通過創(chuàng)建保證可重復(fù)性結(jié)果的過程來泛化隊伍?？芍貜?fù)的戰(zhàn)術(shù)手冊能夠被團(tuán)隊中任何成員使用，最好的團(tuán)隊不僅擁有可重復(fù)的戰(zhàn)術(shù)手冊，還具備一定的機(jī)制以保留、共享和應(yīng)用自身積累的技術(shù)知識。

7. 不斷精進(jìn)

最好的團(tuán)隊通過測試漏洞和記錄評估結(jié)果，持續(xù)改進(jìn)自身安全配備。該信息饋送給安全團(tuán)隊，他們便可識別并清除掉網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的漏洞。這種集體負(fù)責(zé)制的文化確保了整個團(tuán)隊都專注于更宏觀的目標(biāo)。

企業(yè)防御工作一直在發(fā)展進(jìn)化。我們很容易落入只有購買最新安全技術(shù)才能更好地保護(hù)企業(yè)安全的思維陷阱。然而，甚至在安全方面豪擲上億美元的企業(yè)都會遭遇安全事件。

安全需要綜合投資人員、過程和技術(shù)，但這三者間“人”的部分往往會被忽視。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文