在安全圈里生活并不容易。安全從業(yè)者每時(shí)每刻都處于最前線，不斷的與具備耐心和智慧的黑客進(jìn)行戰(zhàn)斗，并且黑客總是領(lǐng)先一步，使安全從業(yè)者處于被動(dòng)中。不過，他們的回報(bào)也是巨大的，安全社區(qū)具有極大的行業(yè)地位，安全專業(yè)人員所做工作的對(duì)于一個(gè)企業(yè)來說是十分重要的。所以，安全人員的工資也是IT行業(yè)中最高的。

[[330421]]

以下是安全從業(yè)人員應(yīng)該學(xué)會(huì)接受和處理的6個(gè)問題。

1. 隱藏在網(wǎng)絡(luò)中的安全威脅

被入侵的公司可分為兩種類型，即已知被黑客入侵的公司和被黑客入侵卻尚不知曉的公司。

根據(jù)Ponemon研究所的一項(xiàng)研究表明，平均而言，公司識(shí)別安全漏洞需要花費(fèi)200天的時(shí)間，也就是說，攻擊者可以在網(wǎng)絡(luò)中扎根超過六個(gè)月之久。

據(jù)英國(guó)域名注冊(cè)公司Nominet委托開展的一項(xiàng)調(diào)查顯示，將近70%的首席信息安全官報(bào)告顯示，他們發(fā)現(xiàn)了隱藏在網(wǎng)絡(luò)上的惡意軟件，有些甚至超過了一年之久。

即使是科技公司也不能幸免。 例如，Citrix在給加州總檢察長(zhǎng)的信中說，黑客從2018年10月至2019年3月在其網(wǎng)絡(luò)內(nèi)部刪除了可能包含姓名，社會(huì)安全號(hào)碼和財(cái)務(wù)信息的文件。

一旦黑客攻破了防御，他們便可以有條不紊地獲得提升憑據(jù)和管理員權(quán)限，從而訪問存儲(chǔ)在公司服務(wù)器上的有價(jià)值的數(shù)據(jù)，并以避免檢測(cè)的方式秘密地泄露這些數(shù)據(jù)。甚至在某些情況下，黑客能夠“監(jiān)聽”與公司有關(guān)的通信，因此入侵者可以知道公司正在采取什么應(yīng)對(duì)措施，從而可以逃避檢測(cè)。

措施

蜜罐技術(shù)或許可以幫助到你的企業(yè)：蜜罐技術(shù)本質(zhì)上是一種對(duì)攻擊方進(jìn)行欺騙的技術(shù)，通過布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對(duì)它們實(shí)施攻擊，從而可以對(duì)攻擊行為進(jìn)行捕獲和分析，了解攻擊方所使用的工具與方法，推測(cè)攻擊意圖和動(dòng)機(jī)，能夠讓防御方清晰地了解他們所面對(duì)的安全威脅，并通過技術(shù)和管理手段來增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力。

蜜罐好比是情報(bào)收集系統(tǒng)。蜜罐好像是故意讓人攻擊的目標(biāo)，引誘黑客前來攻擊。所以攻擊者入侵后，你就可以知道他是如何得逞的，隨時(shí)了解針對(duì)服務(wù)器發(fā)動(dòng)的最新的攻擊和漏洞。還可以通過竊聽黑客之間的聯(lián)系，收集黑客所用的種種工具，并且掌握他們的社交網(wǎng)絡(luò)。

2. 沒有安全意識(shí)的人員可能會(huì)毀掉一個(gè)企業(yè)

對(duì)所有員工進(jìn)行安全意識(shí)的培訓(xùn)，甚至有必要定期發(fā)送假冒的釣魚郵件，誘使他們?nèi)c(diǎn)擊惡意鏈接，最終希望他們可以從中吸取教訓(xùn)。不過，這是一項(xiàng)艱巨的任務(wù)。

攻擊者會(huì)不斷的發(fā)送網(wǎng)絡(luò)釣魚攻擊，使整個(gè)企業(yè)面臨風(fēng)險(xiǎn)。

根據(jù)Verizon的數(shù)據(jù)泄露調(diào)查報(bào)告顯示，所有數(shù)據(jù)泄露事件中有32%與網(wǎng)絡(luò)釣魚有關(guān)。當(dāng)企業(yè)調(diào)查網(wǎng)絡(luò)間諜事件的根本原因以及后門的安裝和使用時(shí)，78%的案件中都存在網(wǎng)絡(luò)釣魚。

根據(jù)ProofPoint的《網(wǎng)絡(luò)釣魚狀況》報(bào)告，83%全球信息安全受訪者都遭受過網(wǎng)絡(luò)釣魚的攻擊。平均每25封電子郵件中就有1封是釣魚郵件。這些數(shù)字令人感到恐慌。

當(dāng)然，終端用戶也會(huì)遭受到其他攻擊方式危機(jī)安全性，其中就包括設(shè)備的丟失、被盜或成為社會(huì)工程騙局的受害者，在這些威脅和騙局中，他們會(huì)與未經(jīng)授權(quán)的用戶共享密碼或其他憑據(jù)信息。

措施

選擇一款第三方的反網(wǎng)絡(luò)釣魚軟件是個(gè)簡(jiǎn)單快速的解決辦法。

3. 面臨嚴(yán)重的人員配備和技能短缺

根據(jù)國(guó)際系統(tǒng)安全認(rèn)證協(xié)會(huì)(ISC 2)的調(diào)查，36%的網(wǎng)絡(luò)安全專業(yè)人員最關(guān)注的問題是缺乏熟練/有經(jīng)驗(yàn)的員工。ISC 2最新報(bào)告敲響了警鐘——全球安全行業(yè)人才缺口已達(dá)400萬人，問題主要存在與亞太地區(qū)(260萬)。不過，北美的情況也不容樂視。據(jù)估計(jì)，北美地區(qū)安全專業(yè)人員短缺約為55萬人。

在ISC 2調(diào)查中，三分之二的企業(yè)表示他們?nèi)狈W(wǎng)絡(luò)安全人員，一半以上的企業(yè)(51%)表示，安全人才的短缺使該組織處于中度或高度風(fēng)險(xiǎn)中。

這些發(fā)現(xiàn)得到了信息系統(tǒng)安全協(xié)會(huì)(ISSA)和分析公司Enterprise Strategy Group(ESG)的一項(xiàng)調(diào)查的支持。70%的受訪者表示，技能短缺已對(duì)其組織造成影響。

措施

專家建議企業(yè)應(yīng)適當(dāng)放寬安全人員面試時(shí)的特定證書或多年經(jīng)驗(yàn)的嚴(yán)格要求。企業(yè)還應(yīng)嘗試培訓(xùn)其他部門的員工。交叉培訓(xùn)非常重要，安全團(tuán)隊(duì)與其他組(例如DevOps或網(wǎng)絡(luò))的集成也很重要。如果安全成為每個(gè)人工作的一部分，那么可以減輕安全專業(yè)人員的負(fù)擔(dān)。

4. 物聯(lián)網(wǎng)所帶來的安全隱患

物聯(lián)網(wǎng)技術(shù)的應(yīng)用和優(yōu)勢(shì)，在企業(yè)和消費(fèi)者環(huán)境中都起到很明顯作用，例如：3D打印，VR和AR，協(xié)作機(jī)器人，無人機(jī)，遠(yuǎn)程傳感器，工業(yè)4.0，自動(dòng)駕駛汽車，智能家居，安全攝像機(jī)。 國(guó)際數(shù)據(jù)公司(IDC)的一項(xiàng)新預(yù)測(cè)，到2025年，將有416億個(gè)已連接的IoT設(shè)備，或?qū)a(chǎn)生79.4 ZB(1ZB=1024 EB，1EB=1024PB，1PB=1024TB，1TB=1024GB……)的數(shù)據(jù)。

不過，造成物聯(lián)網(wǎng)威脅的并不是設(shè)備的數(shù)量，而是一些不受保護(hù)的設(shè)備影響了整個(gè)物聯(lián)網(wǎng)安全。員工是否在智能手表上查閱過公司電子郵件?是否用工作筆記本電腦連接到家庭安全系統(tǒng)?當(dāng)他們?cè)诩夜ぷ鳎⑼ㄟ^VPN進(jìn)入企業(yè)網(wǎng)絡(luò)時(shí)，是否在企業(yè)應(yīng)用程序和nannycam之間來回切換?

根據(jù)Zscaler對(duì)云流量的分析，基于云的安全提供商在2019年5月每月攔截2000個(gè)基于物聯(lián)網(wǎng)的惡意軟件。到2019年底，這一數(shù)字翻了7倍，達(dá)到每月攔截14000個(gè)惡意軟件。

大多數(shù)情況下，甚至連安全專家可能都不知道某些設(shè)備會(huì)產(chǎn)生IoT流量，從而為網(wǎng)絡(luò)罪犯創(chuàng)建新的基于物聯(lián)網(wǎng)攻擊的載體，但前提是攻擊者知道這些潛在的漏洞。如今，物聯(lián)網(wǎng)設(shè)備的漏洞不斷涌現(xiàn)，例如攝像頭、DVR和家庭路由器等。以2016年的Mirai僵尸網(wǎng)絡(luò)為例，攻擊者利用消費(fèi)者很少更改IP攝像機(jī)和家庭路由器上的默認(rèn)密碼的習(xí)慣，發(fā)動(dòng)了一次拒絕服務(wù)攻擊，破壞了大量互聯(lián)網(wǎng)設(shè)備。

措施

安全專家應(yīng)該集中精力了解網(wǎng)絡(luò)中已經(jīng)存在的未經(jīng)授權(quán)的物聯(lián)網(wǎng)設(shè)備，將物聯(lián)網(wǎng)設(shè)備放在單獨(dú)的網(wǎng)絡(luò)上，限制從外部網(wǎng)絡(luò)訪問物聯(lián)網(wǎng)設(shè)備，更改默認(rèn)憑據(jù)，設(shè)置強(qiáng)密碼，以及應(yīng)用定期的安全和固件更新。

5. 安全性得不到重視

安全團(tuán)隊(duì)通常在以下幾個(gè)方面遇到問題：

• 資金：公司自然希望降低運(yùn)營(yíng)成本，提高利潤(rùn)，創(chuàng)造新的收入來源，在注重創(chuàng)新并提高客戶滿意度的領(lǐng)域進(jìn)行投資。安全常常被視為一項(xiàng)無法收到回報(bào)的開支，因此安全預(yù)算無法支持企業(yè)與威脅狀況對(duì)抗。
• 高管支持：公司的最高級(jí)別領(lǐng)導(dǎo)人，可能無法完全理解安全威脅的嚴(yán)重性。一些公司的董事會(huì)中可能會(huì)有精通安全的高管，但大多數(shù)公司是沒有的，所以企業(yè)的安全性一直得不到重視。
• 業(yè)務(wù)部門合作：工作中業(yè)務(wù)部門所需要的通常會(huì)和安全性相互沖突，他們會(huì)對(duì)安全性的建設(shè)視為阻礙因素。這可能導(dǎo)致有些時(shí)候各部門會(huì)繞過IT部門自行操作，這當(dāng)然也會(huì)造成其他的安全問題。
• 員工的抵制：?jiǎn)T工經(jīng)常會(huì)將可保障安全性的操作(例如頻繁的密碼重置，兩因素身份驗(yàn)證或其他標(biāo)準(zhǔn)安全性做法)視為麻煩的工作，并可能會(huì)忽略安全性的維護(hù)。

措施

安全專業(yè)人員應(yīng)齊心協(xié)力，深入業(yè)務(wù)部門的各個(gè)角落，架起橋梁，建立學(xué)科的團(tuán)隊(duì)協(xié)作，并傳達(dá)出以下信息：安全是每個(gè)人的責(zé)任，應(yīng)該嵌入到每個(gè)業(yè)務(wù)流程中。

6. 壓力，焦慮和倦怠

安全人員的工作并沒有想象中的那么簡(jiǎn)單，回顧上述的所有問題，你會(huì)覺得亞歷山大。根據(jù)Ponemon研究所的說法，有65%的SOC專業(yè)人員表示感覺壓力太大，可能會(huì)考慮換一份工作。

在Nominet調(diào)查中，有91%的CISO表示他們承受的壓力較大，另有60%的CISO表示很少休息。更令人不安的是，接受調(diào)查的四分之一的CISO認(rèn)為這份工作對(duì)他們的心理、身體健康以及個(gè)人和家庭關(guān)系有影響。

高倦怠率會(huì)導(dǎo)致高離職率，從而加劇行業(yè)人才和技能的流失，這是個(gè)惡性循環(huán)，會(huì)使得安全專業(yè)人員的生活更加艱難。

措施

這個(gè)問題沒有那么好解決。安全從業(yè)人員需要敞開心扉，經(jīng)常與同事或家人聊聊，從而減輕自己的壓力，并要好好的改善和調(diào)整目前工作與生活的平衡。