對(duì)于現(xiàn)代企業(yè)來(lái)說(shuō)，現(xiàn)代威脅環(huán)境是一個(gè)巨大的挑戰(zhàn)。許多企業(yè)通過(guò)從最新的熱門供應(yīng)商那里購(gòu)買最新的安全產(chǎn)品來(lái) "解決 "這個(gè)問(wèn)題，并希望能以此為他們提供保護(hù)，但越來(lái)越多的人慢慢認(rèn)識(shí)到，這并不足以保護(hù)他們的組織。

[[420866]]

自動(dòng)化滲透測(cè)試和安全人才缺口

工具和掃描器很好用，但那些只能找到已知的漏洞。許多漏洞只有經(jīng)過(guò)培訓(xùn)的安全專家才能發(fā)現(xiàn)。不幸的是，缺乏訓(xùn)練有素、合格的安全專業(yè)人員加劇了組織面臨的挑戰(zhàn)。

安全人才的缺口并沒(méi)有變小，人們正在想出一些荒唐的想法來(lái)彌補(bǔ)這個(gè)缺口。最新的一個(gè)是自動(dòng)滲透測(cè)試，這個(gè)想法的思路是，我們可以以某種方式創(chuàng)建機(jī)器人來(lái)探測(cè)企業(yè)的防御系統(tǒng)并發(fā)現(xiàn)漏洞。但問(wèn)題是，這與滲透測(cè)試的含義截然相反。真正的滲透測(cè)試不是自動(dòng)掃描工作。真正的滲透測(cè)試是利用一個(gè)有經(jīng)驗(yàn)的網(wǎng)絡(luò)專家的創(chuàng)造性思維來(lái)進(jìn)行的。

滲透測(cè)試的全部意義在于具有創(chuàng)造性，從攻擊者的角度思考，并識(shí)別機(jī)器和其他預(yù)內(nèi)置邏輯無(wú)法識(shí)別的漏洞，從而領(lǐng)先網(wǎng)絡(luò)犯罪分子一步。當(dāng)我們教機(jī)器人識(shí)別和解決一些漏洞時(shí)，黑客會(huì)變得更有創(chuàng)意并找到新的漏洞來(lái)繞過(guò)這些自動(dòng)檢查的檢測(cè)。

我們應(yīng)該盡可能多地自動(dòng)化，但僅依賴于您的系統(tǒng)和網(wǎng)絡(luò)的自動(dòng)化安全測(cè)試并不能保護(hù)您的企業(yè)。解決這個(gè)問(wèn)題的唯一方法是與優(yōu)秀的網(wǎng)絡(luò)安全專業(yè)人員合作。

為什么思維方式的轉(zhuǎn)變是關(guān)鍵

安全團(tuán)隊(duì)需要具有對(duì)抗性或黑客的思維方式，即他們必須像攻擊者一樣思考。他們需要領(lǐng)先于網(wǎng)絡(luò)犯罪分子一步，并就需要采取的重要行動(dòng)及時(shí)向組織的其他成員提供建議。

并非每個(gè)漏洞都是顯而易見(jiàn)的。保護(hù)企業(yè)的最佳方法是讓防御者像攻擊者一樣思考，并在每次似乎遇到死胡同時(shí)更加努力，不要輕易放棄他們認(rèn)為沒(méi)有意義的事情。成功防御系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用程序不僅需要了解攻擊者可以使用的工具，還需要了解他們?nèi)绾问褂眠@些工具以及何時(shí)使用它們。這需要大量的判斷力，多找一些問(wèn)題，而這些問(wèn)題無(wú)法通過(guò)自動(dòng)化測(cè)試來(lái)完成。自動(dòng)化測(cè)試的好壞取決于您告訴他們要查找和執(zhí)行的操作。使安全變得困難的是，攻擊者每次都在做不同的新事情。

攻擊者不需要一個(gè)巨大的漏洞來(lái)影響組織——他們很有耐心，等待個(gè)人犯錯(cuò)，通過(guò)網(wǎng)絡(luò)釣魚(yú)或社會(huì)工程讓他們進(jìn)入。一旦進(jìn)入，他們就會(huì)進(jìn)入網(wǎng)絡(luò)或提升權(quán)限以獲得越來(lái)越多的敏感系統(tǒng)和數(shù)據(jù)。

嚴(yán)重的黑客攻擊和數(shù)據(jù)泄露通常始于小事故。由于大多數(shù)系統(tǒng)和網(wǎng)絡(luò)的設(shè)計(jì)沒(méi)有必要的安全防御機(jī)制，因此將一些小漏洞鏈接起來(lái)產(chǎn)生破壞性影響的情況并不少見(jiàn)。

此外，攻擊者不斷開(kāi)發(fā)新的惡意軟件有效載荷并測(cè)試新的威脅載體。真正實(shí)現(xiàn)公平競(jìng)爭(zhēng)的唯一方法是與對(duì)手一樣富有創(chuàng)造力和堅(jiān)持不懈的人類防守者。防御者還需要及時(shí)了解最新的漏洞利用、黑客技術(shù)、惡意軟件等。

縮小網(wǎng)絡(luò)安全技能差距

在網(wǎng)絡(luò)安全技能方面的差距是一個(gè)人的問(wèn)題，但它不只是要找到足夠的人來(lái)操作的工具，因?yàn)檫@些工具本身是不夠的。所有工具都有保質(zhì)期，攻擊者找到解決方法只是時(shí)間問(wèn)題。

如果我們真的要解決安全問(wèn)題，我們需要加強(qiáng)對(duì)所有人的安全意識(shí)培訓(xùn)。我們需要培訓(xùn)設(shè)計(jì)和構(gòu)建系統(tǒng)以及網(wǎng)絡(luò)的人員具有攻擊者思維。我們必須確保我們培訓(xùn)的安全專業(yè)人員能夠像攻擊者一樣思考，及時(shí)了解最新的漏洞利用和安全問(wèn)題。

毫無(wú)疑問(wèn)，我們需要更多合格的安全專業(yè)人員，解決人才短缺的問(wèn)題沒(méi)有靈丹妙藥。您不必成為 IT 專家即可進(jìn)入安全領(lǐng)域。你需要有一顆好奇的心，是一個(gè)創(chuàng)造性的問(wèn)題解決者，愿意付出汗水來(lái)學(xué)習(xí)這門手藝，不要輕易放棄并繼續(xù)前進(jìn)。

優(yōu)秀的候選人可以來(lái)自組織的許多部門，譬如系統(tǒng)管理員、網(wǎng)絡(luò)工程師、Web 開(kāi)發(fā)人員、客戶支持成員，甚至是應(yīng)屆畢業(yè)生。雖然他們無(wú)法一蹴而就，但他們將具備在安全方面取得成功的基本特征。

安全問(wèn)題歸根結(jié)底是人的問(wèn)題。掃描儀、工具和自動(dòng)化測(cè)試可以提供幫助，但要真正解決這個(gè)問(wèn)題，需要多層次的人類創(chuàng)造力來(lái)解決它。