網(wǎng)絡(luò)安全公司Teleport的首席執(zhí)行官Ev Kontsevoy最近撰文指出，網(wǎng)絡(luò)安全行業(yè)集體偏離了安全的本質(zhì)，陷入了一場漏洞（發(fā)現(xiàn)）游戲，一場勞命傷財(cái)?shù)募夹g(shù)表演競賽。內(nèi)容由GoUpSec編譯整理如下：

安全技術(shù)營造的安全假象

在現(xiàn)代網(wǎng)絡(luò)安全領(lǐng)域，許多人都相信“發(fā)現(xiàn)的漏洞越多，安全就越有保障”。理論上，技術(shù)堆棧中加入更多工具似乎能更有效地監(jiān)控攻擊面。然而，現(xiàn)實(shí)情況卻讓這種假設(shè)站不住腳。

事實(shí)上，“工具泛濫”并沒有帶來真正的安全保障，反而讓安全團(tuán)隊(duì)陷入了處理海量誤報(bào)的泥沼。盡管觀測解決方案愈發(fā)先進(jìn)，能夠標(biāo)記更多潛在威脅，但當(dāng)威脅的危險(xiǎn)等級無法清晰區(qū)分時(shí)，這種安全感也只是“表面功夫”。

回顧2024年的幾次重大數(shù)據(jù)泄露事件——Ticketmaster、Snowflake、倫敦交通局以及國家公共數(shù)據(jù)泄露事件（涉及29億人的個(gè)人信息），數(shù)據(jù)泄露受害者數(shù)量超過10億人，同比激增409%。雖然安全通知鋪天蓋地，卻未能阻止攻擊面在過去兩年內(nèi)擴(kuò)大近80%。

另一個(gè)普遍誤區(qū)是，企業(yè)一旦投資某種網(wǎng)絡(luò)安全解決方案，便可高枕無憂。然而，工具是否真正被員工使用？數(shù)據(jù)顯示，僅23%的IT專業(yè)人士表示對團(tuán)隊(duì)工具的使用情況有足夠的可見性。在工程領(lǐng)域尤其如此，許多開發(fā)者為了圖方便，繞過IT部門采購的訪問管理工具，轉(zhuǎn)而依賴私人代理、跳轉(zhuǎn)主機(jī)或堡壘機(jī)等自制“解決方案”。

這些未經(jīng)監(jiān)控的“影子訪問”路徑，往往成為繞過官方工具通往關(guān)鍵系統(tǒng)的隱形后門。它們在表面上未見異常，但一旦發(fā)生泄露，往往難以彌補(bǔ)。

重視“人的因素”才能打造真正的安全屏障

安全團(tuán)隊(duì)想要有所作為，他們就不能只玩“發(fā)現(xiàn)軟件漏洞”的游戲。軟件漏洞仍然只占漏洞的一小部分。

當(dāng)我們?nèi)タ瘁t(yī)生時(shí)，期待的是他們治愈疾病，而不僅僅是緩解癥狀。然而，當(dāng)前的“告警疲勞時(shí)代”卻讓安全團(tuán)隊(duì)像一個(gè)只開止痛藥的醫(yī)生，治標(biāo)不治本。數(shù)據(jù)顯示，73%的安全專業(yè)人士因?yàn)闀r(shí)間限制而未能處理高優(yōu)先級的安全警報(bào)。面對成千上萬條警報(bào)，真正的威脅就像大海撈針。

解決問題的關(guān)鍵是縮小攻擊面，而這首先要從減少人為錯誤入手。微軟數(shù)據(jù)顯示，2024財(cái)年記錄的6億次身份攻擊中，99%是密碼攻擊。這一數(shù)字背后，是攻擊者通過釣魚郵件、生成式AI等手段愚弄人類（獲取密碼、瀏覽器Cookie、API密鑰等信息），而不是依賴復(fù)雜的漏洞攻擊。

對此，安全團(tuán)隊(duì)需要的不僅是監(jiān)控行為異常，而是徹底改變基礎(chǔ)設(shè)施，讓人為錯誤變得無足輕重。例如，可以通過用戶的生物特征、設(shè)備硬件身份與PIN碼組合建立身份驗(yàn)證機(jī)制。這種方式的成功已經(jīng)在智能手機(jī)領(lǐng)域得到驗(yàn)證——如今幾乎很少聽說過iPhone被破解。

拋開假象，正視根源

網(wǎng)絡(luò)安全不應(yīng)淪為一場“漏洞游戲”。處理海量通知而無實(shí)際成效只會加劇團(tuán)隊(duì)的壓力，只有消除靜態(tài)憑據(jù)和持久特權(quán)，才能從根本上改變安全態(tài)勢。下一次，當(dāng)你面對成千上萬的安全警報(bào)時(shí)，請記?。哼@些數(shù)字并沒有你想象中重要。

安全的未來，不在于制造更多的警報(bào)，而在于清晰明確地解決威脅的根源。是時(shí)候摒棄表面的安全假象，構(gòu)建真正穩(wěn)固的安全堡壘了。