在安全圈里生活并不容易。安全从业者每时每刻都处于最前线,不断的与具备耐心和智慧的黑客进行战斗,并且黑客总是领先一步,使安全从业者处于被动中。不过,他们的回报也是巨大的,安全社区具有极大的行业地位,安全专业人员所做工作的对于一个企业来说是十分重要的。所以,安全人员的工资也是IT行业中最高的。
以下是安全从业人员应该学会接受和处理的6个问题。
1. 隐藏在网络中的安全威胁
被入侵的公司可分为两种类型,即已知被黑客入侵的公司和被黑客入侵却尚不知晓的公司。
根据Ponemon研究所的一项研究表明,平均而言,公司识别安全漏洞需要花费200天的时间,也就是说,攻击者可以在网络中扎根超过六个月之久。
据英国域名注册公司Nominet委托开展的一项调查显示,将近70%的首席信息安全官报告显示,他们发现了隐藏在网络上的恶意软件,有些甚至超过了一年之久。
即使是科技公司也不能幸免。 例如,Citrix在给加州总检察长的信中说,黑客从2018年10月至2019年3月在其网络内部删除了可能包含姓名,社会安全号码和财务信息的文件。
一旦黑客攻破了防御,他们便可以有条不紊地获得提升凭据和管理员权限,从而访问存储在公司服务器上的有价值的数据,并以避免检测的方式秘密地泄露这些数据。甚至在某些情况下,黑客能够“监听”与公司有关的通信,因此入侵者可以知道公司正在采取什么应对措施,从而可以逃避检测。
措施
蜜罐技术或许可以帮助到你的企业:蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。
2. 没有安全意识的人员可能会毁掉一个企业
对所有员工进行安全意识的培训,甚至有必要定期发送假冒的钓鱼邮件,诱使他们去点击恶意链接,最终希望他们可以从中吸取教训。不过,这是一项艰巨的任务。
攻击者会不断的发送网络钓鱼攻击,使整个企业面临风险。
根据Verizon的数据泄露调查报告显示,所有数据泄露事件中有32%与网络钓鱼有关。当企业调查网络间谍事件的根本原因以及后门的安装和使用时,78%的案件中都存在网络钓鱼。
根据ProofPoint的《网络钓鱼状况》报告,83%全球信息安全受访者都遭受过网络钓鱼的攻击。平均每25封电子邮件中就有1封是钓鱼邮件。这些数字令人感到恐慌。
当然,终端用户也会遭受到其他攻击方式危机安全性,其中就包括设备的丢失、被盗或成为社会工程骗局的受害者,在这些威胁和骗局中,他们会与未经授权的用户共享密码或其他凭据信息。
措施
选择一款第三方的反网络钓鱼软件是个简单快速的解决办法。
3. 面临严重的人员配备和技能短缺
根据国际系统安全认证协会(ISC 2)的调查,36%的网络安全专业人员最关注的问题是缺乏熟练/有经验的员工。ISC 2最新报告敲响了警钟——全球安全行业人才缺口已达400万人,问题主要存在与亚太地区(260万)。不过,北美的情况也不容乐视。据估计,北美地区安全专业人员短缺约为55万人。
在ISC 2调查中,三分之二的企业表示他们缺乏网络安全人员,一半以上的企业(51%)表示,安全人才的短缺使该组织处于中度或高度风险中。
这些发现得到了信息系统安全协会(ISSA)和分析公司Enterprise Strategy Group(ESG)的一项调查的支持。70%的受访者表示,技能短缺已对其组织造成影响。
措施
专家建议企业应适当放宽安全人员面试时的特定证书或多年经验的严格要求。企业还应尝试培训其他部门的员工。交叉培训非常重要,安全团队与其他组(例如DevOps或网络)的集成也很重要。如果安全成为每个人工作的一部分,那么可以减轻安全专业人员的负担。
4. 物联网所带来的安全隐患
物联网技术的应用和优势,在企业和消费者环境中都起到很明显作用,例如:3D打印,VR和AR,协作机器人,无人机,远程传感器,工业4.0,自动驾驶汽车,智能家居,安全摄像机。 国际数据公司(IDC)的一项新预测,到2025年,将有416亿个已连接的IoT设备,或将产生79.4 ZB(1ZB=1024 EB,1EB=1024PB,1PB=1024TB,1TB=1024GB……)的数据。
不过,造成物联网威胁的并不是设备的数量,而是一些不受保护的设备影响了整个物联网安全。员工是否在智能手表上查阅过公司电子邮件?是否用工作笔记本电脑连接到家庭安全系统?当他们在家工作,并通过VPN进入企业网络时,是否在企业应用程序和nannycam之间来回切换?
根据Zscaler对云流量的分析,基于云的安全提供商在2019年5月每月拦截2000个基于物联网的恶意软件。到2019年底,这一数字翻了7倍,达到每月拦截14000个恶意软件。
大多数情况下,甚至连安全专家可能都不知道某些设备会产生IoT流量,从而为网络罪犯创建新的基于物联网攻击的载体,但前提是攻击者知道这些潜在的漏洞。如今,物联网设备的漏洞不断涌现,例如摄像头、DVR和家庭路由器等。以2016年的Mirai僵尸网络为例,攻击者利用消费者很少更改IP摄像机和家庭路由器上的默认密码的习惯,发动了一次拒绝服务攻击,破坏了大量互联网设备。
措施
安全专家应该集中精力了解网络中已经存在的未经授权的物联网设备,将物联网设备放在单独的网络上,限制从外部网络访问物联网设备,更改默认凭据,设置强密码,以及应用定期的安全和固件更新。
5. 安全性得不到重视
安全团队通常在以下几个方面遇到问题:
- 资金:公司自然希望降低运营成本,提高利润,创造新的收入来源,在注重创新并提高客户满意度的领域进行投资。安全常常被视为一项无法收到回报的开支,因此安全预算无法支持企业与威胁状况对抗。
- 高管支持:公司的最高级别领导人,可能无法完全理解安全威胁的严重性。一些公司的董事会中可能会有精通安全的高管,但大多数公司是没有的,所以企业的安全性一直得不到重视。
- 业务部门合作:工作中业务部门所需要的通常会和安全性相互冲突,他们会对安全性的建设视为阻碍因素。这可能导致有些时候各部门会绕过IT部门自行操作,这当然也会造成其他的安全问题。
- 员工的抵制:员工经常会将可保障安全性的操作(例如频繁的密码重置,两因素身份验证或其他标准安全性做法)视为麻烦的工作,并可能会忽略安全性的维护。
措施
安全专业人员应齐心协力,深入业务部门的各个角落,架起桥梁,建立学科的团队协作,并传达出以下信息:安全是每个人的责任,应该嵌入到每个业务流程中。
6. 压力,焦虑和倦怠
安全人员的工作并没有想象中的那么简单,回顾上述的所有问题,你会觉得亚历山大。根据Ponemon研究所的说法,有65%的SOC专业人员表示感觉压力太大,可能会考虑换一份工作。
在Nominet调查中,有91%的CISO表示他们承受的压力较大,另有60%的CISO表示很少休息。更令人不安的是,接受调查的四分之一的CISO认为这份工作对他们的心理、身体健康以及个人和家庭关系有影响。
高倦怠率会导致高离职率,从而加剧行业人才和技能的流失,这是个恶性循环,会使得安全专业人员的生活更加艰难。
措施
这个问题没有那么好解决。安全从业人员需要敞开心扉,经常与同事或家人聊聊,从而减轻自己的压力,并要好好的改善和调整目前工作与生活的平衡。