【51CTO.com獨家翻譯】今年，在美國圣保羅召開的secure360會議上，SANS研究院的研究總監MN Alan Paller解釋了在保持政府部門和私營部門的IT系統安全運行方面美國還缺少哪些東西。

Paller表示，保護系統免于攻擊的主要問題不是技術的問題，而是“人”的問題。我們需要培訓更多精通各種安全技巧（黑客技術、滲透測試、應用程序安全、密碼學，以及網絡流量監測等技巧）的人?！爱斏婕暗侥承┘记蓵r，比如數據包深度監測，我們就會面臨很大的問題，”Paller在他的主題演講中指出，“實際上這是一個嚴重的全國性問題?！?/P>

如果新聞報道中出現了政府機構以及公共企業的數據泄漏事件（比如今年早些時候那些攻擊Google、Adobe和100家其他公司的事件），那么就說明“嚴重的全國性問題”這種說法似乎只稱得上是輕描淡寫而已。除了這些事件本身，我們似乎正在像零售行業泄漏信用卡數據一樣迅速地泄漏國家機密和公共企業的知識產權。

那么Paller建議我們該做什么呢？Paller指出，我們應該尋找那些最好的以及最聰明的人員來應對這個挑戰，而不應該只憑一些備受質疑的安全認證證書來選拔人才。關于這一點，我也同意：那些認證證書并不會顯示一個人有多少能力，或者一個人有多擅長他的工作。

發現人才的一種方法是通過比賽進行選拔，比如U.S. Cyber Challenge比賽?！坝胁拍艿娜藭诟傎愔忻摲f而出，”他表示。

那么，對于政府機構或者公司來說，建立并部署一個天才團隊的最好辦法是什么呢？Paller表示，需要一個經歷過高水平培訓的安全專家小組，包括應用程序安全、滲透評估、網絡安全等各個方面的培訓。安全小組還需要經過交叉培訓，具備企業所需要的各種技巧。這些都是必備的因素，除非你想繼續成為黑客容易攻擊的目標。

今年的Secure 360會議是從Rich Mogul的報告“安全行業如何才能真正有效（Putting the Fun in Dysfunctional: How the Security Industry Really Works）”而開始的。他的發言主題是利用經濟學和心理學知識來分析安全行業所發生的事情。

有些內容引起了我的注意：
我們作為一個行業在殺毒軟件和防火墻上面的投入比其他所有安全保護產品的總和還要多。

許多企業都是“被動做出反應的，但不是主動去應對?！?像其他人一樣，Rich也喜歡提醒人們，安全事件的應對比其他大多數事情都重要；你可以不配置DLP工具（在這里只是舉個例子，無意冒犯各位出席會議的DLP供應商），但是你必須具備處理突發事件的能力。

比起長期風險，我們能夠更好的處理短期風險；“害怕—反應—購買產品”這種局面似乎是大多數企業在應對安全事件時的全部步驟，但是牢固的規則遵從重新將經濟驅動因素結合在了一起，得出了一個結論——審計風險反而大于攻擊風險。這一點很有趣，根據他的觀點企業只需要注意法律和監管規則就可以了，因為如果違反了的話，那些都會導致直接的處罰。

我以前從Securosis公司那里聽到一種奇怪的觀點：“讓我們在安全方面更好”不會對賣掉安全工具和服務有幫助，就算產品質量比現在的好很多也不行。其實，這些產品的賣點是害怕安全威脅，或者說害怕黑客攻擊和罰款。

接下來，Marcus Ranum做了一次名叫“軟件戰略問題（Software as a Strategic Problem）”的演講，內容發人深省，當然也會引起某些爭論。其主要思想是：對于超級敏感的政府或國家安全來說，COTS以及外包軟件開發都是錯誤的。國家的機構需要回到雇傭、保持和使用內部員工的方法。他認為，這是唯一能夠避免未來遭遇嚴重安全問題的方法。他曾經對比過兩種方法：“從頭開始編寫軟件以解決問題”與“使用非常靈活的COTS軟件并花費資源進行永久的配置，以后再對其進行配置。”他還呼吁這種定制軟件一定要著眼于“零維護和零管理”。

最后，Marcus顯然對于美國政府沒有為Windows開啟后門程序而感到失望，因為這似乎錯失了很容易主導世界的機會。關鍵引述如下：“如果美國想要在全球經濟中保持競爭力，并阻止外界對其戰略、企業以及商業網絡的廣泛滲透，那么企業和政府機構應該停止對商業軟件的依賴，并回到自己編寫代碼的時代。”

另一名研究人員Gal Shpantzer在會上還介紹了USB隔離問題。其主要思想是：鑒于大多數電腦都極易被黑客控制，我們怎么還在使用它們去處理諸如銀行業務等敏感應用呢？他還對一些常見的處理方式進行了一番回顧：比如使用專用PC、“泡沫（bubble）”方法，以及USB啟動方法等。

Secure360由美國中西部安全聯盟（Upper Midwest Security Alliance）籌劃，它是一個由安全職業人員組成的非盈利性組織，為公眾提供價格適宜的世界一流安全技巧、思想和實踐，以便提高中西部地區商業、政府以及基礎設施的安全水平。

原文標題：Secure360: Why Are We Losing The Struggle To Secure IT Systems?  作者：George Hulme