自去年史上最大的用戶信息泄露事件(塔吉特)以來，又接連發生了多起信息泄露的安全事件。僅從8月到現在，就有UPS快遞、CHS(社區醫療系統)、火狐開源、蘋果iCloud、家得寶等信息泄露事件相繼爆發。

以至于國家信息系統安全認證協會(ISC)的執行董事W. Hord Tipton認為：“壞人在贏得勝利……在黑客與安全人員之間有著技術方面的差距，除非這個差距得到彌補，否則成功的入侵事件會越來越多。”

“進攻要比防守容易得多”

黑客學院(Hacker Academy)的聯合創始人兼首席運營官Aaron Cohen認為，現在系統可以攻擊的路徑太多，了解系統要比如何防守系統容易的多，黑客總是能找到系統最脆弱的短板。

FireEye的首席安全戰略官Richard Bejtlich同意這個觀點，他表示：“在網絡空間里進攻方占著先手，防守方處于被動。”但Bejtlich認為，即使攻擊者獲得未授權的訪問，也不代表著他就“贏”了。因為訪問的最終目的是盜取數據和破壞系統，在這之前還不能稱之為贏，而防守方所要做就是阻止這種情況的發生。太多的安全人員把精力浪費到戰略上并不重要的事務中，這才是最大的問題。

Cohen表示，之所以壞人顯得比好人聰明，是因為那些失敗的安全防范，并不是專業人員在做，而是一些傳統的IT人員，一些被網絡釣魚或社會工程手段欺騙的其他部門的職員，甚至還有第三方承包商，為攻擊者打開了方便之門。

“人們的愚蠢沒有補丁可打”

不過安全專家都一致同意，防護能力應該能夠提高，但要做到這一點，良好的安全培訓是必不可少的。

“從大學教育的水平統計，已經有一段時間沒有培育出足夠的信息安全專業人員。”賽門鐵克網絡安全組的高級經理Michael Garvin表示。然而這還只是開始，未來需要的安全人員不只是信息安全專業的大學生，還需要具有實際操作、現實經驗的職業人員。如同飛行員在真正上機前要在模擬環境試飛上千小時，才能通過不斷的重復形成安全環境中的肌肉記憶。

Bejtlich對此表示贊同：“我不會聽一個沒有時間做企業安全工作的教授講信息安全課。”Cohen則表示：“中學和大學教育在信息安全方面比較落后，從書本上無法得到真正的培訓”。Cohen建議，網絡安全培訓必需更加注重實際操作，有點類似于職業學校。”

然而，如果學院或大學想要提升信息安全課程的教學質量，則需要專業人員的合作。Avecto職業服務副總裁Andrew Avanessian認為：“大學院校與職業服務機構和信息安全圈的關系需要加強，信息安全業界要聯合大學院校并在技術與技能方面給予指導和建議，這是不斷變化的信息安全環境的需要。”

Avanessian認為，除了獲得計算機學位以外，在安全事業的道路上還有很多途徑。比如攻讀數學，或工程和管理。Bejtlich則認為，除了學術培訓和技術能力，還需要戰略性的思考，把運營、政策和戰略結合起來。而后者正是大多數技術人員所缺乏的。

“戰略思想比技能缺口更加重要，太多的安全人員把精力浪費到戰略上并不重要的事務中，這才是最大的問題。”

Kellermann也對此表示贊同。他表示俄羅斯黑客的聰明之處就在于“他們戰略性的思考所采取的每一步行動，如同下國際象棋，無論是進攻方還是防守方，都會考慮8步到12步之多。”

所有的安全專家都同意，僅僅給予安全工作人員更好的培訓是不夠的，企業中的所有員工都需要加強安全技術和安全意識的培訓。

Avanessian表示：“防范攻擊的主要障礙之一就是難于操作和管理的安全戰略，這些戰略依賴于被動的檢測。因此，各機構需要簡化戰略方法，提高主動性。經常碰到一些IT部門，他們的關注點不在安全，而在實施最新的技術或更廣泛的解決方案上。這就迫使他們不斷的改變他們的安全部署，而安全從來就不應該是后知后覺的。”

Cohen表示，終端用戶也是重要的安全因素，要給予終端用戶更多實際的技術培訓，包括模擬攻擊，而不僅僅是理論上的學習。

“這是一個即容易又節省成本的方法，幫助員工提高安全防范水平，杜絕系統中最脆弱的短板”Cohen如是說。

原文地址：http://www.aqniu.com/neo-points/4436.html