在安全圈里生活并不容易。安全從業(yè)者每時每刻都處于最前線，不斷的與具備耐心和智慧的黑客進行戰(zhàn)斗，并且黑客總是領先一步，使安全從業(yè)者處于被動中。不過，他們的回報也是巨大的，安全社區(qū)具有極大的行業(yè)地位，安全專業(yè)人員所做工作的對于一個企業(yè)來說是十分重要的。所以，安全人員的工資也是IT行業(yè)中最高的。

[[330421]]

以下是安全從業(yè)人員應該學會接受和處理的6個問題。

1. 隱藏在網(wǎng)絡中的安全威脅

被入侵的公司可分為兩種類型，即已知被黑客入侵的公司和被黑客入侵卻尚不知曉的公司。

根據(jù)Ponemon研究所的一項研究表明，平均而言，公司識別安全漏洞需要花費200天的時間，也就是說，攻擊者可以在網(wǎng)絡中扎根超過六個月之久。

據(jù)英國域名注冊公司Nominet委托開展的一項調查顯示，將近70%的首席信息安全官報告顯示，他們發(fā)現(xiàn)了隱藏在網(wǎng)絡上的惡意軟件，有些甚至超過了一年之久。

即使是科技公司也不能幸免。 例如，Citrix在給加州總檢察長的信中說，黑客從2018年10月至2019年3月在其網(wǎng)絡內(nèi)部刪除了可能包含姓名，社會安全號碼和財務信息的文件。

一旦黑客攻破了防御，他們便可以有條不紊地獲得提升憑據(jù)和管理員權限，從而訪問存儲在公司服務器上的有價值的數(shù)據(jù)，并以避免檢測的方式秘密地泄露這些數(shù)據(jù)。甚至在某些情況下，黑客能夠“監(jiān)聽”與公司有關的通信，因此入侵者可以知道公司正在采取什么應對措施，從而可以逃避檢測。

措施

蜜罐技術或許可以幫助到你的企業(yè)：蜜罐技術本質上是一種對攻擊方進行欺騙的技術，通過布置一些作為誘餌的主機、網(wǎng)絡服務或者信息，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓防御方清晰地了解他們所面對的安全威脅，并通過技術和管理手段來增強實際系統(tǒng)的安全防護能力。

蜜罐好比是情報收集系統(tǒng)。蜜罐好像是故意讓人攻擊的目標，引誘黑客前來攻擊。所以攻擊者入侵后，你就可以知道他是如何得逞的，隨時了解針對服務器發(fā)動的最新的攻擊和漏洞。還可以通過竊聽黑客之間的聯(lián)系，收集黑客所用的種種工具，并且掌握他們的社交網(wǎng)絡。

2. 沒有安全意識的人員可能會毀掉一個企業(yè)

對所有員工進行安全意識的培訓，甚至有必要定期發(fā)送假冒的釣魚郵件，誘使他們?nèi)c擊惡意鏈接，最終希望他們可以從中吸取教訓。不過，這是一項艱巨的任務。

攻擊者會不斷的發(fā)送網(wǎng)絡釣魚攻擊，使整個企業(yè)面臨風險。

根據(jù)Verizon的數(shù)據(jù)泄露調查報告顯示，所有數(shù)據(jù)泄露事件中有32%與網(wǎng)絡釣魚有關。當企業(yè)調查網(wǎng)絡間諜事件的根本原因以及后門的安裝和使用時，78%的案件中都存在網(wǎng)絡釣魚。

根據(jù)ProofPoint的《網(wǎng)絡釣魚狀況》報告，83%全球信息安全受訪者都遭受過網(wǎng)絡釣魚的攻擊。平均每25封電子郵件中就有1封是釣魚郵件。這些數(shù)字令人感到恐慌。

當然，終端用戶也會遭受到其他攻擊方式危機安全性，其中就包括設備的丟失、被盜或成為社會工程騙局的受害者，在這些威脅和騙局中，他們會與未經(jīng)授權的用戶共享密碼或其他憑據(jù)信息。

措施

選擇一款第三方的反網(wǎng)絡釣魚軟件是個簡單快速的解決辦法。

3. 面臨嚴重的人員配備和技能短缺

根據(jù)國際系統(tǒng)安全認證協(xié)會(ISC 2)的調查，36%的網(wǎng)絡安全專業(yè)人員最關注的問題是缺乏熟練/有經(jīng)驗的員工。ISC 2最新報告敲響了警鐘——全球安全行業(yè)人才缺口已達400萬人，問題主要存在與亞太地區(qū)(260萬)。不過，北美的情況也不容樂視。據(jù)估計，北美地區(qū)安全專業(yè)人員短缺約為55萬人。

在ISC 2調查中，三分之二的企業(yè)表示他們?nèi)狈W(wǎng)絡安全人員，一半以上的企業(yè)(51%)表示，安全人才的短缺使該組織處于中度或高度風險中。

這些發(fā)現(xiàn)得到了信息系統(tǒng)安全協(xié)會(ISSA)和分析公司Enterprise Strategy Group(ESG)的一項調查的支持。70%的受訪者表示，技能短缺已對其組織造成影響。

措施

專家建議企業(yè)應適當放寬安全人員面試時的特定證書或多年經(jīng)驗的嚴格要求。企業(yè)還應嘗試培訓其他部門的員工。交叉培訓非常重要，安全團隊與其他組(例如DevOps或網(wǎng)絡)的集成也很重要。如果安全成為每個人工作的一部分，那么可以減輕安全專業(yè)人員的負擔。

4. 物聯(lián)網(wǎng)所帶來的安全隱患

物聯(lián)網(wǎng)技術的應用和優(yōu)勢，在企業(yè)和消費者環(huán)境中都起到很明顯作用，例如：3D打印，VR和AR，協(xié)作機器人，無人機，遠程傳感器，工業(yè)4.0，自動駕駛汽車，智能家居，安全攝像機。 國際數(shù)據(jù)公司(IDC)的一項新預測，到2025年，將有416億個已連接的IoT設備，或將產(chǎn)生79.4 ZB(1ZB=1024 EB，1EB=1024PB，1PB=1024TB，1TB=1024GB……)的數(shù)據(jù)。

不過，造成物聯(lián)網(wǎng)威脅的并不是設備的數(shù)量，而是一些不受保護的設備影響了整個物聯(lián)網(wǎng)安全。員工是否在智能手表上查閱過公司電子郵件?是否用工作筆記本電腦連接到家庭安全系統(tǒng)?當他們在家工作，并通過VPN進入企業(yè)網(wǎng)絡時，是否在企業(yè)應用程序和nannycam之間來回切換?

根據(jù)Zscaler對云流量的分析，基于云的安全提供商在2019年5月每月攔截2000個基于物聯(lián)網(wǎng)的惡意軟件。到2019年底，這一數(shù)字翻了7倍，達到每月攔截14000個惡意軟件。

大多數(shù)情況下，甚至連安全專家可能都不知道某些設備會產(chǎn)生IoT流量，從而為網(wǎng)絡罪犯創(chuàng)建新的基于物聯(lián)網(wǎng)攻擊的載體，但前提是攻擊者知道這些潛在的漏洞。如今，物聯(lián)網(wǎng)設備的漏洞不斷涌現(xiàn)，例如攝像頭、DVR和家庭路由器等。以2016年的Mirai僵尸網(wǎng)絡為例，攻擊者利用消費者很少更改IP攝像機和家庭路由器上的默認密碼的習慣，發(fā)動了一次拒絕服務攻擊，破壞了大量互聯(lián)網(wǎng)設備。

措施

安全專家應該集中精力了解網(wǎng)絡中已經(jīng)存在的未經(jīng)授權的物聯(lián)網(wǎng)設備，將物聯(lián)網(wǎng)設備放在單獨的網(wǎng)絡上，限制從外部網(wǎng)絡訪問物聯(lián)網(wǎng)設備，更改默認憑據(jù)，設置強密碼，以及應用定期的安全和固件更新。

5. 安全性得不到重視

安全團隊通常在以下幾個方面遇到問題：

• 資金：公司自然希望降低運營成本，提高利潤，創(chuàng)造新的收入來源，在注重創(chuàng)新并提高客戶滿意度的領域進行投資。安全常常被視為一項無法收到回報的開支，因此安全預算無法支持企業(yè)與威脅狀況對抗。
• 高管支持：公司的最高級別領導人，可能無法完全理解安全威脅的嚴重性。一些公司的董事會中可能會有精通安全的高管，但大多數(shù)公司是沒有的，所以企業(yè)的安全性一直得不到重視。
• 業(yè)務部門合作：工作中業(yè)務部門所需要的通常會和安全性相互沖突，他們會對安全性的建設視為阻礙因素。這可能導致有些時候各部門會繞過IT部門自行操作，這當然也會造成其他的安全問題。
• 員工的抵制：員工經(jīng)常會將可保障安全性的操作(例如頻繁的密碼重置，兩因素身份驗證或其他標準安全性做法)視為麻煩的工作，并可能會忽略安全性的維護。

措施

安全專業(yè)人員應齊心協(xié)力，深入業(yè)務部門的各個角落，架起橋梁，建立學科的團隊協(xié)作，并傳達出以下信息：安全是每個人的責任，應該嵌入到每個業(yè)務流程中。

6. 壓力，焦慮和倦怠

安全人員的工作并沒有想象中的那么簡單，回顧上述的所有問題，你會覺得亞歷山大。根據(jù)Ponemon研究所的說法，有65%的SOC專業(yè)人員表示感覺壓力太大，可能會考慮換一份工作。

在Nominet調查中，有91%的CISO表示他們承受的壓力較大，另有60%的CISO表示很少休息。更令人不安的是，接受調查的四分之一的CISO認為這份工作對他們的心理、身體健康以及個人和家庭關系有影響。

高倦怠率會導致高離職率，從而加劇行業(yè)人才和技能的流失，這是個惡性循環(huán)，會使得安全專業(yè)人員的生活更加艱難。

措施

這個問題沒有那么好解決。安全從業(yè)人員需要敞開心扉，經(jīng)常與同事或家人聊聊，從而減輕自己的壓力，并要好好的改善和調整目前工作與生活的平衡。