網絡安全公司Teleport的首席執行官Ev Kontsevoy最近撰文指出，網絡安全行業集體偏離了安全的本質，陷入了一場漏洞（發現）游戲，一場勞命傷財的技術表演競賽。內容由GoUpSec編譯整理如下：

安全技術營造的安全假象

在現代網絡安全領域，許多人都相信“發現的漏洞越多，安全就越有保障”。理論上，技術堆棧中加入更多工具似乎能更有效地監控攻擊面。然而，現實情況卻讓這種假設站不住腳。

事實上，“工具泛濫”并沒有帶來真正的安全保障，反而讓安全團隊陷入了處理海量誤報的泥沼。盡管觀測解決方案愈發先進，能夠標記更多潛在威脅，但當威脅的危險等級無法清晰區分時，這種安全感也只是“表面功夫”。

回顧2024年的幾次重大數據泄露事件——Ticketmaster、Snowflake、倫敦交通局以及國家公共數據泄露事件（涉及29億人的個人信息），數據泄露受害者數量超過10億人，同比激增409%。雖然安全通知鋪天蓋地，卻未能阻止攻擊面在過去兩年內擴大近80%。

另一個普遍誤區是，企業一旦投資某種網絡安全解決方案，便可高枕無憂。然而，工具是否真正被員工使用？數據顯示，僅23%的IT專業人士表示對團隊工具的使用情況有足夠的可見性。在工程領域尤其如此，許多開發者為了圖方便，繞過IT部門采購的訪問管理工具，轉而依賴私人代理、跳轉主機或堡壘機等自制“解決方案”。

這些未經監控的“影子訪問”路徑，往往成為繞過官方工具通往關鍵系統的隱形后門。它們在表面上未見異常，但一旦發生泄露，往往難以彌補。

重視“人的因素”才能打造真正的安全屏障

安全團隊想要有所作為，他們就不能只玩“發現軟件漏洞”的游戲。軟件漏洞仍然只占漏洞的一小部分。

當我們去看醫生時，期待的是他們治愈疾病，而不僅僅是緩解癥狀。然而，當前的“告警疲勞時代”卻讓安全團隊像一個只開止痛藥的醫生，治標不治本。數據顯示，73%的安全專業人士因為時間限制而未能處理高優先級的安全警報。面對成千上萬條警報，真正的威脅就像大海撈針。

解決問題的關鍵是縮小攻擊面，而這首先要從減少人為錯誤入手。微軟數據顯示，2024財年記錄的6億次身份攻擊中，99%是密碼攻擊。這一數字背后，是攻擊者通過釣魚郵件、生成式AI等手段愚弄人類（獲取密碼、瀏覽器Cookie、API密鑰等信息），而不是依賴復雜的漏洞攻擊。

對此，安全團隊需要的不僅是監控行為異常，而是徹底改變基礎設施，讓人為錯誤變得無足輕重。例如，可以通過用戶的生物特征、設備硬件身份與PIN碼組合建立身份驗證機制。這種方式的成功已經在智能手機領域得到驗證——如今幾乎很少聽說過iPhone被破解。

拋開假象，正視根源

網絡安全不應淪為一場“漏洞游戲”。處理海量通知而無實際成效只會加劇團隊的壓力，只有消除靜態憑據和持久特權，才能從根本上改變安全態勢。下一次，當你面對成千上萬的安全警報時，請記住：這些數字并沒有你想象中重要。

安全的未來，不在于制造更多的警報，而在于清晰明確地解決威脅的根源。是時候摒棄表面的安全假象，構建真正穩固的安全堡壘了。