实际上,网络安全行业的现实情况跟很多行业外的人所想象的有很大的不同。
今天,很多媒体和企业都将网络安全这个概念描述为“防御者和网络犯罪分子之间持续的复杂冲突,随着时间的推移,超技术的概念验证攻击和国家级的网络安全威胁将持续加剧。”但是,就像RSA的总裁Rohit Ghai在周二的RSA大会上说的那样,现实的情况并非大家所想的那样。
如今,网络安全行业不仅必须要打破人们对其的传统认知,而且还需要超越其历史上的那些所谓的“狭隘文化”,并且改变世界上其他人对该行业的看法。围绕着网络安全相关的话题还需要强调网络安全背后的人类参与者,包括企业内的IT团队,发动网络攻击的网络犯罪分子,以及与安全团队展开深度合作的企业和组织。更重要的是,最终的用户往往才是网络安全事件中真正的受害者。
Rohit Ghai认为:“我们只会像我们所留下的故事那样精彩,我们想要大家认识的网络安全应该更具有商业性,而不仅仅是技术上那些“猫捉老鼠”的繁琐细节。只要发生了网络安全事件,必定有人欢喜有人忧,受害者对其一定是恐惧的,我们安全从业人员有时也会手忙脚乱,而与之事件毫无关联的人,偶尔也会给我们投向同情的目光。”
但是大家别忘了,在现在的互联网时代,没有谁是真正意义上“独立的个体”,网络上发生的每一次安全事件都与我们每一个息息相关。
Rohit Ghai表示,黑客通常会被大家描绘成“技术魔术师”,而防御者则是那些所谓“专注于零日漏洞,只关注最先进的威胁载体的倒霉的技术人员”。但实际上呢?现实并非如此。
不过,网络犯罪分子可并非都是业内精英,实际上,网络安全领域中技术非常厉害的黑客其实并不多,更多的则是那些自以为自己非常厉害的“脚本小子”。这两者不同的地方就在于,技术精良的网络犯罪分子他们的组织性纪律性更强,他们可以根据自己的需要来开发和利用一款工具,而这些工具可以让那些技术“小菜鸡”在发动攻击的时候也能够变得游刃有余。
与此同时,网络安全领域中的防御端人员也经常会为了业内的很多无法避免的现实所困扰,比如说技术人才的短缺,网络攻击活动的日趋复杂以及那些根本过滤不过来的干扰信息等等。Rohit Ghai说到,可能很多人都认为我们这些安全防御人员每天都在想办法抵御那些新型的、复杂的网络攻击,但其实防御端的人更多的时间是在尝试阻止那些普通的网络钓鱼攻击以及商业电子邮件入侵(BEC)欺诈这样的社会工程学攻击。
因此,Rohit Ghai认为我们应该用现实来回击普罗大众对网络安全行业的认知差异,安全形势需要改变“故事”的叙述方式,我们需要收回我们之前所叙述过的内容,重新组织我们的“辩词”,并且重新思考我们的文化以及呈现方式。
Ghai表示,网络安全领域需要更好地与媒体接触,我们不仅要跟外界分享我们失败的教训和案例,而且也要分享胜利的果实。虽然媒体当年对2018年发生在亚特兰大的勒索软件袭击事件进行了广泛报道,但是该市针对这一事件所采取的响应策略以及应对袭击所取得的“胜利”最终却并没有登上媒体头条。比如说,该市最终并没有向网络犯罪分子支付那5.1万美金的赎金,并且还为其定制了一套强有力的业务连续性应对方案,这些都是我们所取得的胜利成果,它们应该被广泛报道。
当然了,网络安全行业还需要让IT和设备制造商为更好的安全性付出更多的努力,而这一点已经从引入更加严格的安全监管措施来实了。比如说,随着物联网行业的迅速发展,安全问题在一个行业高速发展的情况下很难能够及时跟上,网络安全的观念 一旦被抛在脑后,最终受影响的将会是终端用户,他们将会面临安全和隐私方面的威胁。
最重要的是,网络安全行业需要从“精英文化”转向“包容文化”,寻找科技界以及网络安全界以外的“捍卫者”。比如说,工业公司的信息技术团队也发现他们现在跟操作技术团队的沟通跟交流都越来越频繁了,而这样将能够更好地保护工业控制系统的安全。
现在,越来越多的企业高层和风险管理人员都开始对网络安全行业的各种故事感兴趣了。实际上,超过76%的人曾表示过,2020年的网络安全风险状况不容乐观,并且还会继续恶化,他们对此仍持观望态度。但是,企业高层、董事会和风险管理人员需要成为网络安全故事的主角,而这将帮助我们建立所谓的“第零道防线”。
思科咨询公司CISOs的负责人温迪•内瑟(Wendy Nather)也认为,网络安全领域需要改变与其他行业之间的关系。她在本周二的RSA大会上也表示,我们必须向所有人开放我们的安全文化,网络安全必须是每一个人都要掌握的基本知识,而且是可以免费获得的,我们不能强迫人们去进入或者接受我们“狭隘”的社会文化。
当前,全球正在进入一个万物互联、一切皆可编程的新时代,与之相应的安全形势也正发生深刻变化,新的安全威胁随着产生。网络安全是一场“攻防”持久战,在如今时刻上演不同规模“攻防对抗战“的时代,安全漏洞的存在如同稀土原油一样,是“网络对抗”中的重要战略资源。归根结底,网络安全都是一个特别需要人们去持续关注的领域,毫无疑问,网络安全领域现在已经成为了全球关注的焦点,我们已经失去了原本对网络安全故事的控制,我们现在不仅要以开放的心态去接受外界对我们的一切言论,更重要的是找到一个方法来充分发挥网络安全对其他行业的作用。