RSAC 2020:为什么“人类因素”是网络安全中永恒主题的三大原因

 

写在前面的话

不知道你有没有关注2020年RSA大会的议程呢?没错,每一年的RSA大会都是安全行业内的重大事件,而今年的主题是“人类因素”。在网络安全中增强人类因素的成分,我们当然是支持的,而且这一主题想必也很少有人会去持反对态度。因此,我打算在这篇文章中跟大家分享该主题之所以能引起我共鸣的三个原因。

 

第一个原因-人类永远是网络安全的关键跟核心

这么多年以来,我们已经对网络安全实现了分层的防御架构,如果其中有一层失效,我们还有其他层可以继续帮助抵御网络攻击。长久以来,我们一直在尝试去寻找一种能够解决网络安全挑战的安全技术“银弹”。除此之外,安全行业内的从业人员也订阅了越来越多的威胁源以更好地了解当前我们所面临的网络安全态势。很明显,这些方法并没有如我们预期那样起作用。与此同时,我们仍然回不断地接收到大量关于网络攻击、非法入侵和数据泄露方面的新闻头条,而相关的网络攻击次数以及数量都在飞速上升。

在所有的这些攻击活动中,有一个经常会被忽略的因素,那就是人类与网络安全技术之间的相互作用和影响。毕竟,安全专业人员了解它们的环境以及安全概况,并且能够定义安全威胁和风险。除此之外,他们也有经验来解决各自环境中所遇到的安全问题,并且有权决定采取怎样的操作才是正确的。当然了,网络安全防御层、新型网络安全技术和威胁消息源对于缓解网络安全威胁来说,都是必要的。但是这些工具并不能自动地去完成所有任务。人类的智慧,包括直觉、记忆、学习和经验,这些对于网络安全行业来说都是必不可缺的。

因此我认为,我们应该把重点和注意力放在如何去填补人与工具之间的差异之上,这样才能更好地保护互联网中各个资产的安全。比如说,安全专业人员往往需要一头扎进他们安全架构中每一层所生成的日志记录和事件报告数据之中,更不用提那些来自全球商业机构、开源项目、政府部门、工业行业和现有安全供应商的数百万条安全威胁数据了。通过一个能够将内部威胁和带有外部数据以及事件数据的指标符关联起来的平台,安全团队就可以快速了解到上下文场景,并弄清楚网络攻击的对象、内容、地点、时间、原因和方式。接下来,他们就可以根据与攻击环境的相关性来分析和确定事件响应的优先级了。

 

第二个原因-精通网络安全的人才供不应求

根据ISC2提供的数据,目前全球范围内的网络安全专业人员数量已经超过四百万了,而且我们都必须去应对越来越复杂的网络安全威胁,鉴于这些网络安全威胁的数量以及增长速度,安全防御端的专业人员必须要能够满怀信心,并且加快自己的行动速度。如果我们想留住并更好地利用现有的安全专业人员,我们必须要将时间密集型的手动任务转换为自动化的方式去实现。否则,当安全团队陷入日常任务和对安全警报作出应急反应的泥潭时,他们将没有时间与真正的网络威胁作斗争,而且也没有时间快速进行事件调查以降低风险,或者主动加强防御级别。

然而,我们需要在安全生命周期的早期就引入自动化的机制,以提高我们的工作效率。我们都知道,在安全团队的日常工作中,往往需要处理大量的“假阳性”数据(我们将其称之为干扰信息),这些干扰性非常强的数据会给我们的工作带来极大的“困扰”。跳转到安全生命周期的末期,使用自动化的方式来采取行动,比如说自动化行动手册或自动将最新的安全威胁情报发送到传感器网格(防火墙、IP/ID、路由器、Web和电子邮件安全、终端等),可能会适得其反,并且产生更多干扰数据。

减少干扰数据的最佳方式之一,就是在安全生命周期中尽可能早地引入自动化机制,以加速和简化威胁数据的评分和优先级判定过程。基于特定组织/企业的威胁等级来构建自动化评级框架,进而以智能化的方式将威胁数据过滤到可管理的子集之中,就可以将可操作数据集减少95%或者更多。现在,很多搞技术特征的资源将能够专注于那些对组织产生真正影响的内容,而且这些资源仍然处于积极活跃状态,可以帮助安全团队显著提升他们的工作效率。

 

第三个原因-“人类”又是网络安全中最薄弱的环节第三个原因-“人类”又是网络安全中最薄弱的环节

由于企业和组织的工作场所中用户的个人设备以及应用程序越来越多,而且很多人都认为这种环境下的安全责任都应该是由他们的雇主所承担,因此网络安全方面最薄弱的环节将继续是人的因素。如果我们能够成功地填补人员和工具之间的差异,并尽可能早地引入自动化,那么安全团队将能够更好地把自己武装起来,积极主动地去寻找其他网络安全威胁。当他们发现恶意活动时,他们就可以在安全生命周期结束的时候更有信心地去应用一些可靠的自动化方案来处理事件。除此之外,使用最新的网络威胁情报自动更新传感器网格,并通过威胁信息的数量级来加强安全防御,安全团队将有更加充裕的时间进入下一个高优先级的活动之中。

 

总结

除了上述内容之外,我认为我们还需要在安全教育方面加倍努力,这样才能更好地帮助企业中的个人用户了解他们可能无意中给组织所带来的风险,以及他们在帮助减轻安全风险方面的作用。根据SANS的说法,安全培训应当主要解决三大人类因素风险:网络钓鱼/社会工程攻击、密码和由于缺乏安全意识和技术复杂性而导致的安全事故。为了能够真正地做出一些行为上的改变,SANS建议我们,除了每年进行计算机培训之外,还应该通过其他的方法全年不断地培训和强化人们的安全意识和安全概念。

(完)