为心理健康构建事件响应手册:网络安全从业者的生存指南

本文通过VPN Filter恶意软件分析案例,探讨网络安全从业者面临的心理健康挑战,分享应对职业倦怠的实用建议,包括设定界限、同伴支持和强制休假等策略。

为你的个人心理健康和福祉制定事件响应手册

作者:Joe Marshall

2025年9月18日 星期四 14:00

威胁源通讯

欢迎阅读本周的《威胁源》通讯。这将是篇难读的文章。抱歉。信不信由你,写这篇文章对我来说更难。我想谈谈从事网络安全职业的代价——不是金钱或时间,而是可能付出的身心健康代价。我想拉开帷幕,让你们深入了解当压力巨大、成功的欲望不仅至关重要,有时甚至是生死攸关时,人们会发生什么。

那么,故事时间到了。

七年前,思科Talos披露了一个新颖的威胁活动:VPN Filter。VPN Filter是一个小型办公室/家庭办公室(SOHO)设备僵尸网络,其中包含许多我们从未在SOHO设备中见过的新特性:设备重启后感染持久化、模块化、受害者分析,也许最重要的是,(后来)归因于俄罗斯威胁行为者APT44(又名Sandworm)。该平台还具有一个清除开关,这是一个旨在掩盖痕迹和/或销毁感染了VPN Filter的设备的模块。如果他们愿意,可以大规模执行此操作。这是一场有条不紊、巧妙且结构完善的活动,旨在攻击全球未打补丁和/或存在漏洞的设备,以进行国家网络行动。当我回顾那段时期时,它当时是(现在仍然是)一种技艺和进攻性网络行动的奇迹。

请设身处地为我们Talos的立场着想。我们刚刚发现了一个臭名昭著的威胁行为者发起的大规模活动。我们都知道这是什么,是谁干的,以及可能产生的后果——而且威胁行为者比我们领先很多。我们绝对不能搞砸。如果我们的研究泄露了风声,威胁行为者可能会受惊,并通过清除开关摧毁一切。风险非常高。

我们花了数月时间逆向分析和研究恶意软件、受害者情况、基础设施,并了解VPN Filter已经做了什么以及可能做什么。我们越是深入挖掘,其含义就越 ominous,我们工作得就越努力。

随着几周变成几个月,我们工作的时间越来越长,压力开始对我们所有人造成损害。分析和响应VPN Filter任务的巨大工作量以及保持隐秘的压力开始对我们个人造成代价。态度变差,关系紧张,有些关系甚至完全破裂。就我个人而言,那是一段非常黑暗的时期,让我付出了沉重的代价——我退出了人员管理岗位,转任个人贡献者角色,至今仍担任此职。

最终,威胁行为者迫使我们采取行动。我们一直理论化地认为存在一个"紧急情况"时刻,即威胁行为者可能加速行动,我们将不得不向全世界发出警报。有一天,我们看到乌克兰的感染数量激增,于是我们向全世界披露了VPN Filter。我们还有很多未解之谜,但当我们看到激增时别无选择。在某种程度上,这是一种解脱。我们早已达到极限,大家都精疲力竭、士气低落。我知道我是这样,这深深影响了我的关系和职业生涯,其影响至今仍能感受到。

新的或潜在的安全从业者经常问我:“Joe,有什么酷炫的黑客故事吗?!“我有很多这样的故事,VPN Filter当然是其中之一。但很少有人想听我们人生中最糟糕的日子。关于倦怠和压力的故事。关于长时间工作和持续工作的故事。总有一个地方发生违规事件,你的公司总是受到攻击,总有人被黑客攻击的故事,有时人们甚至受伤或死亡。这种节奏造成了损害——从像VPN Filter这样的事件,到在SOC工作——都是一样的。无论你在哪里工作,我们都在这里保护我们的客户、选民和社区免受外面那些真正的混蛋的侵害。这是关于为正义而战,而战斗永不停息。

那么,我们能做些什么呢?你如何避免成为身处VPN Filter事件中的我?

学习并执行界限。 你必须为你自己创造空间和时间,并坚决维护这些空间和时间。如果这意味着下班后禁用通讯工具,那就这样做,并且毫无愧疚地这样做。你必须照顾好自己。

同伴支持。 无论是治疗师、同事,还是Slack/Discord/Bsides,你可以在那里与同病相怜的人分享和倾诉,你必须减少这个职业领域可能带给你的孤立感。其他人也在寻找同样的东西,并且乐于倾听和分享。与那些渴望回报的人一起庆祝你的胜利。

脱离工作的自我关怀。 这很困难,我也不太擅长。锻炼、绘画、在花园里劳作,做一些与工作无关的事情。放下你那该死的矩形手机,从新闻和社交媒体中解脱出来。

强制性的解压/休假。 在一次事件之后,无论是VPN Filter还是数据泄露,领导者们:照顾好你的人。识别出倦怠的迹象,并推动你的直接下属进行一些强制性的停工时间,以便他们能够恢复。至少,将他们轮换到压力较小的岗位上,让他们可以休息一下。照顾那些为你努力工作的人是你的责任。

事件发生后的响应与事件本身的响应同样重要。 每一次违规、类似VPN Filter的事件或紧急情况,都是反思其对健康造成的代价并评估你能做些什么来帮助自己和他人的机会。这份工作有时很艰难,但这是我们热爱的使命。只要照顾好自己,也照顾好彼此,听到了吗?

重要事项

在Talos的最新博客文章中,我们分析了为什么对于面临当今持续不断网络威胁的任何组织来说,拥有思科Talos事件响应(IR)保留服务是一个改变游戏规则的因素。通过Talos IR保留服务,您可以直接访问我们的专家团队、24/7紧急支持以及让每个人——从IT到领导层——保持一致的定制计划。您还将受益于持续的威胁情报和现实世界的指导,以帮助您的组织在任何事件后更强劲地恢复。

为什么我要关心?

我们的团队帮助您在威胁升级之前进行狩猎,评估您的准备情况并随时间改善您的安全状况。如果发生网络事件,拥有一个已经就位的可信合作伙伴意味着您已准备好果断采取行动,拥有明确的角色、经过测试的程序以及随时准备在每一步为您提供支持的专家。

那么现在该怎么办?

考虑确保获得Talos IR保留服务,以确保您有专家随时待命,并且您的防御措施始终保持最新。联系我们安排桌面演练或讨论您的组织实际准备情况如何。

本周安全头条

  • 新的VoidProxy网络钓鱼服务绕过微软和谷歌账户的多因素认证 攻击通常从使用合法电子邮件服务提供商(如Constant Contact、Active Campaign或NotifyVisitors)的被盗账户发送欺骗性电子邮件开始。(Hack Read)
  • Shai-Hulud供应链攻击:蠕虫用于窃取秘密,超过180个npm包受影响 恶意代码的自我传播潜力可能会使该活动再持续几天。为避免感染,用户应警惕那些在npm上有新版本但在GitHub上没有的软件包,并固定依赖项。(SecurityWeek)
  • 谷歌清除224个幕后操纵大规模广告欺诈活动的Android恶意软件应用 这些应用被下载超过3800万次,并采用混淆和隐写术来向谷歌和安全工具隐藏恶意行为。(Bleeping Computer)
  • 前FinWise员工可能访问了近70万条客户记录 近70万名FinWise银行客户正在收到通知,因为一名前员工可能在离职后访问或获取了个人数据。该事件未被发现超过一年。(The Register)

Talos内容推荐

  • Alex Ryan:从零冷静到安静自信 了解一位思科Talos事件响应专家如何从哲学过渡到高风险、情感紧张的事件指挥世界,以及她对有抱负的网络安全专业人士的建议。
  • 与Talos喝一杯:如何破坏APT的一天 B团队与来自Talos国家威胁情报和拦截团队的Sara McBroom一起。Sara分享了她从文科专业到追踪世界上一些最先进对手的历程。
  • 被篡改的Chef:当恶意广告提供信息窃取程序时 想象一下从网上下载一个PDF编辑器工具,它工作得很好……直到近两个月后,它悄悄地窃取了你的凭据。Nick Biasini解释了网络犯罪分子如何投资"恶意广告"以及防御面临的挑战。

您可以找到Talos的即将举行的活动

  • LABScon(9月17日至20日)亚利桑那州斯科茨代尔
  • VB2025(9月24日至26日)德国柏林
  • Wild West Hackin’ Fest(10月8日至10日)南达科他州戴德伍德

过去一周Talos遥测中最普遍的恶意软件文件

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次