安全问题的核心始终是人:从工具依赖到人为失误的深度剖析

本文探讨了当前应用安全项目面临的挑战,指出过度依赖工具而忽视人为因素的问题,分析了人为失误的典型案例,并提出了从培训到系统设计的综合解决方案。

安全问题的核心始终是人

作者:Jason Taylor
发布日期:2020年2月13日
阅读时间:6分钟

如今,似乎每个人都在努力构建可扩展的应用安全项目。预算有限、内部政治和官僚惰性成为现实问题,与此同时,威胁形势不会等待企业解决问题。

理想情况下,与客户的对话应聚焦于整体、以风险为中心的方法,结合人员、流程和工具的改进,将风险降至可管理水平。但现实往往并非如此。

大多数对话反而集中在安全工具上:该购买哪些工具?为什么工具没有达到承诺的效果?为什么团队不使用已购买的工具?每个人都想要银弹,每个人都屈服于工具供应商的诱惑,声称他们有管理安全风险的完美解决方案。

被忽略的事实是:工具并不能构成应用安全项目。工具只能提供支持。你需要先构建项目,然后才应关注获取优化活动所需的工具。反过来从未奏效。这就像在没有建筑计划的情况下雇佣承包商建造房屋。

有时对话更令人沮丧。CISO可能会说:“你以为我有时间担心软件漏洞吗?我甚至无法让CEO使用多因素认证!”然后对话转向他们从这份糟糕工作中退休后的计划。

越想越觉得,这些令人沮丧的对话恰恰抓住了当前安全问题的本质(在我看来)。

高管们,即使在精明的科技公司,也不够了解应用安全漏洞来管理固有风险。不仅如此,甚至构建软件的工程师也不够了解应用安全,无法预防和缓解最常见的漏洞。这些是我们依赖编写正确代码的人,但他们往往出错。但更糟的是,风险管理中的大多数人,以及安全团队中本应理解和减少IT风险的人,也不够了解应用安全以有效管理风险。

那么,这意味着什么?

简而言之,每个安全问题都可追溯到一个人在错误的时间做了错误的事情。通常反复发生,即使在他们接受培训之后。

为什么大多数安全解决方案和方法论都集中在技术上而不是人身上?也许是因为安全供应商在那里能赚最多的钱?

让我们看看人为错误的样子:

  • 用户点击网络钓鱼邮件中的链接,将登录凭据泄露给黑客。用户错误。
  • 高管在会议上收到USB驱动器,插入笔记本电脑,并安装rootkit。用户错误。
  • 工程师未获取易受攻击库的最新补丁,导致影响数百万客户记录的漏洞。用户错误。
  • 开发人员编写不安全的SQL语句,允许黑客未经授权访问数据库。用户错误。

这些都是本可避免的错误。每个人本可以知道更好,而且他们可能确实知道更好。但他们犯了一个简单的错误。在无数无错误行动中的一个错误。然而,由于我们极其敌对的现代网络世界,这一个错误将导致巨大的个人、职业和业务责任。

你可能会问,解决方案是什么?我的本能反应是:组织中的每个安全风险个体(即每个人)都应接受培训,知道不该做什么。但更深思熟虑的反应是:我们培训人们多年,知道人类不可改变地是人类,这并未解决问题。不要误解,培训确实有帮助,但如果安全解决方案依赖于组织中的每个个体100%时间做正确的事情……那么,祝你好运,我的朋友。

我的下一个反应是:犯灾难性错误太容易了。几周前滑雪时,我在缆车上与新认识的人交谈,他告诉我如何点击电子邮件中的链接,最终结果有人接管了他的银行账户。许多周后,问题大部分解决,他大部分资金重新可用。但谈论简单错误的痛苦后果!他自责,觉得自己愚蠢。我的反应不同:我们不应满足于生活在每个用户都必须如此警惕犯简单错误且后果如此严峻的世界。

我们显然让事情变得太困难,需要找出如何修复。

与此同时,我们需要教人们在我们抛给他们的不友好环境中尽力而为。这仍然意味着培训。我们不能指望人们从不犯错。但如果我们教他们该做什么和不该做什么,他们会犯更少的错误。然后我们需要找出如何让他们犯的少数错误损害更小。

Joe的回应

当Joe读到这篇文章时,他有一些评论,我们认为值得分享。针对简单错误可能导致灾难的想法,他说:

要求这不合理,也不公平。我们设计的其他所有系统都是容错的。我们知道人们会酒后驾车或开车时睡着,所以我们建造更好的安全带、安全气囊和安全系统。我们知道人们会忘记关门锁门,所以我们建造自动关闭和锁门的门。字面上所有其他重要领域我们都内置了故障保险,除了软件。哦,你点击了那个链接,没认出它说https://gmai1.com?太糟了,你实际上把你所有访问系统的钥匙交给了别人。你搞不定密码系统?太糟了,用你的IL0veLucy1$密码,下一次数据泄露后你将自己置于无法想象的风险中。不公平的是,我们在人们生活的其他方面要求如此少,却在这方面施加如此大的压力和责任。我们生活在一个无风险的世界和一个充满风险的网络环境中。

针对如何让事情不那么困难,他说:

我认为我们可以想出一些补救措施。有些归结于培训用户,有些是控制构建软件的人。例如,部署更好的双因素认证选项,利用泄露和常见密码列表进行注册表单,保护认证,更好地检测欺诈,并为关键系统设置更好的风险阈值。以电子邮件作为每个其他系统的关键点非常可怕。像Gmail和iCloud这样的电子邮件提供商应实施控制以减缓风险行为。如果收到看起来有风险的内容(密码重置、转账等),我们能否注入实时培训或强制二次验证?我们能否呼吁银行更好地识别错误行为,许多已经使用自适应认证系统,能否将其应用于转账和账户修改?

请订阅我们的新闻通讯。每月我们发送包含新闻摘要和最近几篇文章链接的新闻通讯。不要错过!

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次