网络安全的核心始终是人:技术工具无法替代的安全意识

本文探讨了网络安全中人为因素的关键作用,指出大多数安全漏洞源于人为错误而非技术缺陷,并分析了当前安全培训的局限性,提出了构建以人为本的安全体系的思考。

网络安全的核心始终是人

作者:Jason Taylor
发布日期:2020年2月13日
阅读时间:6分钟

如今,似乎每个人都在努力构建可扩展的应用安全程序。预算有限、内部政治和官僚惰性成为现实问题,而威胁形势却不会等待企业慢慢理清思路。

理想情况下,与客户的对话应聚焦于整体、以风险为中心的方法,结合人员、流程和工具的改进,将风险降至可管理水平。但现实往往并非如此。

大多数对话反而集中在安全工具上:该购买哪些工具?为什么工具没有达到承诺的效果?为什么团队不使用已购买的工具?每个人都想要银弹,每个人都容易受到工具供应商的诱惑,声称他们拥有管理安全风险的完美解决方案。

但被忽略的事实是:工具本身并不能构成应用安全程序。工具只能提供支持。你需要先构建程序,然后才专注于获取优化活动所需的工具。反过来从来行不通。这就像在没有建筑设计图的情况下雇佣承包商建造房屋。

有时对话更令人沮丧。CISO可能会说:“你以为我有时间担心软件中的漏洞吗?我连让CEO使用多因素认证都做不到!”然后对话转向他们打算何时从这份糟糕的工作中退休。

越想越觉得,这些令人沮丧的对话恰恰抓住了当前安全问题的本质(在我看来)。

高管们,即使在精通技术的公司,也不够了解应用安全漏洞以管理固有风险。问题不止于此。甚至构建软件的工程师也不够了解应用安全,无法预防和缓解最常见漏洞。这些是我们依赖编写正确代码的人,但他们往往出错。更糟的是,大多数风险管理人员、安全团队成员(他们的本职工作就是理解和降低IT风险)也不够了解应用安全,无法有效管理风险。

那么,我们处于什么境地?

简而言之,每个安全问题都可追溯到一个人在错误时间做了错误的事。通常是一再重复,即使在接受培训之后。

为什么大多数安全解决方案和方法论专注于技术而非人员?也许是因为安全供应商在那里能赚最多钱?

看看人为错误是什么样子的:

  • 用户点击网络钓鱼邮件中的链接,将登录凭证泄露给黑客。用户错误。
  • 高管在会议上收到USB驱动器,插入笔记本电脑,安装rootkit。用户错误。
  • 工程师未获取易受攻击库的最新补丁,导致影响数百万客户记录的泄露。用户错误。
  • 开发人员编写不安全的SQL语句,允许黑客未经授权访问数据库。用户错误。

这些都是本可避免的错误。每个人本应知道更好,而且他们可能确实知道。但他们犯了一个简单错误。在无数无错误行动中的一个错误。然而,由于我们极其敌对的现代网络世界,这一个错误将导致巨大的个人、职业和业务责任。

你可能会问,解决方案是什么?我的第一反应是说,组织中每个安全风险个体(即每个人)都应接受培训,知道什么不该做。但更深思熟虑的反应是:我们培训人们多年,知道人类不可改变的人性,这并未解决问题。别误会,培训确实有帮助,但如果安全解决方案依赖于组织中每个个体100%时间做正确的事……嗯,祝你好运,朋友。

我的下一个反应是:犯灾难性错误太容易了。几周前滑雪时,我在缆车上与新认识的人交谈,他告诉我如何点击电子邮件中的链接,最终导致有人接管了他的银行账户。多周后,问题大部分解决,他大部分资金重新可用。但谈论简单错误的痛苦后果!他自责,觉得自己愚蠢。我的反应不同:我们不应满足于生活在每个用户都必须如此警惕犯简单错误且后果如此严峻的世界。

我们显然让事情变得太困难,需要找出如何修复。

与此同时,我们需要教导人们在我们抛给他们的恶劣环境中尽力而为。这仍然意味着培训。我们不能指望人们永不犯错。但如果我们教导他们该做什么和不该做什么,他们会犯更少错误。然后我们需要找出如何让他们犯的少数错误造成更少损害。

Joe的回应

Joe阅读本文后有一些评论,我们认为值得分享。针对简单错误可能导致灾难的观点,他说:

要求这不合理,也不公平。我们设计的其他所有系统都具有容错性。我们知道人们会酒后驾车或开车时睡着,因此我们建造更好的安全带、安全气囊和安全系统。我们知道人们会忘记关门锁门,因此我们内置自动关闭和锁门功能。 literally 其他每个重要领域我们都内置了故障保护,除了软件。哦,你点击了那个链接,没认出它写的是https://gmai1.com?太糟了,你 literally 将城堡的钥匙交给了你访问的每个系统。你搞不定密码系统?太糟了,用你的IL0veLucy1$密码,下次数据泄露后你将面临难以想象的风险。当我们在他们生活的其他每个方面要求如此之少时,将如此大的压力和责任放在人们身上是不公平的。我们生活在一个无风险的世界和一个充满风险的网络景观中。

针对如何让事情变得不那么困难,他说:

我认为我们可以想出一些补救措施。有些归结于培训用户,有些是控制构建软件的人。实施更好的双因素认证选项,利用泄露和常见密码列表进行注册表单,保护认证,更好地检测欺诈,并为关键系统设置更好的风险阈值等。将电子邮件作为每个其他系统的关键点超级可怕。像Gmail和iCloud这样的电子邮件提供商应实施控制以减缓风险行为。如果收到看起来有风险的内容(密码重置、转账等),我们能否注入实时培训或强制二次验证?我们能否呼吁银行更好地识别错误行为,许多已经使用自适应认证系统,我们能否将其应用于转账和账户修改?

请订阅我们的新闻通讯。每月我们会发送新闻摘要和最近几篇文章的链接。不要错过!

另请参阅

  • 事情会出错。当它发生时你会怎么做?
  • 安全需要承诺
  • 我们都不知道自己在做什么
  • 我感谢CISO
  • 你在安全上花费太多

分享与讨论

  • 在HackerNews上讨论
  • 在Twitter上分享

归档于

安全团队 | CISO | 培训

Joe Basirico & Jason Taylor © 2023

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次