2月25日,RSA 2020在旧金山莫斯科恩中心正式拉开帷幕,在以“人的因素”为主题的会议上,RSA主席Rohit Ghai向与会的大约4万名专家、分析师、科技企业、记者和政策制定者探讨了如何重新叙述网络安全中“人”的故事。Ghai认为,如果不重新思考网络安全文化,不像关注技术那样关注人,我们最终是无法战胜网络威胁的。
一、重视网络安全“人”的因素
Rohit Ghai认为,人工智能显著提高了攻击者和防御者的手段,将在网络安全领域发挥巨大作用,但人类活动仍将是威胁行动成功与否的关键。Ghai在演讲中明确提出了网络安全人才多元化的要求,特别呼吁雇佣神经多样性(neurodiverse)人才,即明白“每个人的大脑都有自己处理社交、学习、注意力、情绪和其他心理功能的方式”,“我们在招聘时需要考虑的不仅仅是专业知识,还有潜力。”目前神经多样性人才的失业率高达80%,但是Ghai认为,网络安全行业面临的招聘挑战往往是自身造成的人才缺口。他呼吁安全团队需要超越传统的安全专家配置,通过改进多样性来提高解决问题的能力。
二、安全团队疲于应付网络攻击和外界的“错误认知”
通过RSA团队对IT专业人士的调研发现,76%的人认为攻击将在2020年显著增加。Ghai认为这并不奇怪,“自互联网诞生以来,黑客入侵的次数就一年比一年多”。Ghai表示,真正令人担忧的是,安全团队面临的压力与日俱增,普遍已筋疲力尽、疲于应付。RSA 调研发现,五分之二的首席信息官(CISO)认为,他们将为公司内部发生的任何违规行为承担个人责任,并可能因此丢掉饭碗,因此大多数CISO表示,他们很少会停止工作。“全世界的商业领袖都在关注网络攻击,终端用户对技术不够精通,往往被聪明的攻击所恐吓,这让已经筋疲力尽的安全团队的日子更加艰难”。此外,Ghai认为,当前媒体总是根据网络安全的损失来讲述故事,总是塑造为让人同情的、工作过度的安全团队难以对抗黑客的情景,这是一个过于简化和不完整的观点,需要改变专业人士、业务人员和公众对网络安全问题的看法。
三、重新叙述网络安全故事
Ghai认为网络安全专业人士需要“重新叙述我们的故事,重新组织我们的防御,重新思考我们的文化,才能改变现状”。
一是改变叙述方式。网络安全团队应开始更公开地共享自己的胜利和黑客的失败。目前来看,网络安全只有在出现问题时才会进入公众视野;因为各组织并不想公开讨论他们的策略而招致额外的攻击,所以公众从来没有听说过成功阻止潜在攻击的情况。但是“我们与黑客并不是非输即赢的游戏”,即使他们阻止不了黑客的最终目标时,但也可以适当吹嘘一下。Ghai建议需要改变对于网络安全成功与否的认知,他以最近发生在亚特兰大的勒索软件攻击为例,认为虽然这座城市因为网络攻击遭遇了停工,但最终并没有支付赎金,黑客并未获得经济利益,因此可认为亚特兰大虽然没有赢,但黑客行动却是失败了。Ghai表示,由于这次袭击,该市还制定了一项稳健的业务连续性计划,从这个角度来讲他们取得了最终胜利。对此,“我们想要的是一个关于网络弹性的商业故事,而不是一个关于网络乒乓球比赛的技术故事”。
二是重新配置网络安全防守。Ghai认为,“大部分技术人员只关注零日漏洞,为最坏的情况做了大量的准备,而不是我们现在所面临的即刻现实威胁。”他建议安全专业人士必需明白这样一个事实,即“需要改进安全实践的不仅仅是终端用户,软件和应用程序的创建者也经常编写易受攻击的代码,而且71%的威胁行为都是出于经济动机”。
三是反思网络安全文化。Ghai认为,各组织需要建立一种文化,使安全成为每个人的责任,而不仅仅是由网络安全团队负责,包括IT部门的其余人员、商业领袖和其他风险管理人员,他们往往是网络安全的“主要是观察者”,而不是参与者。
声明:本文来自网安布谷鸟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。