网络安全的五个搞笑梗所引发的思考

社交媒体上的网络安全梗经常使人笑喷，其中有几个在安全专业人士中引起了共鸣，其原因是它们往往反映了真实(且痛苦)的行业现实。以下是最近在社交媒体上流传的五个网络安全梗——您看后可能想要暂停滚屏，去深入思考它们的含义：

贵公司的安全技术堆栈中有多少安全工具？是否所有工具都已充分发挥其潜力？您的团队中有足够多的人来使用您已经购买的工具吗？如果您对这些问题中的任何一个回答“不”，那么您并不孤单。据估计，已经购买的安全软件中有多达三分之一未被使用，而且这一趋势似乎不会很快改变。请记住，您无法使用工具去“自动化”实现安全。您总是需要时间、资源和组织支持来配置、管理和优化您购买的每个新工具。不要掉进浪费金钱在永远不会使用的安全工具的陷阱。

当发生重大漏洞或安全事件时，作为一个公司的同事，我们应该怎么办？在我的经验中，我们总是为了自身利益甩锅给伙伴、同事或亲密朋友，找个替罪羊，指责那些受害者没有采取足够的措施来防止违规行为。但事情是这样的。每一家有重大安全漏洞的公司也都有一个安全团队，这个安全团队正在尽其所能地保护和防御，就像我们其他人一样。即使是最好的安全团队也会出现漏洞。因此，我们应该提供支持、建议和指导，而不是指责和甩锅。我们应该希望反应小组尽快、平稳地度过这一事件。毕竟，谁知道呢？也许有一天，需要帮助的是你的公司，你会希望同事站在你这边，而不是反对你。

当谈到某个信息安全戏剧性事件时，我们似乎就像是生活在一个回声室里（译者注：回声室效应是指网络技术在带来便捷的同时，也在无形中给人们打造出一个封闭的、高度同质化的“回声室”。研究者将这种效应归纳为：在网络空间内，人们经常接触相对同质化的人群和信息，听到相似的评论，倾向于将其当作真相和真理，不知不觉中窄化自己的眼界和理解，走向故步自封甚至偏执极化）；除了信息安全团队外，没有人像我们一样关心零日漏洞(0-day)、关键漏洞或大规模安全漏洞。当然，造成这种情况的原因有很多，包括漏洞疲劳，但在我看来，我们的社区并不经常触及我们的“信息安全气泡”之外的领域。我们不会因为安全而赢得人心，我们不会结交盟友和朋友，我们当然也不会帮助其他人，特别是商业伙伴，让他们充分理解安全是一项共同的责任。我个人认为，这就是为什么我们继续存在违规行为——安全无法使安全赢得除我们自己以外的任何人的关注。如果我们想要改变这一点，我们必须从改变我们与他人合作的方式开始，带着健康的同理心、谦逊和尊重跨越对立，达成共识。

据估计，全球有6,000家网络安全供应商，信息安全社区经常被“闪亮”的设备——IDS/IPS、WAF、SIEM、EDR/XDR、FIM等——分散注意力，而我们往往忘记致力于我们职业的基本和基础，如打补丁、强制实施强密码和多因素身份验证以及用户意识。

根据Verizon最近发布的数据泄露调查报告显示，社会工程学(网络钓鱼)被列为数据泄露的首要根本原因；更高级的攻击，如远程访问特洛伊木马(RAT)攻击，排名最低！与零日漏洞攻击相比，您的公司更有可能因为社交工程学而被攻破。然而，我们购买“闪闪发光”的设备是为了防止复杂的攻击，而不知道真正的威胁就在我们面前。我们弄错了轻重缓急！我们需要花更多的时间做基础工作，因为这就是威胁所在。

美国有数十万个网络安全职位的空缺，世界各地也有数百万个空缺职位。根据ISACA发布的2022年网络安全状况报告显示，近70%的网络安全专业人员感到他们的团队人手不足。而且由于这些职位空缺中85%以上是中高级和高级职位，所以根本没有足够多的合格候选人予以我们聘用。那么我们该怎么办？我们没有从头开始培养安服人员，而是从其他安服团队中挖人！我们需要更多的人员加入网络安全行业，我们现在就需要他们。因为我们今天雇用和培训的入门级人员将成为我们明天战斗所需要的高级专业人员。

编者按：本文于2022年5月26日首次发表 于ISACA官网ISACA Now Blog。文章内容仅代表作者本人观点

作者：Naomi Buckwalter,网络安全破门者基金会执行董事

翻译：王彪，CDPSE，CDMP，CDSP，CISP-DSG，OCP，ISO27001LA，Azure Data，信息安全工程师(软考)，ISACA微信公众号特邀通讯员，天融信数据安全治理专家

校对：王岩 （Liam Wong），CISA、CDPSE、CISSP、PMP、OCM 11g/12c、PGCA、MCDBA、MCSE，ISACA微信公众号特邀通讯员。