展示、讨论、庆贺黑客活动的会议不知凡几。当然,安全研究人员和其他人士应该有自己的论坛来展示自己的发现。批评这些活动或贬低这些人都是不可取的,但我们可以从一个略微不同的角度对此发出简单的疑问。这些展示、讨论和庆贺防御方的会议又在哪儿呢?换句话说,那些殚精竭虑防护自家企业,为保护企业交付的信息鞠躬尽瘁的防御者,为他们庆贺呐喊的媒介又在哪里?
理解企业安全漏洞,知晓攻击者将会如何利用这些漏洞,对掌握整个威胁态势助益良多,安全社区在这一方面所做的工作是信息安全领域中十分关键的一环。反过来,掌握安全态势,又可以也应该,作为重要工具参与进管理、缓解和最小化风险的整体战略工作来。
强调防御,是安全拼图中的重要一块,却时常缺失在大众关注中。强调黑客活动当然引人瞩目,但我们从这里面获得的知识,需要转化到实际应用和运营当中才有用。破解、入侵的确性感,但防御是是大人做的事情,尽管你在新闻播报中永远不会看到说有谁解决了警报疲劳问题或是完成成了高效安全的运维项目。
那么,安全社区有什么办法可以弥合黑客/研究人员与防御者之间的空白呢?下面几点想法可供参考:
拓宽论坛
每个人都喜欢看到精彩的黑客活动、新的漏洞,或是黑客或安全会议上的巧妙漏洞利用展示。帮助我们从他们的发现中学到知识的研究人员显然干得漂亮。但这只是事情的一个方面。将所有这些知识应用来解决运维问题以改善企业安全态势时又该做些什么呢?为什么不更多地向那些基于研究社区的成果并成功应用到自身运维环境中的防御者开放舞台呢?
提供上下文和理解
基本上,安全就是个风险缓解的活儿。当董事会、高管和经理们听闻最新黑客事件或漏洞,他们可能会命令安全团队立即行动。但这种对话中时常缺失的一部分,是对新发现可能给企业引入的风险的真正理解。提供关键上下文背景,给予风险情况真正的理解,蕴含着巨大的潜力。将黑客活动与其可能引入的风险映射起来,可以帮助企业从战略和逻辑的角度理解、考虑并拿出行动。但太多时候,企业仅仅是做出条件反射式的随意的无逻辑的行动。
缩小攻击界面
很多人都好奇攻击者、对手和黑客都在忙些什么。毫不意外,了解这些可以弄清企业面对的威胁态势是如何发展改变的。但不幸的是,另一个思考角度却极少被利用起来。那就是有关谁可能盯上我们的企业、行业或地区,以及为什么能够帮助我们发现并排序企业风险的知识。我们可以利用这些知识来缩小我们每天都需要防护的攻击界面。更少的噪声和定义更好的问题,通常意味着更高的整体可见性,以及对企业内部当前正在发生事件的更清醒认识。这里面的潜力很大,但这要求彼此间距离很远的研究人员和防御者之间先建立起联系。
提高效率
我们都见过有人投入大量时间却毫无收获的情况。批评别人总是很容易,但安全领导者到底该怎样提高效率,将关键资源投入到最具附加值的活动和任务上呢?尽管方法很多,了解攻击者追逐目标和他们达成目的的方法,能够帮助企业将宝贵且有限的资源更明智地派发到风险缓解工作上。反过来,通过减少浪费在毫无价值的活动上的时间和金钱,企业在降低整体风险上的效率倒是可以得到改善。
学习,然后改进
任何企业都不是绝对安全的。理解攻击者如何成功渗透企业,是我们学习、反馈,并采取行动以修复漏洞填补空白的巨大机会。作为防御者,我们显然应该专注在攻击者所做的事上,因为这能帮助我们极大了解自身企业,改善我们的安全状况。
不幸的是,无论我们喜不喜欢,安全世界都在某种程度上分化出了黑客与研究人员或防御者两个阵营。两个阵营都在做着非常重要的工作,却不完全了解对方所做的事。只要努力在二者之间搭建桥梁,就能将重要的知识应用到真实的运营问题中去。而这,又将反过来促进安全社区改善企业安全状况的工作。