自去年史上最大的用户信息泄露事件(塔吉特)以来,又接连发生了多起信息泄露的安全事件。仅从8月到现在,就有UPS快递、CHS(社区医疗系统)、火狐开源、苹果iCloud、家得宝等信息泄露事件相继爆发。
以至于国家信息系统安全认证协会(ISC)的执行董事W. Hord Tipton认为:“坏人在赢得胜利……在黑客与安全人员之间有着技术方面的差距,除非这个差距得到弥补,否则成功的入侵事件会越来越多。”
“进攻要比防守容易得多”
黑客学院(Hacker Academy)的联合创始人兼首席运营官Aaron Cohen认为,现在系统可以攻击的路径太多,了解系统要比如何防守系统容易的多,黑客总是能找到系统最脆弱的短板。
FireEye的首席安全战略官Richard Bejtlich同意这个观点,他表示:“在网络空间里进攻方占着先手,防守方处于被动。”但Bejtlich认为,即使攻击者获得未授权的访问,也不代表着他就“赢”了。因为访问的最终目的是盗取数据和破坏系统,在这之前还不能称之为赢,而防守方所要做就是阻止这种情况的发生。太多的安全人员把精力浪费到战略上并不重要的事务中,这才是最大的问题。
Cohen表示,之所以坏人显得比好人聪明,是因为那些失败的安全防范,并不是专业人员在做,而是一些传统的IT人员,一些被网络钓鱼或社会工程手段欺骗的其他部门的职员,甚至还有第三方承包商,为攻击者打开了方便之门。
“人们的愚蠢没有补丁可打”
不过安全专家都一致同意,防护能力应该能够提高,但要做到这一点,良好的安全培训是必不可少的。
“从大学教育的水平统计,已经有一段时间没有培育出足够的信息安全专业人员。”赛门铁克网络安全组的高级经理Michael Garvin表示。然而这还只是开始,未来需要的安全人员不只是信息安全专业的大学生,还需要具有实际操作、现实经验的职业人员。如同飞行员在真正上机前要在模拟环境试飞上千小时,才能通过不断的重复形成安全环境中的肌肉记忆。
Bejtlich对此表示赞同:“我不会听一个没有时间做企业安全工作的教授讲信息安全课。”Cohen则表示:“中学和大学教育在信息安全方面比较落后,从书本上无法得到真正的培训”。Cohen建议,网络安全培训必需更加注重实际操作,有点类似于职业学校。”
然而,如果学院或大学想要提升信息安全课程的教学质量,则需要专业人员的合作。Avecto职业服务副总裁Andrew Avanessian认为:“大学院校与职业服务机构和信息安全圈的关系需要加强,信息安全业界要联合大学院校并在技术与技能方面给予指导和建议,这是不断变化的信息安全环境的需要。”
Avanessian认为,除了获得计算机学位以外,在安全事业的道路上还有很多途径。比如攻读数学,或工程和管理。Bejtlich则认为,除了学术培训和技术能力,还需要战略性的思考,把运营、政策和战略结合起来。而后者正是大多数技术人员所缺乏的。
“战略思想比技能缺口更加重要,太多的安全人员把精力浪费到战略上并不重要的事务中,这才是最大的问题。”
Kellermann也对此表示赞同。他表示俄罗斯黑客的聪明之处就在于“他们战略性的思考所采取的每一步行动,如同下国际象棋,无论是进攻方还是防守方,都会考虑8步到12步之多。”
所有的安全专家都同意,仅仅给予安全工作人员更好的培训是不够的,企业中的所有员工都需要加强安全技术和安全意识的培训。
Avanessian表示:“防范攻击的主要障碍之一就是难于操作和管理的安全战略,这些战略依赖于被动的检测。因此,各机构需要简化战略方法,提高主动性。经常碰到一些IT部门,他们的关注点不在安全,而在实施最新的技术或更广泛的解决方案上。这就迫使他们不断的改变他们的安全部署,而安全从来就不应该是后知后觉的。”
Cohen表示,终端用户也是重要的安全因素,要给予终端用户更多实际的技术培训,包括模拟攻击,而不仅仅是理论上的学习。
“这是一个即容易又节省成本的方法,帮助员工提高安全防范水平,杜绝系统中最脆弱的短板”Cohen如是说。