博客

让安全更酷: 2020 年国家网络安全意识月

F5 缩略图
F5
2020 年 10 月 1 日发布

整个十月,F5 将在Twitter LinkedIn FacebookInstagram上分享网络安全见解

国家网络安全意识月已进入第17年头。 近 20 年来,网络安全和基础设施安全局 (CISA) 每年 10 月都会致力于告诉美国人如何在网上更加安全。 在这段时间里,有什么改变吗?

嗯,既是也不是。信息安全风险并没有发生根本性变化:组织今天面临的威胁与它们一直以来面临的威胁是一样的。 改变是他们的风险管理策略以及对可接受风险的看法。 在网络安全方面,数据显示,我们并没有向用户或专业人士传达国家网络安全意识月所致力于传播的信息。 正如我在最近的 Securityweek CISO 论坛主题演讲中所说,我们面临一个公关问题:我们需要让安全变得酷起来

优先排序危机

多年来,安全技术人员更多地关注控制而不是问题。 结果就是USENIX 最近发表的一篇论文所说的“建议优先级危机”。  在《网络安全和隐私建议的综合质量评估》中,作者分享了专家将 118 项网络安全实践列为用户应该做的“五大”事项之一 - 最终用户几乎可以自行确定这些行为的优先级,并采取行动保护自己。

此次危机的后果是安全保障无效。 几十年来,我们一直要求用户在公司和非公司访问时不要使用相同的密码,但研究表明,94% 的重复使用密码都是完全匹配的。 我们已经开展了安全意识培训课程,告诉他们不要点击来自未经验证来源的电子邮件中的链接,但网络钓鱼攻击的成功率仍高达 33-11%。

受到这种方法影响的不仅仅是最终用户。 如今,科技行业正在以惊人的速度进行创新,但各组织却没有从安全角度了解如何实施这项技术。 过去十年最大的技术创新——物联网、云计算、API——彻底改变了企业的运营方式,而且在很大程度上没有基本的安全控制。 物联网设备可以得到安全保障。 API 可以被保护。 云是安全的。  然而,未能做到这一点的组织名单包括财富 50 强公司、三个字母的机构以及拥有金钱可以买到的最佳安全团队的复杂科技公司。

现在,“酷”意味着快速行动和打破常规。  安全并不酷。 它碍事。 这并不容易。 这与我们的创新方式不匹配。

竞争

你知道什么“酷”吗? 黑客攻击。 我们这个行业的许多人都已经年长了,还记得“黑客”曾是我们的代名词,是推动创新和发展的一件事。 现在,网络犯罪分子和攻击者已经将这个词以及其背后的精神据为己有。 他们互相交流。 他们分享。 他们开源了他们的机器人。 他们灵活、快速地适应并应对新的市场机遇。 这些恶意黑客正在训练 13 岁的孩子构建机器人,而我邻居的高中生根本不知道信息安全是一条职业道路,更不用说他们可以获得全额奖学金了。 

那么,如果坏人可以快速地将武器化并分享,我们为什么不能呢? 为什么网络安全领域要投入如此多的时间、金钱和精力去发明新的不增长的方法?

三个事实

作为安全专业人员,我们需要正视一些事实。 首先,我们有一个控制设计问题。 尽管不断出现失败,但基本控制措施几十年来并未取得任何进步。 我们确实以相同的方式做着相同的事情但却期待着不同的结果。 当安全控制过于严格、妨碍或耗时过长时,人们就会想办法绕过它们。 

此外,我们需要更好地提高人们对这项工作所包含的内容以及我们领域之外的安全价值的认识。 当然,安全供应商非常擅长向安全人员推销安全产品;但我们很少向其他 IT 专业人员或其他员工宣传安全的必要性和价值。 (我们可以谈谈大多数安全意识培训的质量吗? 我们很难责怪员工们尽可能快地点击浏览,尽管他们仍然会全神贯注地观看第一百遍《黑客帝国》 。)

事实上,我们的进入门槛太高了。 我每天都会看到网上一些有才华的安全人员发来的帖子,他们因为没有特定的证书、不是特定防火墙的专家,或者没有使用刚推出不久的产品所需的 15 年经验而无法找到工作。 我们都在谈论寻找人才的挑战,但是我们常常不让人才进门。 我们对领域缺乏认识,加上进入门槛高,以及缺乏网络安全课程和毕业生,确保了我们难以扩大规模以满足业务需求。

如何让安全变得酷

我们已具备在 2020 年让安全变得酷炫的所有要素。 那么我们该怎么做呢? 我将在这里提出自己的建议,并将其归结为以下 3 条:

1.      分享更多。 攻击者喜欢分享,我们也应该如此。 与安全专业人士圈子之外的人们分享您的有趣和精彩故事,以让其他人对我们所做的事情及其影响感兴趣。 与任何可以受益的人分享您的攻击数据。 通过投资 STEM 项目来共享组织资源。 通过自愿教育和培训人们进行网络安全方面的培训来分享您的专业知识。

2.      拥抱变化。 采用左移、自动化、以攻击者的速度运作的新技术。 倡导并传播 DevSecOps。

3.      沟通更好。 安全意识培训是与公司中的每个人就网络安全进行积极互动的绝佳机会。 别让它浪费了! 确保培训与他们的生活和他们最关心的事情相关,使用能引起他们共鸣的语言和图像。 专注于帮助他们赢得胜利,而不是限制他们。

事实是,安全很酷。 如果我们采用现代化的方法,全世界也会知道的。

作者:F5 首席信息安全官 (CISO) Mary Gardner