1. 威客安全首页
  2. 安全资讯

安全工作那些反直觉的事

安全工作那些反直觉的事

上图是电影《星际穿越》的剧照,为啥用这张图?因为很酷、很烧脑。为啥烧脑?因为相对论和量子力学都几乎违反了人类所有直觉。

好,我们先说说直觉,人类的直觉是亿万年进化历程中选择出来的,它很适合人类在自然界中生存。


比如看到肉就想吃,这是因为原始社会肉不是随便就能获得的食物来源,见着就吃非常符合个人利益;


比如遇到危险就退缩,这是因为在自然环境中危险是无处不在的,如果是天生的“傻大胆”很容易因为各种原因丧命,他的基因自然很难传下来;


再比如男人见到美女就想靠近,这是因为……


好了,不说了,再说就跑题了,我们言归正传。

网络安全工作本身就是一项反直觉的工作,因为我们的直觉是在可能的情况下尽量低成本的完成某项工作。而安全工作恰恰要求对未来有着最低的预期,用相当的成本去抵御未知的风险。

在网络安全工作中,笔者发现还有一些观点是与直觉或者常识不符的,这里简单论述一下。

投入资金和产出成正比

直觉:要实现的目标越多,需要投入的成本就越大,很多机构对下属单位有安全预算投入的要求。

事实:笔者作为安全从业者当然要希望公司在安全上的投入越多越好,但投入和产出的关系是很值得思考的。事实上,安全部门的很多不需要太大投入的工作可以很有效的提升技术系统的安全等级。比如:在交换机端口启用端口安全、把边界防护策略尽量细化、对安全日志的有效分析等等。这些工作都是在低投入甚至0投入的情况下能有效提高安全等级的方法。

攻防双方的不对等性

直觉:笔者在很多文章中都读到过这类言论,入侵方只需要在被入侵的系统中找到一个突破口就可以实现其目的,但防御方则需要同时关注所有资产的安全性。这好比古代的攻城战,门越多越难防。我自己就经常在给领导解释安全事件的时候,用这类说法给自己辩护。

事实:我们站在一个中立的立场上再回看这件事,其实现在的IT系统的防护和古代防御城池有着本质的区别–低成本、高效率的统一策略。防守城池一个门需要一千人,十个门就是一万人,这很难缩减。但IT系统的防护是可以做到策略集中管理,集中下发的,再加上大数据分析工具和防御方天然的权限优势,攻防双方之间的不对等性远没有想象那样悬殊,问题在于防御方如何把自身的优势发挥出来。当然如今黑产的高度整合能力和企业的分散防御之间的不对等性还是很高的,但这不在这个话题的讨论范围之内。

安全意味着麻烦

直觉:如果没有密码不安全那就设置密码,如果简单密码不安全那么就设置复杂密码,如果密码容易泄露那么就多因素认证。我们发现安全工作工作就是这样一步一步走向复杂的,任何一项安全性的提升伴随的都是复杂。

事实:微信、支付宝用起来都很简单,我们不能说它们不安全。另一个层面,对于很多快速发展的公司来说麻烦就意味着死亡,这些公司也没有放弃安全。其实现在的很多技术已经可以方便的解决很多安全问题了,笔者认为目前还很麻烦的安全方案应该作为一个过渡,安全的目标一定是简单而安全。这里并不是说所有的安全能力都可以简单化,但这一定是安全行业发展的目标。

传统安全手段已经没用了

直觉:现在企业安全市场上各种概念林立,态势感知、威胁感知、APT、UEBA、EDR等等。如果你的公司只卖防火墙估计都不好意思跟别人打招呼,同时客户也要低看你的公司。有人感叹传统安全的时代过去了。

事实:安全公司发明新概念,做市场推广的做法无可厚非,可以说是安全行业蓬勃发展的体现,他们给甲方提供了丰富的选择空间。但作为企业的安全工作者来说,我们一定要端正态度,一定不能因此而减少对基础安全手段的关注。比如,四层防御是减少攻击面的非常有效的手段,同时相对成本非常低廉。但我们可以更新四层防御的手段,如增加平行扩展能力、在云环境下做适应性调整等。

写在最后

直觉对所有人来说都是非常重要的,我们可以快速的做出很多重要决策。但我们也要承认从相对论到减肥,我们生活中充满着反直觉的事,我们需要做到适时的从直觉中跳出来,更理智的看待我们手头的工作。最后,向跳出直觉,为人类做出巨大贡献的大师们致敬!

原文始发于微信公众号(企业安全工作实录):安全工作那些反直觉的事

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论

联系我们

15110186328

在线咨询:点击这里给我发消息

邮件:zhanglei@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code
X