现代威胁环境是现代企业面临的巨大挑战。许多企业通过从最新的热门供应商那里购买最新的安全产品来“解决”这个问题,希望能够保护他们,但越来越多的人慢慢意识到这不足以保护他们的组织。自动渗透测试和安全人才缺口工具和扫描仪很棒,但它们只能发现已知漏洞。许多漏洞只能由经过培训的安全专家发现。不幸的是,缺乏训练有素的合格安全专业人员加剧了组织面临的挑战。安全人才缺口并没有缩小,人们想出了很多疯狂的想法来填补这个缺口。最新的一个是自动渗透测试,其想法是我们可以以某种方式创建机器人来探测企业的防御并发现漏洞。但问题是,这与渗透测试的意义恰恰相反。真正的渗透测试不是自动扫描作业。真正的渗透测试是使用经验丰富的网络专家的创造性思维进行的。渗透测试的全部意义在于通过发挥创造力、像攻击者一样思考并识别机器和其他预构建逻辑无法识别的漏洞,比网络犯罪分子领先一步。当我们教机器人识别和修复一些漏洞时,黑客会变得更有创意并找到新的漏洞来绕过这些自动检查的检测。我们应该尽可能地自动化,但仅仅依靠对您的系统和网络进行自动化安全测试并不能保护您的业务。解决此问题的唯一方法是与优秀的网络安全专家合作。为什么思维转变是关键安全团队需要具有对抗性或黑客思维,即他们必须像攻击者一样思考。他们需要比网络犯罪分子领先一步,并就需要采取的重要行动及时向组织的其他成员提供建议。并非每个漏洞都是显而易见的。保护您的业务的最佳方式是让防御者像攻击者一样思考,并在每次他们似乎陷入死胡同时更加努力,不要放弃他们认为没有意义的事情。成功保护系统、网络和应用程序不仅需要了解攻击者可以使用的工具,还需要了解他们使用这些工具的方式和时间。这需要大量的判断和发现更多的问题,而这些问题是无法通过自动化测试完成的。自动化测试的效果取决于您告诉他们查找和执行的内容。让安全变得困难的是攻击者每次都在做新的和不同的事情。攻击者不需要一个巨大的漏洞来影响一个组织——他们很有耐心,等待个人犯错并通过网络钓鱼或社会工程让他们进入。一旦进入,他们就会闯入网络或提升权限以访问日益敏感的系统和数据。严重的黑客攻击和数据泄露通常始于小事故。由于大多数系统和网络在设计时都没有采取必要的安全防御措施,因此将小漏洞链接在一起产生破坏性影响的情况并不少见。此外,攻击者不断开发新的恶意软件有效负载并测试新的威胁向量。真正公平竞争的唯一方法是与对手一样富有创造力和毅力的人类防守者。防御者还需要及时了解最新的漏洞、黑客技术、恶意软件等。缩小网络安全技能差距网络安全技能差距是一个人的问题,但这不仅仅是找到足够的人来操作工具,因为工具本身是不够的。所有工具都有保质期,攻击者找到解决方法只是时间问题。如果我们认真对待安全问题,就需要加强对所有人的安全意识培训。我们需要培训设计和构建系统和网络的人员,让他们具备攻击者的心态。我们必须确保我们培训的安全专业人员能够像攻击者一样思考,并及时了解最新的漏洞利用和安全问题。毫无疑问,我们需要更多合格的安全专业人员,解决人才短缺问题没有灵丹妙药。您不必成为IT专家即可进入安全领域。你需要有好奇心,成为一个创造性的问题解决者,愿意付出汗水来学习这门手艺,不要轻易放弃并继续前进。优秀的候选人可以来自组织的许多部门,例如系统管理员、网络工程师、Web开发人员、客户支持成员,甚至是应届毕业生。虽然他们不会一蹴而就,但他们将具备在安全方面取得成功的基本特征。安全问题归根结底是人的问题。扫描仪、工具和自动化测试可以提供帮助,但要真正解决这个问题,需要多层次的人类创造力来解决。
