在安全圈里生活并不容易。安全從業者每時每刻都處于最前線，不斷的與具備耐心和智慧的黑客進行戰斗，并且黑客總是領先一步，使安全從業者處于被動中。不過，他們的回報也是巨大的，安全社區具有極大的行業地位，安全專業人員所做工作的對于一個企業來說是十分重要的。所以，安全人員的工資也是IT行業中最高的。

[[330421]]

以下是安全從業人員應該學會接受和處理的6個問題。

1. 隱藏在網絡中的安全威脅

被入侵的公司可分為兩種類型，即已知被黑客入侵的公司和被黑客入侵卻尚不知曉的公司。

根據Ponemon研究所的一項研究表明，平均而言，公司識別安全漏洞需要花費200天的時間，也就是說，攻擊者可以在網絡中扎根超過六個月之久。

據英國域名注冊公司Nominet委托開展的一項調查顯示，將近70%的首席信息安全官報告顯示，他們發現了隱藏在網絡上的惡意軟件，有些甚至超過了一年之久。

即使是科技公司也不能幸免。 例如，Citrix在給加州總檢察長的信中說，黑客從2018年10月至2019年3月在其網絡內部刪除了可能包含姓名，社會安全號碼和財務信息的文件。

一旦黑客攻破了防御，他們便可以有條不紊地獲得提升憑據和管理員權限，從而訪問存儲在公司服務器上的有價值的數據，并以避免檢測的方式秘密地泄露這些數據。甚至在某些情況下，黑客能夠“監聽”與公司有關的通信，因此入侵者可以知道公司正在采取什么應對措施，從而可以逃避檢測。

措施

蜜罐技術或許可以幫助到你的企業：蜜罐技術本質上是一種對攻擊方進行欺騙的技術，通過布置一些作為誘餌的主機、網絡服務或者信息，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓防御方清晰地了解他們所面對的安全威脅，并通過技術和管理手段來增強實際系統的安全防護能力。

蜜罐好比是情報收集系統。蜜罐好像是故意讓人攻擊的目標，引誘黑客前來攻擊。所以攻擊者入侵后，你就可以知道他是如何得逞的，隨時了解針對服務器發動的最新的攻擊和漏洞。還可以通過竊聽黑客之間的聯系，收集黑客所用的種種工具，并且掌握他們的社交網絡。

2. 沒有安全意識的人員可能會毀掉一個企業

對所有員工進行安全意識的培訓，甚至有必要定期發送假冒的釣魚郵件，誘使他們去點擊惡意鏈接，最終希望他們可以從中吸取教訓。不過，這是一項艱巨的任務。

攻擊者會不斷的發送網絡釣魚攻擊，使整個企業面臨風險。

根據Verizon的數據泄露調查報告顯示，所有數據泄露事件中有32%與網絡釣魚有關。當企業調查網絡間諜事件的根本原因以及后門的安裝和使用時，78%的案件中都存在網絡釣魚。

根據ProofPoint的《網絡釣魚狀況》報告，83%全球信息安全受訪者都遭受過網絡釣魚的攻擊。平均每25封電子郵件中就有1封是釣魚郵件。這些數字令人感到恐慌。

當然，終端用戶也會遭受到其他攻擊方式危機安全性，其中就包括設備的丟失、被盜或成為社會工程騙局的受害者，在這些威脅和騙局中，他們會與未經授權的用戶共享密碼或其他憑據信息。

措施

選擇一款第三方的反網絡釣魚軟件是個簡單快速的解決辦法。

3. 面臨嚴重的人員配備和技能短缺

根據國際系統安全認證協會(ISC 2)的調查，36%的網絡安全專業人員最關注的問題是缺乏熟練/有經驗的員工。ISC 2最新報告敲響了警鐘——全球安全行業人才缺口已達400萬人，問題主要存在與亞太地區(260萬)。不過，北美的情況也不容樂視。據估計，北美地區安全專業人員短缺約為55萬人。

在ISC 2調查中，三分之二的企業表示他們缺乏網絡安全人員，一半以上的企業(51%)表示，安全人才的短缺使該組織處于中度或高度風險中。

這些發現得到了信息系統安全協會(ISSA)和分析公司Enterprise Strategy Group(ESG)的一項調查的支持。70%的受訪者表示，技能短缺已對其組織造成影響。

措施

專家建議企業應適當放寬安全人員面試時的特定證書或多年經驗的嚴格要求。企業還應嘗試培訓其他部門的員工。交叉培訓非常重要，安全團隊與其他組(例如DevOps或網絡)的集成也很重要。如果安全成為每個人工作的一部分，那么可以減輕安全專業人員的負擔。

4. 物聯網所帶來的安全隱患

物聯網技術的應用和優勢，在企業和消費者環境中都起到很明顯作用，例如：3D打印，VR和AR，協作機器人，無人機，遠程傳感器，工業4.0，自動駕駛汽車，智能家居，安全攝像機。 國際數據公司(IDC)的一項新預測，到2025年，將有416億個已連接的IoT設備，或將產生79.4 ZB(1ZB=1024 EB，1EB=1024PB，1PB=1024TB，1TB=1024GB……)的數據。

不過，造成物聯網威脅的并不是設備的數量，而是一些不受保護的設備影響了整個物聯網安全。員工是否在智能手表上查閱過公司電子郵件?是否用工作筆記本電腦連接到家庭安全系統?當他們在家工作，并通過VPN進入企業網絡時，是否在企業應用程序和nannycam之間來回切換?

根據Zscaler對云流量的分析，基于云的安全提供商在2019年5月每月攔截2000個基于物聯網的惡意軟件。到2019年底，這一數字翻了7倍，達到每月攔截14000個惡意軟件。

大多數情況下，甚至連安全專家可能都不知道某些設備會產生IoT流量，從而為網絡罪犯創建新的基于物聯網攻擊的載體，但前提是攻擊者知道這些潛在的漏洞。如今，物聯網設備的漏洞不斷涌現，例如攝像頭、DVR和家庭路由器等。以2016年的Mirai僵尸網絡為例，攻擊者利用消費者很少更改IP攝像機和家庭路由器上的默認密碼的習慣，發動了一次拒絕服務攻擊，破壞了大量互聯網設備。

措施

安全專家應該集中精力了解網絡中已經存在的未經授權的物聯網設備，將物聯網設備放在單獨的網絡上，限制從外部網絡訪問物聯網設備，更改默認憑據，設置強密碼，以及應用定期的安全和固件更新。

5. 安全性得不到重視

安全團隊通常在以下幾個方面遇到問題：

• 資金：公司自然希望降低運營成本，提高利潤，創造新的收入來源，在注重創新并提高客戶滿意度的領域進行投資。安全常常被視為一項無法收到回報的開支，因此安全預算無法支持企業與威脅狀況對抗。
• 高管支持：公司的最高級別領導人，可能無法完全理解安全威脅的嚴重性。一些公司的董事會中可能會有精通安全的高管，但大多數公司是沒有的，所以企業的安全性一直得不到重視。
• 業務部門合作：工作中業務部門所需要的通常會和安全性相互沖突，他們會對安全性的建設視為阻礙因素。這可能導致有些時候各部門會繞過IT部門自行操作，這當然也會造成其他的安全問題。
• 員工的抵制：員工經常會將可保障安全性的操作(例如頻繁的密碼重置，兩因素身份驗證或其他標準安全性做法)視為麻煩的工作，并可能會忽略安全性的維護。

措施

安全專業人員應齊心協力，深入業務部門的各個角落，架起橋梁，建立學科的團隊協作，并傳達出以下信息：安全是每個人的責任，應該嵌入到每個業務流程中。

6. 壓力，焦慮和倦怠

安全人員的工作并沒有想象中的那么簡單，回顧上述的所有問題，你會覺得亞歷山大。根據Ponemon研究所的說法，有65%的SOC專業人員表示感覺壓力太大，可能會考慮換一份工作。

在Nominet調查中，有91%的CISO表示他們承受的壓力較大，另有60%的CISO表示很少休息。更令人不安的是，接受調查的四分之一的CISO認為這份工作對他們的心理、身體健康以及個人和家庭關系有影響。

高倦怠率會導致高離職率，從而加劇行業人才和技能的流失，這是個惡性循環，會使得安全專業人員的生活更加艱難。

措施

這個問題沒有那么好解決。安全從業人員需要敞開心扉，經常與同事或家人聊聊，從而減輕自己的壓力，并要好好的改善和調整目前工作與生活的平衡。