安全事件频发，是黑客太强还是防御太佛系？

12月8日4iQ的创始人兼首席技术官Julio Casal爆料，在地下黑客论坛上有一个14亿登录凭证的数据泄露。另一边，今年二月份，最大的暗网托管服务网站Freedom Hosting II上，一个匿名的黑客由于看不惯其为儿童色情网站提供托管服务，而黑入了Freedom Hosting II导致其所有托管网站下线……

随着互联网技术的发展，继今年全球大规模地出现Wannacry勒索病毒、Locky勒索病毒之后，网络安全事件再次频发，并不断升级。对企业来说，我们要重新思考，安全事件频发到底是黑客太强，还是防御太佛系？本文试图从安全防御和人才建设方面跟大家说道一下。

深挖网络安全事件根源

企业战略集团(ESG)和信息系统安全协会(ISSA)的一项新研究发现，培训缺乏、网络安全人手不足，以及公司的漠视，是导致安全事件的主要原因。最近，ESG与ISSA协作发布了一份题为《网络安全人员的生活与时代》的新研究报告。

该项研究表明，网络安全技能缺乏所能导致的后果，远不止“网络安全职位数超过具有合适技能和背景的人群数量”这一条明显结论。作为该研究项目的一部分，ESG和ISSA想要弄清楚：网络安全人才短缺，究竟是不是各企业连续遭遇安全事件的贡献因素。

为此，343位网络安全从业者（大部分是ISSA成员），被问及自家公司在过去2年中是否经历过安全事件，比如：系统破坏、恶意软件感染、DDoS攻击、正对性攻击、数据泄露等等。超过半数(53%)的受访者承认，他们的公司自2015年来经历了至少1起安全事件。值得注意的是，有34%的受访者回答称“不知道/不想说”，于是，实际经历了安全事件的公司占比，可能会比明确承认的比例高得多。

网络安全事件的四种主要因素

承认经历过安全事件的受访者，随后被问及事件的贡献因素。数据显示：

哪些问题是安全事件的主因？

31%提到非技术员工的培训缺失：

这表明，雇员可能会打开恶意附件、点击恶意链接、踩中社会工程骗局陷阱，导致系统破坏和数据泄露。很明显，公司并未设置专人或拨出专款来进行丰富的网络安全培训，于是尝到了偷懒吝啬的苦果。

22%称网络安全团队相对于公司规模还不够壮大：

已有文章指出，网络安全人才短缺的影响，就包括员工工作量的激增，以及牺牲了计划和策略的短视性应急响应。这次的数据则还暴露出，人才短缺直接导致了更多的安全事件，造成业务中断、公关危机和数据泄露。

20%认为业务和行政管理倾向于将网络安全当做低优先级任务：

ESG/ISSA研究中贯穿始终的一个话题，是在网络安全方面缺乏恰当的业务监管。公司管理层忽视了他们身上被赋予的网络安全责任。根据本次调查研究的数据，2018年下半年，GDPR开始实施后，预计可以看到几起巨额罚款案。

18%称现有网络安全团队跟不上工作量的暴涨：

工作量太大，而员工数太少。

数据泄露检测、主动威胁捕猎和事件响应，都是人员密集型过程，且依赖的是具备先进技术的人员。于是，网络安全人才短缺会造成深远影响的假设，就很合乎逻辑了。ESG/ISSA研究证明，其间关联度很高，可以说，网络安全职位空缺很多的公司企业，可以预期其网络将遭遇大量恶意攻击。

网络安全意识逐步提升

全面组建网络安全防护体系

从调查结果看到，全球的网络安全意识普遍不足。但可喜的是，这种状态在不断改善。

国内政府和企业也在逐步加强重视。如6月1日正式颁布了《网络安全法》，刚结束不久的十九大中，习近平同志也提出了建设网络强国的战略部署。新《网络安全法》中第二十条明确提出“国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流。” 国家这一举措会推动大家网络安全意识日渐提升，促进网络安全防御整体水平不断提高。

近一年来，国内的安全资讯和各大SRC异军突起，导致信息源杂而繁多，不过也呈现出一种好的态势，国内企业对于信息安全加大重视，已经开始建设属于自身的应急响应中心，如招商银行早已建立自己的SOC安全运维团队和应急响应中心。华青融天用户民生银行、中信银行等也建立了自己的一套安全防护体系，对于安全事件积极地应对。每个安全资讯平台也都呈现共享免费，提供的信息即时性强、响应快、内容新。

企业网络安全如何构建？

企业可建设多支队伍来进行企业安全的全面防护，如下图中的红、蓝、紫三队。红队代表企业内部安全人员；蓝队代表企业外部安全人员，如白帽子群体等；紫队代表企业外部技术顾问和辅助人员。这样，当企业内部应对不来，或者遇到比较复杂棘手的安全问题时，可以同时借助外部的安全力量，双管齐下，全面防护。

Red Teaming-企业内部安全人员（大量“运维”人员）

华青融天在SOC安全运营人才团队建设有自己的一套心得，如定期在企业内部进行安全沙龙的讨论，另一方面我们根据企业情况进行人员编制和分配，建立一线、二线、三线监控组合。一线安全人员进行7*24小时实时监控及事件处理；二线为5*8小时监控以及安全事件规则的定制；三线后台人员则为重大安全应急事件进行决策。建立一套从一线实时监控，到事件实时处理等系统性的事件处理流程，从而进行全面安全防护。

Blue Teaming-企业外部安全人员（白帽子群体）

对于白帽子自身而言，一方面是为了技术的提升，另一方面公布漏洞能得到相应的报酬。他们会识别计算机系统或网络系统中的安全漏洞，并进行公布。比如微软就充分利用了白帽子这批外部资源，筑建了自身的安全防护墙。

Purpel Teaming-企业外部技术顾问人员

Gartner数据报告显示，前十大安全领域收入排行中，资讯公司位居三位，数据说明各企业在安全方面需求和意识都在不断提升。企业在外部咨询过程中，可借力提升自己的安全防护水平。

企业网络安全人员如何进行有针对性地提升和学习

网络安全人员的知识面，决定能看到的攻击面。知识链，决定能看到的攻击杀伤链有多深。所以对每个企业网络安全人员来说，拥有快速的学习能力是一种必备的技能，不但不能有短板，而且还要组建和提高自己大量的标准板和长板。

网络安全人员要熟悉《网络安全法》等相关法律和政策，与时代接轨，在平时工作中不断总结积累经验，多向技术大牛学习和请教，自己也在工作之余学习相关知识，全面系统的学习，形成自己的一套网络安全管理和防御策略体系。