本帖最后由 网络推广软件 于 2016-7-27 13:24 编辑
7月25日消息,安全漏洞攻击和信息安全问题每天都会出现在新闻上,然而比这些攻击本身更让人担心的是,专家们表示,网络安全行业根本没有足够的人才来应对这些攻击。
一份来自网络巨头思科公司的报告显示,全球网络安全行业人才缺口达到100万。而国际信息系统审计协会(ISACA,Information SystemsAudit and Control Association)2015年发布的报告也显示,其86%的会员认为网络安全行业人手不足,只有38%的会员认为自己已经准备好了应对复杂的网络攻击。
ISACA的网络安全咨询委员会主席,兼安全公司White Ops首席执行官EddieSchwartz表示:“我认为人才短缺问题是非常致命的,可以说过去几年我们在信息安全领域节节败退的主要原因之一就是没有足够的人才来应对攻击。”
Schwartz表示,当下网络安全人才紧缺的状况从新世纪之初就存在。学校和各个行业在信息安全方面对人们的训练主要是安装防火墙、杀毒软件,给系统打补丁。但真正懂得高级安全技术的人少之又少。Schwartz说道:“绝大多数防火墙是不足以低档复杂技术攻击的。”
另一种急缺的人才是被称为“白帽子”的技术人员。他们懂得黑客技术,像真正的黑客一样,他们利用这些技术来尝试渗透系统,但不同的是,他们找到漏洞后会报告给公司并着手修复,而不是用于破坏或其它恶意目的。但遗憾的是,安全公司Coalfire副总裁Mike
Weber说道:“白帽子不是从学校里走出来的,没有哪个学校的项目能够训练这样的人才。”
要想成为一名合格的网络安全人员,一项不得不面对的挑战是,你不能从学校出来直接进入安全岗位。每名毕业生都需要在科技行业摸爬滚打几年,获取相关经验。只有这样,你才知道工程师们可能会在哪些方面“抄近路”来让服务器尽快上线或在截止日期前发布应用程序。
Weber谈到:“找到安全漏洞的办法就是去经历,然后看看你自己会在什么地方犯错误,别人也很可能会在同样的地方犯错。这其实是一种逆向工程,而要成功地逆向工程一样东西,你首先要懂得正向工程。”
为了填补安全专家的短缺,许多行业组织和大学都开始提供白帽子黑客技术的相关课程。被称为美国最古老私立军校的佛蒙特州的诺威奇大学(Norwich
University)就向研究生提供带证书的网络安全课程,主要涉及攻击取证和系统弱点管理。
RosemariePelletier是诺威奇大学信息安全保障系主任,他说道:“诺威奇大学的渗透测试实验室就是在多年前应许多大公司的要求建立的。这样我们就可以在自己的校园里教授学生们渗透技术了。”该项目的学生中,大多数是想要打磨自己的技巧的网络安全员和从军队转业到民企的人。绝大多数从该转业毕业的学生都找到了不错的工作。Pelletier表示:“那些实力过硬的尖子生在毕业后三秒钟内就被抢走了。”
Offensive Security公司则走了一条实践为先的道路,他们开发的Kali
Linux系统用于手把手教授人们白帽子黑客技术。公司提供训练的同时,也向通过测试的学员提供证书。他们的测试是实践操作项目,而不是考试。
公司董事长JimO’Gorman表示:“我们初级学员的测试是一场24小时的考试。你连接到一个具有数台计算机的网络,我们设置了几个任务供你完成。你需要写一个文档解释自己的结果,随后我们会根据事先制定好的评分标准判断你是否通过了测试。”网络安全已然成为一种心病 网络安全没有人才怎样可持续发展下去呢?
然而,即便现在有了网络安全专业毕业的硕士研究生,整个行业的人才短缺状况依然没有好转。在这状况得到好转之前,许多公司仍不得不把安全保障的任务外包给技术咨询人员,或者把整个数字系统交给云服务商。亚马逊、谷歌、苹果和IBM这些巨头都有自己的网络安全团队,而他们可以向小公司们提供相关支持,许多小公司其实只是偶尔需要安全专家,但需要的时候却没有的话是非常危险。
人才紧缺导致已经建立的网络安全公司很难扩大规模,而需要保障网络安全的中小型公司更是无奈,就像Schwartz说的:“如果你是中小型公司,那么你现在不可能建立自己的安全团队,你的唯一出路就是外包。”
近年来,随着技术和消费者需求的不断升级,网络攻击也愈加泛滥。对于当前的金融行业来讲,网络威胁和数据安全系统的维护是其面临的非常重要的一项挑战。
据统计,全球每年互联网犯罪的成本约为1000亿美元。到2019年,网络犯罪造成的损失将达到2.1万亿美元。尤其是金融市场,已经成为网络犯罪分子的重点攻击对象。今年上半年,孟加拉国央行以及欧洲、越南等多家银行的SWIFT系统遭到不明身份的黑客入侵,被盗取近数亿美元。据IBM和Ponemon Institute预估,到2017年,全球网络安全市场的投入将达到1201亿美元。
区块链技术凭借其去中心化、公开、方便快捷、集体维护和监督的特征在近几年受到了金融市场的高度关注。网络安全行业一直在研究这种技术是否可以帮助企业摆脱困境,提高其运维弹性(operational resilience:网络在遇到灾难事件时快速恢复和继续运行的能力)。
从理论上来讲,在区块链的操作系统中,如果确认一个网络攻击的发生点,每个参与者的轨迹都是可以被追溯到的。但是,为什么现在没有快速大力的推行区块链的技术呢?因为这是一件很困难的事情,需要做好足够充分的准备工作。正如区块链企业Digital Asset Holdings首席执行官、摩根大通前大宗商品主管Blythe Masters所说:“各大金融机构的遗留系统每天处理着数万亿美元的交易,如果急于推行,一旦发生问题,将面临灾难性的损失。”
所以,与其寄希望于区块链,企业当下更应该着重进行以下工作:
加强行业合作
企业之间、企业和监管机构之间的合作是至关重要的。通过彼此的信息共享,可以在较低成本的前提下实现最新信息和安全操作方式的获取。
注重准备和预防工作
通过操作管理、风险和合规性管理,以及内部审计等预防工作,增加“操作性肌肉记忆”。同时,加强相关数据的收集和整理工作,包括离散成本和记录数据流等。随着时间的推移,这些评估和规划工作将发展成为一个周期性的、弹性制的检验程序标准。