我们需要在为时已晚之前停止对安全的非人化

我们需要在为时已晚之前停止对安全的非人化

如果你是保安,你如何描述你的工作?如果你不是保安,你怎么形容保安?

安全感似乎是靠稳定的消极情绪来维持的。充斥着失败的消息,再加上越来越大的执行压力- 完美无瑕 — 通常会创建一个以混乱为食的操作环境。我们被安全感所吸引,似乎甘于感觉不好。

最近,我在与Awake Security联合创始人加里•戈洛姆(Gary Golomb)交谈时,就想起了这一点。加里在威胁分析方面有近20年的经验,并领导了一些著名案件的调查和遏制工作。如果你追溯到很久以前,他是一个研究龙NIDS/HIDS的人,在此之前他在美国海军陆战队第二部队侦察连服役。

加里说,当他要求人们描述他们的工作时,得到的答案是悲伤的。人们感到不知所措,不被赏识,注定要失败。这是一种可怕的工作方式。加里说我们需要采取不同的方法。

这是他的安全镜头:

也许这只是怀旧,但当我想起我早期作为一个安全分析师在2000年前后的日子,我想起令人兴奋和有趣的工作。然后,分析人员需要非常批判性的思考,因为在我们今天大致协调的情报共享之前,许多攻击性的工具和程序在当时都没有很好的记录。大多数分析师也致力于解决有趣的问题(只有少数原始的解决方案),这本身就迫使你掌握发现威胁的技巧,并完善关键的狩猎技能。

在过去的几年里,我花了很多时间与全球各地的安全分析师交谈,同样的参与感和动力在今天肯定是缺失的。当我要求分析师描述他们的工作时,我经常听到“乏味”和“士气低落”这样的词——这与我玫瑰色的记忆相去甚远。在每一个数千(或数百万)的警报结束时,分析员负责决定是否从网络中拉出一台计算机。如果做出了错误的决定,不是警报工具,而是分析师身上留下了“中断业务”的伤疤。不出所料,这会抑制分析师对更“错误”的威胁做出反应,同时直接和间接地增加沮丧感和倦怠感。

如今的安全工具主要关注于识别模式,而不是增强分析师的能力。这就创建了一个环境,它尽可能优先地传递与机器相关的数据。然而,关于这些数据,与人类有关的信息很少。取而代之的是,分析员现在把大部分时间花在与机器相关的数据链接上,通常需要多达30多个工具来完成,这使得他们的决策过程更容易出错。

这不仅妨碍了分析师,也妨碍了他们提高许多真正重要的技能,当然,这会降低他们的士气。它还排除了高价值的安全任务,如主动搜索- 这并不是因为组织没有像许多人所说的那样的技能,而是因为他们使用的工具阻止了这些功能。在企业里打猎并不是什么新鲜事;实现它的困难是。

我们面对的是富有创意的攻击者。虽然它也能赚钱,但别搞错了- 黑客很有趣。这是解谜和创造性思维- 同样的事情帮助我爱上了安全分析。不幸的是,今天,企业防御前线的分析师们正在使用各种工具,将他们从安全技术专家转变为执行死记硬背、重复性任务的工蜂。

在其核心,安全始终平衡于人的创造力:人胜于人,我们把分析师的工作变成了重复的单调乏味,让他们失望。即使有了自动化,我们也只是在消除最后一英里。解决方案是,作为一个行业,我们提供的工具不仅侧重于计算算法,而且还侧重于认知属性和程序知识,使老手和新手都能最自信地决定是否中断业务流程,并对流程有更多的了解。

加里让人们描述他们的角色给我留下了深刻的印象。我们知道安全的重点是负面的——如果只是为了防止“坏事”发生的话。我曾公开感叹安全与人之间的脱节。我没有考虑过安全进步和新解决方案的作用,也没有考虑到我们与这一进程的脱节。直言不讳就是将价值转化为与人建立联系。我的工作集中在人的重要性,提升他们,以及庆祝我们的能力。我喜欢科技把人放在第一位的承诺。它创造了一个机会,让我们每个人都能创造非凡的价值。我想多看看。

你怎么认为?我们目前的解决方案是否将人的因素排除在安全之外,特别是在SOC中?这是好事还是坏事?改变太迟了,还是现在我们该做我们需要的改变了?

把它带到我们的Facebook页面,在Twitter(@catalyst)上和我联系。

你怎么认为?准备,准备,反应!