本文来自微信公众号“GoUpSec”。
网络安全行业正经历一场史无前例的寒冬,业务塌方、裁员降薪只是表象,其根本原因是企业用户的安全投入并未收到预期的效果,数据泄漏事件每年都在快速增长。
网络安全公司Teleport的首席执行官Ev Kontsevoy最近撰文指出,网络安全行业集体偏离了安全的本质,陷入了一场漏洞(发现)游戏,一场劳命伤财的技术表演竞赛。内容由GoUpSec编译整理如下:
安全技术营造的安全假象
在现代网络安全领域,许多人都相信“发现的漏洞越多,安全就越有保障”。理论上,技术堆栈中加入更多工具似乎能更有效地监控攻击面。然而,现实情况却让这种假设站不住脚。
事实上,“工具泛滥”并没有带来真正的安全保障,反而让安全团队陷入了处理海量误报的泥沼。尽管观测解决方案愈发先进,能够标记更多潜在威胁,但当威胁的危险等级无法清晰区分时,这种安全感也只是“表面功夫”。
回顾2024年的几次重大数据泄露事件——Ticketmaster、Snowflake、伦敦交通局以及国家公共数据泄露事件(涉及29亿人的个人信息),数据泄露受害者数量超过10亿人,同比激增409%。虽然安全通知铺天盖地,却未能阻止攻击面在过去两年内扩大近80%。
另一个普遍误区是,企业一旦投资某种网络安全解决方案,便可高枕无忧。然而,工具是否真正被员工使用?数据显示,仅23%的IT专业人士表示对团队工具的使用情况有足够的可见性。在工程领域尤其如此,许多开发者为了图方便,绕过IT部门采购的访问管理工具,转而依赖私人代理、跳转主机或堡垒机等自制“解决方案”。
这些未经监控的“影子访问”路径,往往成为绕过官方工具通往关键系统的隐形后门。它们在表面上未见异常,但一旦发生泄露,往往难以弥补。
重视“人的因素”才能打造真正的安全屏障
安全团队想要有所作为,他们就不能只玩“发现软件漏洞”的游戏。软件漏洞仍然只占漏洞的一小部分。
当我们去看医生时,期待的是他们治愈疾病,而不仅仅是缓解症状。然而,当前的“告警疲劳时代”却让安全团队像一个只开止痛药的医生,治标不治本。数据显示,73%的安全专业人士因为时间限制而未能处理高优先级的安全警报。面对成千上万条警报,真正的威胁就像大海捞针。
解决问题的关键是缩小攻击面,而这首先要从减少人为错误入手。微软数据显示,2024财年记录的6亿次身份攻击中,99%是密码攻击。这一数字背后,是攻击者通过钓鱼邮件、生成式AI等手段愚弄人类(获取密码、浏览器Cookie、API密钥等信息),而不是依赖复杂的漏洞攻击。
对此,安全团队需要的不仅是监控行为异常,而是彻底改变基础设施,让人为错误变得无足轻重。例如,可以通过用户的生物特征、设备硬件身份与PIN码组合建立身份验证机制。这种方式的成功已经在智能手机领域得到验证——如今几乎很少听说过iPhone被破解。
抛开假象,正视根源
网络安全不应沦为一场“漏洞游戏”。处理海量通知而无实际成效只会加剧团队的压力,只有消除静态凭据和持久特权,才能从根本上改变安全态势。下一次,当你面对成千上万的安全警报时,请记住:这些数字并没有你想象中重要。
安全的未来,不在于制造更多的警报,而在于清晰明确地解决威胁的根源。是时候摒弃表面的安全假象,构建真正稳固的安全堡垒了。
参考链接:
https://cyberscoop.com/security-theater-cybersecurity-tooling-ev-kontsevoy-op-ed/
