为何我们总在让错误的人来拯救我们
图片来源:DedovStock / Shutterstock
网络安全领域有句被奉为圭臬的话:"员工是最后一道防线。"围绕这句话,我们已经建立了一个完整的产业——数十亿美元投入在安全意识培训、强制模拟演练以及覆盖终端、应用和协作工具的用户报告流程上。这一切都基于一个听起来合理的前提,直到你仔细审视我们实际在要求什么。
我们实际在要求的是:让市场协调员、应付账款文员和销售代表去发现那些精密安全工具和专业安全人员都未能察觉的威胁。这不是安全策略,这是在让农民去对抗雇佣兵。
我们避而不谈的防御层级
让我们看看典型组织中的实际防御能力:
- 安全团队拥有多年专业训练,掌握SIEM平台、威胁情报源和取证工具,防御是他们的全职工作
- CISO具备数十年经验,拥有组织战略视野和架构决策权,防御是他们的职业身份
- 普通员工只有年度短期培训模块、报告流程,以及从本职工作中挤出的有限注意力
我们却投入数十亿美元,指望第三类人在前两类人失败的地方取得成功。
证据已经显现
这不是理论抱怨——真实SOC运作研究证实了这点。牛津大学基于对SOC从业者的调查访谈发现,他们"确认了使用工具的高误报率",且许多"误报"实际是仍需人工验证的良性触发。这不是员工的失败,而是员工完全按照培训要求行事——而培训产生的只是数量而非清晰度。
用户报告系统已成为噪音放大器。我们鼓励员工标记任何异常:非常规访问提示、意外系统消息、自动化流程、新集成、时效性请求。这些信号曾代表风险,如今却常反映现代自动化业务的真实运作方式。我们教员工警惕的线索,正日益成为日常工作。
与此同时,SOC团队不堪重负。不仅是任务队列——更是人力成本。ISACA 2024年研究发现,66%网络安全专业人员认为工作压力较五年前更大,原因包括更复杂的威胁形势和资源限制。而我们的对策却是:让会计人员来拯救我们。
真正关键的人的因素
行业需要听取这个反直觉观点:真正重要的"人的因素"不是普通员工,而是你的安全团队。
当我们讨论安全中的人为因素时,应该关注的是事件响应中每天只睡4小时的CISO、在数千信号中模式匹配的分析师、发现认证日志细微异常的情报猎手、在漏洞形成前就察觉结构弱点的架构师。这些才是精英防御者——你安全态势中真正的人类智慧。
如果他们疲于应付误报分类、用户提交报告、操作升级和清空队列的压力,那么再多终端用户培训也无法弥补这个缺口。你不能通过给农民发步枪来弥补特种部队的不足。
令人不安的数学
让我们看看多数组织的真实情况:
安全团队每天收到数百警报,许多来自自动控制、用户报告流程和为保险起见设计的预防性检测。相当比例需要调查——不查看就无法确认无害。每项调查耗时15-20分钟,数学计算很快耗尽分析师全部产能。
当误报量达到处理极限,战略性威胁狩猎就降为零。再没时间进行跨信号模式识别、威胁情报关联或发现复杂攻击所需的细致分析。高级攻击不会自我宣告——它们混在队列中,看起来与其他无异。检测变成随机事件——靠运气而非设计。
这才是真正人类防御层面临的危机。而我们却在要求一线员工识别已通过多层自动控制的系统和流程中的微妙异常。
这意味着什么
我并非认为基础安全卫生毫无价值。员工应当遵循合理实践,避免明显风险行为。基本纪律很重要。
但我们将意识培训从"基础卫生"拔高到"战略防御",这种拔高是危险的。它制造了虚假的安全感,使组织得以在真正防御能力上投资不足,只因它们已"解决了人的因素"。
真正需要解决的"人的因素"是你安全团队的产能——他们的工具、流程,以及开展战略性工作而非淹没于噪音的能力。就连监管机构和标准组织也隐晦承认同一瓶颈:监控实施必须最小化误报和漏报——因为人工审查能力是有限的。
值得提出的问题
每位CISO都应自问:我的安全团队有多少产能消耗在实际上不降低风险的工作上?
如果答案是"大部分"——如果你的分析师整天处理预防性警报、审查良性活动、响应由不确定性而非真实威胁驱动的内部升级——那么你就存在人的因素问题。
但解决方案不是对终端用户进行更多培训,而是恢复那些真正受过专业防御训练者的产能。农民有田要种,让他们务农吧。问题在于,你的雇佣兵是否有战斗的空间?
参考来源:
The farmers and the mercenaries: Rethinking the ‘human layer’ in security
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)
