要揪出公司内部不可靠的安全员工,以免网络沦为他们的人质——有时候这并非危言耸听。
贵公司的安全员工值得信赖吗?胜任工作吗?见多识广吗?让安全专业人士讲讲这方面的可怕故事,你可能会改变想法。
Kevin McDonald向我们讲述了这样一则可怕故事,他是托管服务提供商Alvaka Networks公司的执行副总裁,也是美国电子协会(American Electronics Association)全国理事会成员,还出过网络安全方面的几本著作。
他公司有个客户是一家建筑公司,对方的一名高级IT员工还兼任安全这块。不晓得这名安全主管到底用了什么办法,居然说服了公司老板,以为把该公司的雇员数据库放在他家(他家已经铺好了光纤线路)来得比较省钱,而不是把这些数据库保存在异地。
你一眼就能预见这一幕:雇员与雇主后来起了冲突。你还没来得及说出“内部威胁”,那名安全主管就向这家建筑公司的好多客户发去了威胁性的电子邮件,告诉对方他掌握了他们的私密信息。
此举“基本上让这个家伙丢了饭碗,”McDonald说,并导致这家建筑公司的合同减少了大约70%。考虑到这名为非作歹的雇员原先是获得授权的用户,公司在几个月后关闭了他的帐户。只是这名雇员在网上公开扬言要非法利用数据后,洛杉矶的联邦调查局特工才闯入了他的家――这个家伙之前已经建好了网站,还订好了对前雇主实施破坏的计划。
这一幕糟糕透顶的安全场景是招聘不可靠的员工所造成的。遗憾的是,安全行当不缺少笨蛋、庸才或者无知家伙的身影。的确,安全专业人士不太可能像其他人(比如程序设计员)那样按照工作业绩来加以评价。摆在他们面前的绊脚石可能包括:办公室政治、运气不好、误入歧途的高层主管、失去控制的顾问、缺乏沟通、与公司其他部门孤立起来、上司盲目信任安全证书;或者尽管确保了安全工作正常,却很难得到相应奖励。
而这只是一方面,而不是全部。
但要振作起来。即使安全部门出现了“烂苹果”,出色的公司也能经受得住考验。下面简要介绍了几类常见的不可靠的安全员工,以及如何不让他们得逞的方法。
在美国企业界的某个角落,眼下肯定会有安全员工在诅咒高层主管把简直如同垃圾的捆绑软件强加给自己。先说一说具体过程吧:各大安全厂商(无论是赛门铁克、趋势科技、迈克菲还是冠群)的销售人员上门向高层主管提议:对整个公司而言,他们提供的安全软件包将集桌面反病毒、电子邮件安全、入侵检测及Web过滤等功能于一体,而每个用户只要付38美元。
这种情况有什么不对劲的地方吗?一家不愿透露名称的安全软件厂商的主管说:“眼下,安全基础架构的这些关键部分已经成为商品化。问题在于,高层主管觉得,安全就是一种普通商品。这个安全产品与另一个安全产品一样,没啥区别。”
这倒不是说那些厂商不优秀,而是说它们并非样样精通。比方说,赛门铁克的反病毒产品颇负盛名;可是有些安全专业人士就认为它的反垃圾邮件功能不如同类中最佳的产品来得出色。
现在人们仍能感受得到一家安全厂商向美国国防部成功推销所带来的影响。那家不愿透露名称的厂商称:“那家安全厂商拿到了国防部的合同。随后,我们开始听到安装了该产品的国防部下属各部门抱怨‘哦,上帝!这个产品太差劲了;我们没法使用。’”
高层主管购买了安全软件包的公司确实省下了钱,而且省了不少钱。遗憾的是,它们拿到手的常常是“实际上达不到标准的安全产品;有时候这么做很危险,”那家厂商如是说。
但是如何让对安全软件包动了心的高层主管明白这一点呢?那就是趁钱还没有从高层主管的手里出去,让安全人员参与到决策过程。
这方面Bob Maley就很幸运――他公司在Maley进入之前就解决了问题。他在2005年年底担任宾夕法尼亚州首席信息安全官这个职位之前,宾州就已经开发了一套企业架构流程,这套流程仿照了美国全国州首席信息官协会(NASCIO)的流程。如今这套流程运行已有四年多了,其中一部分就是一套明确的安全产品选择标准。
正如Maley所说的那样,州政府的其他一些部门可能拥有没有限制的资源去购买安全工具,而他部门不是这样。于是,他和所在部门学会了与同行积极合作――不仅仅通过NASCIO来合作,还通过州际信息共享和分析中心(MS-ISAC)来合作。
按照MS-ISAC(该中心通过美国国土安全部来运作)的规定,所有50个州都共享最佳实践。另外,这家组织最近还免费搭上了联邦政府的“聪明选购”(SmartBUY)采购计划;这项计划旨在运用联邦政府的强大购买力,通过综合采购来节省资金。
这个案例中适合于政府这个部门的方法同样于适合其他部门:与同行联络,了解一下对方使用及信任哪些安全工具,然后弄清楚避免购买哪些毫无价值的东西。
不过要是根本没法躲避购买安全软件包的高层主管,惟一的办法就是在早期阶段进行干预。这时候沟通是关键,但不是这样的沟通方式:安全员工说“我们必须使用某某产品,因为我之前说过这样。”确切地说,安全员工要把只有技术圈子听得懂的话转变成业务圈子也听得懂的话。
Alvaka Networks公司的McDonald忠告:“我建议,安全员工让用户接受自己的意见要人性化。共进午餐,向公司内部的同事学习。让普通员工和管理人员都参与进来,让他们明白为什么要选择你坚持选购的产品。”
McDonald表示,这可以帮助安全专业人士消除“你完全是绊脚石”这个障碍。他说:“你应该这样问雇员和管理人员‘好了,我已买好了上头要我去买的这些产品――比如用来保护PCI信息的安全、保护整个组织的资产,还做了政府要求的其他工作。如果你处在我这个位置,会怎么做?’”
这不是什么正规培训;实际上是大家碰个头,弄清楚如何处理手头的安全任务。
另外,安全行业也在忍受“纸老虎”之痛。那家不愿透露姓名的安全厂商称:“我们聘来的一些人拥有高学位,却完全如同白痴。虽然他们拥有学位和证书,却连组建网络都不会。他们懂得歌词,却不懂得怎么唱歌。”
Maley认同这一观点,他说:“这么多年来,许多人在到处混证书。他们可能拥有五六个头衔……坦率地说,证书行业有不少考试题库网站。一些人还没有什么实际经验,就拿到了证书。”
Maley表示,据他所知,招聘经理们看到那些头衔后觉得眼前一亮,对全面的审查工作也就随它去算了。他说,为了避免招进来的是纸老虎,雇主一定要查看简历,然后回过头去把工作经验与所持证书作一比对。
话虽如此,Maley还是愿意招聘认证信息系统安全专家(CISSP)、认证信息系统审计师(CISA)或者认证信息安全管理员(CISM)――也就是说,前提是他有钱请得起他们。
Maley说:“我好希望说自己在招聘CISSP,但我付不起足够高的薪水给这些人。”至于CISA或者CISM,Maley表示,CISSP通常持有这些证书,这表明了他所说的固有工作经验,即CISSP原本就具有他们的工作经验。他说:“除非对方拥有工作经验,否则还是别招为好。”
Maley提到请不起CISSP时表示,没钱去请条件合格的安全员工向来是自己为州政府负责网络安全工作面临的“最大的挑战之一”。实际上,Maley估计公共部门与私营部门付给安全员工的薪水相差20%到100%之间。
Maley说:“我手下有一名员工后来跑到了私营部门,薪水就翻了一番。如果让我来招安全专家,即便给了对方最高级别的薪水待遇,还是无法接近他们在私营部门所拿的薪水。”Maley也没有想到招进来的员工会长期留在自己身边。
为了避免身边的是没有经验的安全员工,他采取的对策就是招聘“没见过多大世面的人”――他们有时刚从大学毕业,不过又很有潜力。
吸引这些员工的地方在于有机会在大企业环境工作;在这种环境中,安全员工有机会发现露出苗头的网络攻击。举例说,在过去的六个月里,Maley领导的安全团队就发现了“风暴”(Storm)特洛伊木马的三个变种,而其他地方没有发现这三个变种。考虑到赛门铁克公司在4月8日发布的那份安全威胁报告,这不足为怪。该报告提到,针对可能受到最终用户信任的网站(比如社交网络网站或者政府网站)的攻击出现了变化。
Maley说:“我手下的团队有机会与这种木马作斗争,加以分析,而且在与坏人的较量中处在领先位置。”他表示,新进员工获得了重大、“激动人心”的项目方面的实际经验,其中有个项目涉及渗透测试,这种测试采用Core Security公司的技术,实现了局部自动化,应对病毒爆发带来的重复干扰。
Maley还指导招来的新手如何丰富履历。他知道,他们终究会离开公司;但如果他们在职期间能够丰富履历、能够快乐地学习,那么他们呆在公司的时间就会长得多――任何缺少收入的公司都可以充分运用这个方法。
面对技能有限的安全员工时,你一定要对他搞破坏的本事有所约制。这种方法被一些人称为“对他加以限制”,不过有一种更恰当的办法来对待这样的安全员工。一家知名安全公司的安全工程师Anthony Scalzitti表示,那就针对不大重要的系统为他们分配任务,比如调查可疑的日志活动或者入侵检测系统(IDS)报告,从而限制可能会犯的错误。
另一种合适的安全角色不会让技能有限的员工陷入麻烦,那就是让他们出席其他业务小组参加的会议,确保安全部门知道哪些项目即将动工。派安全代表参与小组会议还有助于提醒同事们在设计阶段就要考虑到安全特性,而不是设计及开发完成后才把安全特性硬塞进去。
Scalzitti说:“派新来不久或者比较年轻的安全员工担任这个代表。就算他们没有太大的贡献,如果他们参加会议,别人会说‘哦,我们这里有安全人员。’他们觉得有义务考虑安全性。这个人可能没有太大的贡献,但安全小组中经验比较丰富的成员会告诉他下一步该怎么说。”
实际上,许多公司在为把安全作为一个质量要素集成到应用程序开发当中而努力,安全与项目进度、抗故障性、可扩展性以及满足业务要求的需要等方面一样重要。因而,公司有一名资历较深的安全员工不但有助于对安全新手进行教育、让他远离麻烦,还有助于让其他部门听到安全部门的心声。
Scalzitti说:“这些是重要的角色,那样即使出现了错误,一般也不至于影响公司业务。”
自命不凡的安全员工恰好与傻乎乎的安全员工形成了鲜明对照,不过与他们打交道同样不轻松。这些员工觉得花时间去处理某些小儿科任务是大材小用,比如审查日志或者活动警报、进行简单的配置审查,或者与其他业务小组开会。
对待这类自命不凡的员工时,Scalzitti派他们去研究媒体上曝光的安全事件,并且收得了成效。他表示,目的在于让这些安全精英明白这个道理:实际上80%的事件归咎于针对容易下手的目标的简单攻击。
他说:“在信息安全领域,企图攻击的黑客有好多机会来选择一家公司作为下手。除非他们对某一家公司怀恨在心,否则会把目光瞄准容易下手的目标,不是特别针对哪一家公司。说服自命不凡的员工去研究容易下手的目标,这可能得花一点时间,不过他们会逐步对攻击是如何发生的有一个基本认识。”
通过种种办法来对待安全部门里面的“烂苹果”是好事,不过预防远胜于治疗。许多公司对新来员工制订有90天试用期政策。一旦过了试用期,大多数州规定:如果没有正当理由,雇主就不得随便解雇员工。从中得到的教训是:在头90天内要牢牢盯着新来的安全雇员,以免被不够格的安全员工所牵累。
未经允许不得转载:DOIT » 揪出内鬼 公司不要沦为信息人质
数联安全,专家谈自动驾驶安全发展关键
精确人员定位,四相科技为煤矿生产构筑安全防线
“AI安全可信技术”全球专利榜单出炉:蚂蚁集团第一腾讯第二