从IT安全工作中被解雇是罕见的事件,但肯定有方法确保或加速你自己的失业。我这里说的不是一些常见的错误。毕竟,大多数IT工作者每天都会犯很多小错误。这就是复杂而有回报的工作的本质。
但这也是它不能在计算机安全方面做得更好的一个很大的原因。随着系统变得越来越复杂,公司对越来越敏感的私人信息负有更大的责任,IT安全的风险不断升级。随着股权的增加,那些负责加强企业防御的人也面临着越来越大的压力。
相信自己的技能,遵循公司指示,并专注于基础知识,您将在IT安全领域有很长的职业生涯。帮助你的雇主在正确的地方适当地调整防御措施,你就会出类拔萃。但如果你犯了以下错误,那么你很有可能就要开始寻找新的工作了——也许是一份新的职业。
巨大的安全错误1:扼杀关键的业务功能
每一个安全专业人士都直觉地知道,关键业务功能脱轨是一个工作杀手。让黑客呆在公司内部比中断核心业务系统要好得多。这似乎与我们作为安全专家的使命背道而驰,但在尝试帮助数百家公司变得更加“安全”之后,你开始意识到,从公司的角度来看,安全并不是第一优先事项。
即使在一次特别恶劣的黑客攻击之后,当攻击者获取了所有的密码,破坏了整个网络,并下载了机密数据时,高级管理人员通常更关心的是中断关键的业务系统,而不是确保坏人消失。我可以向你保证,许多经验丰富的安全专家都有过这样的经历。
事实上,这种策略有一个名字:假定违约,即公司接受恶意活动将永远存在于其环境中,无论如何,每个人都应该照常开展业务。这是一种冒险的策略,高管们打赌,无论黑客造成什么后果,其损失都将小于确保黑客永远消失所需要付出的代价(如果有可能的话)。这种赌博在大多数情况下都是有效的——直到攻击者造成了数亿美元的损失,公众才会发现,攻击与一个本应被调查但却没有被调查的细节有直接联系。
但是,如果由于安装了新的安全进程或设备,导致关键业务功能意外中断超过一天左右,那么恢复购物的速度将比恢复网络所需的速度还要快。业务规则。
经验教训:了解业务中最重要的是什么,除非不这样做会造成更大的损失。
巨大的安全错误2:切断首席执行官访问任何东西的权限
ceo是他们王国的国王。不管他们是否真的需要访问网络上或网络上的资源,如果您以某种方式删除了访问权限,它都可能威胁到您的作业。我曾经遇到过一位CEO的麻烦,因为我在公司购买的新防火墙上启用了内容过滤功能,从而阻止了他访问色情内容。我不应该是“网络警察”,就像他说的那样。
我见过ceo们对安全专家们大吼大叫,因为这要求他们在自己的电脑上输入一个新密码,或者输入一个新密码来访问一个高风险的应用程序。大多数ceo都想打开他们的笔记本电脑,点击一个图标,让所有东西都方便访问,根本不考虑安全问题。每个直接与CEO共事过的IT安全人员都有自己的经历。
教训:让CEO尽可能容易地访问,同时保持所需的安全性。
巨大的安全错误3:忽略一个关键的安全事件
如果最近违反目标教了我们什么吗忽略一个重要的安全事件可能会对你的工作造成危害。事实证明,塔吉特的安全软件是否已检测到木马软件安装用于提交黑客,但安全团队错误地认为事件日志消息为假阳性。每个人都保持沉默,而不是通知管理层公司受到攻击,日志中充满了渗透的证据。这一愚蠢的举动导致数亿美元的损失,迫使首席执行官和首席信息官辞职,并侵蚀了客户对品牌的信任。
但我们能扔石头吗?我们中有谁没有打开事件日志,看到无数的事件,而没有眼睛呆滞?事件监视存储系统精确地以tb和pb计量,因为事件日志记录是一门不精确的科学。事件日志的构建目的是为记录的每一次真正的攻击积累假-正事件,使之达到100万个非事件。
目标的事件日志错误是一个非常公开的提醒,一些“误报”比其他的更重要。在Target的例子中,忽略事件记录了一个新的可执行文件正在被上传和安装。一些分析日志的人把它解释为预期的销售点系统升级。这个简单但错误的解释导致该公司忽略了数以万计的类似检测事件。
如果首席执行官和首席信息官都走了,你可以打赌,告诉所有人忽略事件的员工也走了,如果不是整个团队。管理就是选择关键业务功能而不是安全性——直到安全事件影响到关键业务功能为止。然后钟摆迅速摆动,像往常一样做生意的人头滚滚,公司的金库被洗劫一空。
教训:定义最可能表示恶意活动的关键安全事件,并在它们发生时始终对其进行研究,直至最终得出结论。你不能追踪每一个可能的假阳性;知道哪些是最致命的,然后认真调查。
巨大的安全错误4:读取机密数据
如果CEO是公司之王,那么网络管理员就是网络之王。我认识许多网络管理员,他们允许他们神圣的访问控制诱使他们查看他们没有权限查看的数据。用军事术语来说,你需要适当的许可和“需要了解”之类的。
在过去的三十年里,我认识了一些网络专家,他们不仅查看了他们没有授权查看的数据,而且还吹嘘了一番。这是愚蠢的,当他们被要求交出钥匙和公司设备时,他们不应该感到惊讶。
对于所有这些,有一个重要的警告:可接受的使用策略。我曾经为一家公司咨询,这家公司发现一名IT安全员工阅读了所有高级管理人员的电子邮件。在这种情况下,“公司”是一个城市,高级管理人员是市议会。
这名员工曾多次向其他员工吹嘘自己有能力阅读其他人的电子邮件,后来被发现偷看了市议会的邮件。这名员工被解雇了,并以不正当解雇为由提起了诉讼。法官得出结论,该员工签署的可接受使用政策并没有明确禁止这种黑客行为;那个雇员占了上风,回去工作了。想象一下又要和那个家伙一起工作。
经验教训:不要访问您没有有效权限查看的数据,并考虑帮助数据所有者/保管人使用您无法访问的密钥加密他们的机密数据。
巨大的安全误区5:侵犯隐私
侵犯别人的隐私是另一种肯定会让你丢饭碗的方式,无论这件事看起来多么小或无辜。
我的一个朋友在一家医院工作,有一次听说有个名人住进了医院。这位朋友执行了一个快速的SQL查询,得知这个名人是公司内部的。他们没有告诉任何人或做任何事。
几天后,一位初级护理人员在一个流行媒体网站上泄露了这位名人正在医院接受治疗的消息。管理层要求对谁访问了这位名人的记录进行审计。这个请求传到了我的朋友那里,他报告了审计结果,并自报了自己的SQL查询,虽然信息系统没有跟踪。管理层解雇了所有没有正当理由访问医疗记录的人。我的朋友,如果不是因为他们光明正大的诚实绝不会被抓住,被毫无悔意地解雇了。
另一位在警察局工作的朋友对他和妻子考虑雇佣来照看他们第一个孩子的保姆进行了记录检查。他的访问行为后来在一次例行的年终随机审计检查中被发现。审计员选择了很小比例的事件进行审计,他的非法访问被注意到了。我的朋友是一名工作了15年的员工,他曾经获得过年度最佳员工奖,并且受到所有同事的喜爱,但他却被解雇了。他的退休金也没了。如果你遇到这个人,你会认为他是你所见过的最诚实、最有道德的人之一。他犯了一个错误。他是人,他有力量。
教训:隐私已经成为当今计算机安全的主要问题之一。几年前,几乎所有人都承认,能够访问特定系统的管理员可能会偶尔查看一下他们没有合法需要访问的记录。这样的日子已经过去了。如今的系统跟踪每一次访问,每个员工都应该知道,访问一个他们没有合法需要查看的记录很可能会被注意到并采取行动。
巨大的安全错误6:在测试系统中使用真实数据
在测试或实现新系统时,必须创建或积累大量的试验数据。最简单的方法之一是将真实数据的子集复制到测试系统。数百万的应用程序团队已经这么做了好几代了。然而现在,在测试系统中使用真实数据可能会给你带来严重的麻烦,特别是如果你忘记了同样的隐私规则也适用。
在当今新的隐私世界中,您应该始终创建用于您的测试系统的虚假测试数据。毕竟,测试系统很少像生产系统那样受到良好的保护,测试人员对待测试系统中的数据不会像对待生产系统中的数据一样。在测试系统中,密码很短,经常被共享,或者根本不用。应用程序访问控制通常是完全开放的,或者至少是过度允许的。测试系统很少是安全的。这是黑客喜欢利用的事实。
经验教训:要么为您的测试系统创建假数据,要么像任何生产系统一样加强包含真实数据的测试系统。
巨大的安全错误7:在网络上使用公司密码
黑客组织利用人们的网站密码访问他们的公司数据取得了令人难以置信的成功。通常,受害者会收到一封据称链接到热门网站(Facebook、Twitter、Instragram等)的电子邮件,或者该网站的密码数据库被盗。不管怎样,这个坏人都有别人在其他地方使用的密码,包括公司资产的密码。是时候看看它能赚多少钱了。
有一个特别的组织使用同样的攻击方式,入侵了许多世界上最大、最好的公司。(我不会提及这个组织的名字,因为我不想给它更多的曝光。)该黑客组织可以获取大量机密信息,并通过接管这些公司的网站和社交媒体账户,发布侮辱性的帖子,故意让这些公司难堪。
据我所知,有几家公司主动检查公开访问的被黑客入侵的密码数据库,寻找与自己雇员相似的名字。(一些读者可能会惊讶地发现,黑客经常在公共场所放置被攻破的密码数据库,然后邀请其他人访问这些数据库。)在每个例子中,这些公司都能找到至少几个共享密码(或密码散列),并追踪到他们现在已经受到攻击的员工。在某些情况下,员工还接受了关于密码使用的额外教育。在另一些地方,现有的“不共享密码”政策存在,员工们遭到训斥或解雇。
教训:确保所有员工都明白在非工作网站和安全域之间共享密码的风险。
巨大的安全误区8:打开“任何任何”大漏洞
您可能会对配置了多少防火墙以允许所有流量不分青红皂白地进入网络和流出感到惊讶。