身为信息安全专家，应该成为“知道该如何做的部门”，而非“只会说NO的部门”。我们必须把重点放在如何让用户安全地做他们想做的事，而非只是跟客户说NO，然后将系统锁住。

作者：趋势科技解决方案产品经理 Menard Osena

两个星期前，我去旧金山参加 RSA 2013 大会，对参会的信息安全厂商的数量留下了深刻印象。除了参加者的因素以及技术性会议里突破性的研究发表外，技术性会议今年的演讲场次也让人耳目一新。

http://blog.iqushi.com/wp-content/uploads/2013/03/2701-300x209.jpg

下面是我对于信息安全意识、黑回去，以及合法攻击等值得关注议题的一些经验和想法。

安全意识计划的七个有效习惯

Security Mentem 的 Samantha Manke 和 Ira Winkler 讨论了他们对于安全训练和安全意识间不同的看法。他们强调公司内部安全文化的重要性，让员工可以在日常作业里应用最佳实践，进而在组织中养成长期安全意识。

他们介绍了最近针对财富 500 强大公司，包括保健、制造、食品，金融和零售等行业的研究结果。这次研究重点在这些公司所实行的安全意识活动，以及它们的效果。他们提出了主要发现，并建立了“安全意识计划的七个有效习惯”：

1. 建立坚实的基础
2. 让组织买单
3. 鼓励参与式学习
4. 更多创造性的努力
5. 收集指标
6. 和主要部门合作
7. 成为知道该如何做的部门

我对这场演讲的主要感想当然是在最后一个部分。我们身为信息安全专家，应该成为“知道该如何做的部门”，而非“只会说NO的部门”。我们必须把重点放在如何让用户安全地做他们想做的事情，而非只是跟客户说NO，然后将系统锁住。

我知道需要详细定义什么是该做的，而什么是不该做的，这些都应该包含在公司的安全策略中，但我们应该提高标准，将安全性成为帮助业务的一个重要部分，而非阻碍。

“黑回去”和“合法攻击”

在大会期间，我参加了几场有趣的概念讨论，例如“骇回去”和“合法攻击”。其中一场是由 CrowdStrike 的 George Kurtz 和 Steven Chabinsky 所带来的 Highway to the Danger Zone…Going Offensive Legally（进入危险区的高速公路…合法攻击）。讨论重点在于主动防御的想法，利用进攻来对抗会影响公司的目标攻击。他们明确地将这概念和激进黑客主 义以及网络私刑（例如人肉搜索）做区分。不过 Steven Chabinsky 同时也是名律师，他也阐述了这中间的复杂性，例如不同国家的法律和规定也不同，让这概念一时很难被清楚界定。

另一场非常类似的讨论是由趋势科技的 Dave Asprey 所主持的 Is it Whack to Hack Back a Persistent Attack。同时参加的还有 EMC 的 Davi Ottenheimer，Titan Info Security Group 的David Willson，以及前面提到的 CrowdStrike 的 George Kurtz。他们讨论着主动防御/黑回去的现象，以及当在网络上实施时，法律、道德和业务层面的责任问题和复杂性。

结论

我个人在这些讨论里所获得的主要感想是，主动防御概念也代表会带来风险与可能的后遗症，结果可能会带来更多问题，而非解决问题。正确的作法应该是，组织，尤其是安全管理者，在面对目标攻击时要有正确的态度，并部署由内而外的防护措施。

我目前认为通过执法单位和私人公司间的相互合作会是最好、最安全的方式，借此可打击APT 高级持续性渗透攻击目标攻击，最好的例子就是去年打击 Rove Digital 的行动。

＠原文出处：RSA 2013: On Security Awareness, Hacking Back and Going Offensive Legally

本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！