高效安全团队的7个习惯

安全需要聪敏的人员、过程和技术(PPT)。但该PPT方程式中“人(P)”的部分往往被忽略掉了。

[[245562]]

互联网数据中心(IDC)预测，全球数字化转型技术开支今年将达1.3万亿左右。但防控现代威胁需要的不仅仅是技术解决方案，还需要强有力的安全团队。

强安全团队由什么组成?

如果你已经遭遇过恶意软件感染或别的安全事件，你可能就会觉得自己的安全团队肯定称不上强安全团队。然而，个别事件代表不了团队的能力。

基于与数百名安全人员和一些全球最具安全意识的组织共事的经验，可以得出最高效安全团队具备的7个习惯。

1. 投资威胁情报，不寄希望于安全万灵丹

安全技术只是达到目的的手段或方法。尽管投入大量资源，公司企业仍常常在安全事件发生数月之后才检测到，然后忙于在数据都渗漏出去之后的漏洞修复。

更糟的是，这种事后分析通常都会发现之前被忽视掉的迹象。最好的安全团队运用技术以更为积极主动地做出风险管理决策。他们用技术综合来自整个企业的数据，方便分析师做出更为明智的决策。

2. 了解哪些东西需要保护

攻击者发动攻击总要有个最终目标。成功的安全团队会从攻击者的角度思考，了解每台电脑、服务器和技术产品与该最终攻击目标之间的联系，摸清这些设备和产品一旦被黑可能会给公司带来的风险。

攻击者花费大量时间研究目标和基础设施，寻找漏洞，并重新评估每一步的环境。想要阻止攻击，就要了解攻击者的这些行为模式。随时保护所有东西是不现实的——会按对公司的重要程度给资产和可能的攻击途径排个优先级的团队就具备了成为好团队的潜质。

3. 明白警报并不全面

最高效的安全团队几乎从不响应安全警报。相反，他们将警报当成定义优先级的风险评估中的另一数据点。

盲目追逐每一个警报是安全团队通往失败的坦途，只会制造混乱，对改善公司安全状况毫无用处。最好的安全团队会在上下文中考虑警报的严重性，综合进诸如攻击目标和攻击行为对公司造成影响的可能性等其他因素。高效安全团队会将可能导致最大伤害的事件列为头等大事。

4. 清醒认识AI替代不了人类直觉

用人工智能和机器学习替代安全团队或许是安全行业中炒作最甚也最为危险的一个趋势。

人类决策是创建和实现强企业安全不可或缺的，因为人类的洞察力可以补偿数学模型的固有局限。技术投资应聚焦支持安全团队和自动化繁琐任务，比如要求高度面向过程专业知识的取证调查。最好的团队民主化该职能，充分赋予人类员工做出重要风险管理决策的权力。

5. 温故知新，防患未然

最好的团队从过往攻击中学习积累经验以在未来更好地保护自身。尽管攻击者会改进其恶意软件和工具，他们的策略往往大体不变。最为成熟的安全团队不仅仅观测恶意软件，他们审查异常行为和不属于自身环境的行为。

6. 视安全为团队运动

Cybersecurity Ventures 宣称，到2021年，全球网络安全职位空缺将达350万个。安全团队需打造下一代安全人员队伍。最成功的团队通过创建保证可重复性结果的过程来泛化队伍。可重复的战术手册能够被团队中任何成员使用，最好的团队不仅拥有可重复的战术手册，还具备一定的机制以保留、共享和应用自身积累的技术知识。

7. 不断精进

最好的团队通过测试漏洞和记录评估结果，持续改进自身安全配备。该信息馈送给安全团队，他们便可识别并清除掉网络基础设施中的漏洞。这种集体负责制的文化确保了整个团队都专注于更宏观的目标。

企业防御工作一直在发展进化。我们很容易落入只有购买最新安全技术才能更好地保护企业安全的思维陷阱。然而，甚至在安全方面豪掷上亿美元的企业都会遭遇安全事件。

安全需要综合投资人员、过程和技术，但这三者间“人”的部分往往会被忽视。

【本文是专栏作者“”李少鹏“”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文