企業安全團隊中的“灰帽子”
責編:gltian |2018-08-20 11:08:32灰帽子行為有時候不過是釋放壓力的一種形式,不用過于大驚小怪難以容忍。
網絡犯罪所造成的損失通常以直接開銷計:修復費用、取證支持、律師費、合規罰款等等。但Malwarebytes委托奧斯特曼研究所所做的最新調查采取了略微不同的方法,審查的是與網絡犯罪活動相關的管理性開銷。
該研究于今年5月到6月間進行,調查了5個國家900位安全從業人士:美國(200)、英國(175)、德國(175)、澳大利亞(175)和新加坡(175)。受訪者均在員工規模在200到1萬人之間的公司工作,負責管理網絡安全事務或處理網絡安全問題。研究關聯了員工工資、安全預算和緩解開銷,稱雇傭2500名員工的美國公司平均每年要在網絡安全相關問題上耗費掉200萬美元。其他4個國家受訪公司的網絡安全相關開銷沒那么大,但也接近或超過每年100萬美元。有趣的是,該調查不走尋常路,專門研究了公司所雇灰帽子的數量與網絡安全總體開銷之間的關系。
該項研究的基本結論沒有超出我們的預期,且已被其他多項調查研究所證實:大部分公司都被成功入侵過;網絡釣魚是最常見的攻擊方法;中型市場公司與大公司同為遭遇較頻繁攻擊的目標,小公司遭遇網絡攻擊的頻率相對較低;攻擊頻率不斷攀升,令人心生警惕。
該調查最令人驚訝的發現,就是那些正在公司企業工作的灰帽子和曾被公司企業雇傭過的黑帽子數量。灰帽子本質上是計算機安全專家,只是有時候會無傷大雅地違反法律或傳統道德標準,但絕對沒有全職黑帽子的那種惡意。
總體上,這900位受訪者認為,同事中有4.6%是灰帽子。用報告中的話說就是:兼職黑帽子的全職安全人員。情況各國不同:德國、澳大利亞和新加坡受訪者認為自家同事里有3.4%是灰帽子,美國是5.1%,英國最高,為7.9%。
成為灰帽子的動機是什么?受訪者給出的答案包括:黑帽子活動更有利可圖(63%),有挑戰性(50%),想報復老板(40%)、哲學原因(39%),以及,這又不是啥真正的壞事對吧(34%)?
Bromium研究所在2018年4月發布的一份獨立研究報告證實了白帽子雇員與黑帽子黑客之間的收入差距:高收入的網絡罪犯每月能賺16.6萬美元以上;中等收入的每月至少7.5萬美元;低收入網絡罪犯每月也有3500美元以上的進賬。
而根據Malwarebytes的調查,美國安全從業人員最高平均起薪為6.56萬美元每年,也就是每月僅5464美元(想想中等收入黑帽子的每月7.5萬美元,頂級安全人員的收入也就人家一個零頭)。英國的狀況就更差了,安全人員平均起薪甚至少于每月3000美元。
這就有意思了。整個行業都在焦慮安全人才短缺問題,但公司企業在招聘新安全人員時通常又不愿付出高薪。公司企業和政府都在抱怨難以找到合適的人才,但當他們確實招進人來,卻又往往沒有給予人家應得的薪金。
將美國與英國的數據做關聯分析時難免會得出一個結論。不僅僅是美國公司支付給安全人員的薪金比英國公司的高得多,而且美國公司的安全預算也相對高出很多(美國公司平均安全預算157萬美元,英國公司35萬美元)。于是,英國公司里灰帽子百分比更高,緩解開銷也相應較高(美國公司安全預算的14.7%,英國公司安全預算的17.0%),難道僅僅是個巧合?
預算少,緩解開銷比例自然就高;人們也更傾向于認為黑產的高回報會對低收入的英國安全人員產生吸引力。美國政府就認為,發現并觸發了WannaCry“死亡開關”的英國研究員 Marcus Hutchins 正是個中典型案例。干掉WannaCry無疑是純粹的白帽子行為,但Hutchins隨后就在美國被捕,訴以涉嫌編寫并分發Kronos銀行惡意軟件。
Hutchins 的支持者不少,反對者也不少。但鑒于受雇白帽子中有相當一部分人被同事認為是灰帽子,這事兒最終作何定論還有待觀察。
相對較低的行業薪酬可能是信息安全界灰帽子數量驚人的部分原因。灰帽子占比最高的,是無法支付頂級薪金的中型企業,這種企業在英國是主流。但經濟原因肯定不是唯一的驅動因素。有些人是真正意義上的純黑客,喜歡四處探索尋求真相--即便嚴格說來這是非法的。但這對他們做好安全工作也有好處,通過探索背后真相,可以更好地理解罪犯的運作方式,也就能更好地加以防御。
但這里面還有社會問題。技術宅可能有社交障礙,難以融入公司組織結構。不是每個人都適合在商業公司環境中干活。而在信息安全領域,壓力山大是常態。朝九晚五周末雙休是不可能的,網絡罪犯才不會像公務員一樣按時打卡,安全人員經常每周工作80小時以上還沒加班費。巨大的精神壓力便源自于此,信息安全界過勞現象太嚴重了。現實很難很殘酷,只要身處信息安全領域,24/7全年無休就是你的命。
公司企業因為些許的灰帽子行為就解雇員工是不對的,這么做很可能會引發災難。但同時,企業主又有責任要找出解決方案。在勞動回報率上,公司企業是沒辦法與黑帽子競爭了,但應盡可能地包容和支持信息安全領域中頂著巨大壓力干活的人。