分享一份国外关于不对等的激励因素是如何影响网络安全的报告

攻击者和防守者：攻击者的动机是由市场决定的，是灵活变化的，而防守者则受制于上层的决定。

策略和实行：超过90%的组织制定了相关的信息安全策略，但是只有不到半数的组织完全实行了他们的策略。

高层管理者和底层实行者：受制于实行员工的效率，制定的安全策略高层管理者和实行员工对是否成功安全的判断不一致。

相比于以前不重视安全，现在很多公司将安全作为一项基础业务进行部署，例如安全项目评估、安全职责分配、汇报网络安全风险报告等。如图所示，根据我们的调查，网络安全风险已经成为公司最关心的，超过了监管和责任风险、公司形象危机、财政风险等。

各部门的受访者都表示能够明显看到严峻的网络安全威胁，不合理的安全配置导致包括知识产权和机密商业信息的损失、业务中断、企业品牌形象的损坏等。调查的导致的结果与受访者的想法基本一致。

虽然绝大多数受访者表示知道安全事故会导致很多后果，但是只有32%的人表示经历过因为安全事故而直接引起的利益受损。

组织缺少对安全事故损失的评估方法，例如对客户的影响，对品牌的影响以及对事故的处理花销等。多于一半的管理层表示他们更关心公司形象而不是安全本身。

如图，深蓝色表示管理层，浅蓝色是底层操作员工，管理层往往对组织安全能力过于自信，而底层操作员工则认为组织的安全策略缺少前瞻性，更多关注现有的威胁。

不同部门的差异也值得关注，金融以及IT/通信行业对现有威胁以及新威胁有一个较好的平衡，而公共部门组织，例如政府，公共教育机构等对新威胁的关注度会低一些。

如图，想对比底层操作人员，管理者更倾向于相信安全策略已经被完全实行了。而且，他们会使用广泛的视角例如成本控制、声誉维护来评估他们的安全策略，而底层操作人员则更关注安全技术指标。

策略和实行之间的分歧可能是由管理者和操作者对产出和效率有不同的衡量指标。根据图所示，总的来说，操作者以漏洞数量、渗透测试、漏洞扫描、修复的成本来衡量系统安全程度。而管理者相比较而言更关注跟开销（员工聘请，安全投入回报率）和企业形象相关方面。

安全方面究竟有哪些激励呢，包括奖励、奖金、提升等。但是可以看到管理者对于已有的激励机制更有自信，他们可能觉得激励机制都被很好的实行了，但是可以看到操作者不是这样想的，甚至很大比重的操作者认为他们就不存在任何激励机制。而且，管理者与操作者对于期望得到的激励也有些不同。之前有个调查显示相比较经济奖励，操作者也很看重培训、时间自由度和是否有机会做一些有挑战性的任务。而管理者觉得经济奖励更有激励性。

有意思的是，由于不同的文化氛围，不同地区的受访者对待激励方式的看法也不同。日本英国最为看重认可和奖赏，而巴西、墨西哥和美国则最看重经济奖励

在各组织不断学习如何应对新威胁的情况下，他们会愿意去与其他组织合作，例如政府部门和顾问公司，并且也确实认为这种合作是很有用的。

安全领域的不断升级，不只是改变了对技术人员的需求，还有对创新工具和实践的需求。当使用新的安全工具时，为了避免新的安全威胁，大多数组织会维护一个可以结合已有和新的技术的平台，或者使用双重安全技术。超过一半的组织需要更多的安全人员来维护新工具。

黑客生态系统：是由市场规律驱动的而不是通过管理流程。

看图分析下黑市系统，防御产品中介>供应商，灰市的中介>国家（政府），黑客市场的犯罪分子接收不安全的基础设施（受感染的主机页面），社工信息，恶意软件

（Hacker One 是一个漏洞众测平台，Zerodium 是一个漏洞收购平台，是中间商；）

最顶层的市场包括销售零日漏洞的技术人员，擅长利用漏洞的卖家买家之间的中间人和在白帽子和灰帽子市场购买工具的政府部门；

其次的市场，主要是由犯罪者构成的市场，出售财务信息和伪造品，出售垃圾邮件、漏洞利用等服务，还有从顶层市场得到的工具和漏洞利用方法。

顶层市场主要是偷取重要信息和发动重大攻击，而底层市场主要是由钱驱动来做任何事。

黑客市场是一个只要是拥有计算机知识的都可以进入的市场。市场中主要有这几种身份，包括：开发恶意软件的开发者，制作恶意网站的web设计人员，拥有犯罪使用的设施（服务器、数据库）的技术人员，利用漏洞入侵的黑客，设计社工方案（钓鱼或垃圾邮件）方案的骗子，还有转卖数据的中间商。

黑客市场的充满竞争的、分散的和创新的

黑客市场的快速反应和创新的原因很多，犯罪是投机的，还有黑市的资源支持使得犯罪行为反应特别快（调查发现42%的公开漏洞都会在30天内被犯罪分子利用，意味着犯罪分子可以不用花费精力去寻找漏洞，只需要利用漏洞）；

黑客不为创新而创新，黑客投入精力去研究新技术是为了维持在市场中的有利地位。

创新不仅限于恶意软件，有些创新的社工方案或者雇佣低技能的实施犯罪行为。而且这些创新技术会随着社区而迅速传播。

一个漏洞在三个市场中的生命周期（渗透测试的工具）

客户往往愿意支付很高的价格来购买这些漏洞，这些漏洞是未向公众公布的也不能出售给其他公司，来争取时间开发一系列相关的工具，最高的苹果系统的远程越狱漏洞可达150万美金。

黑帽子和白帽子往往有相似的技能和知识背景，不过大多数高技能的程序员和漏洞挖掘人主要工作于白色和灰色市场的顶层，因为在黑市交易有很大的被捕的风险，而且被捕的历史也会影响他们之后的工作，因为白色和灰色市场非常重视个人的信誉问题。不过也会有黑帽子转作白帽子或者白帽子转作黑帽子的情况发生。

公司已经渐渐意识到了这个问题，可以通过学习黑帽子市场，利用市场的力量来促进竞争和加强激励。

利用市场的竞争：

黑客市场是开放的，进入壁垒很低，而且是鼓励创新的市场

更好的利用外包来降低成本和促进竞争

利用公开信息：

利用公开的漏洞可以降低寻找漏洞的成本，并且快速利用漏洞使得收益最大化

通过快速的修补和替换脆弱系统，可以提高攻击成本和防御安全。

提高透明度：

利用广告和论坛传播攻击成功案例，促进了创新的传播

扩大信息共享，有利于新的防御技术的传播

低进入门槛：

没有学历和地理位置的限制，可以充分利用相关人员的才能

建立人才库，甚至包括曾经参与网络犯罪的青年人才和专家，来不断弥补和犯罪市场的差距

提高激励：

黑市中每个等级的优秀的交易者都能得到更多的奖励

在安全防御中表现优异的员工应该被奖励和发放奖金。

分享一份国外关于不对等的激励因素是如何影响网络安全的报告相关推荐

四十七、第二份国外的Python考试（上篇）
@Author:Runsen @Date:2020/5/26 作者介绍:Runsen目前大三下学期,专业化学工程与工艺,大学沉迷日语,Python, Java和一系列数据分析软件.导致翘课严重,专业排 ...
分享一份60页的《Python数据分析入门PPT》
小伙伴你好,资料会有的,我先做个自我介绍. 我是小詹.一名即将毕业的研究生,一个懂点技术和运营的产品人. 爱折腾爱分享,我在大学时通过副业实现了经济独立,偶尔还能补贴家用,在北漂求学的 7 年里还算精 ...
C语言天才！想法奇异？还是逼格满满？一份国外C语言写的传奇简历
C语言天才!想法奇异?还是逼格满满?一份国外C语言写的传奇简历作者用代码更新了自己的简历,是不是很接地气,特符合程序员的逼格.这是一份可读可执行的ç语言源文件,也是作者编码风格的体现. C语言源码( ...
分享一份嵌入式软件工具清单！
大家好,我是ZhengN. 今天给大家分享一份嵌入式软件清单: 1.BowPad 我们常常需要一些轻量级的文本编辑器,用来编写少许代码或者看log等.BowPad就是一个超级好用的.小巧的文本编辑器. ...
分享一份企业大数据治理的有效解决方案
分享一份企业大数据治理的有效解决方案未来,随着应用领域的拓展.技术的提升.数据共享开放机制的完善,以及产业生态的成熟,具有更大潜在价值的预测性和指导性应用将是发展的重点. 下面是小编从网上整理的一个 ...
工具 | 分享一份嵌入式软件工具清单
大家好,我是杂烩君. 今天给大家分享一份嵌入式软件清单: 1.BowPad 我们常常需要一些轻量级的文本编辑器,用来编写少许代码或者看log等.BowPad就是一个超级好用的.小巧的文本编辑器. 详细 ...
分享一份3D Tiles数据，供大家学习使用。（Cesium、Earth 3D）
分享一份3D Tiles数据,供大家学习使用.(Cesium.Earth 3D).数据是长沙市的建筑轮廓盒模型,大家如果有想要别的城市的,可以留言评论. 链接:https://pan.baidu.co ...
小红书kol推广怎么做？分享一份完整的小红书kol推广方案
流量为王的时代,很多大粉丝基础量的网红达人背后的用户流量可以为品牌做背书宣传,而小红书kol推广也成为了当今时代品牌营销的重要方式. 小红书kol推广怎么做?那么接下来伯乐网络传媒就来给大家分享一份完 ...
分享一份 Go 语言编程笔记
在当今流行的编程语言中,Go 语言独树一帜,因为其简单易学.性能强劲且原生支持并发的特点,深受开发者的青睐.Stack Overflow 2022 的调查显示,同等工作年限下,Go 的年薪要远远高于传 ...

分享一份国外关于不对等的激励因素是如何影响网络安全的报告

分享一份国外关于不对等的激励因素是如何影响网络安全的报告相关推荐

最新文章

热门文章