应对 安全虚无主义者”

应对“安全虚无主义者”

原文：https://medium.com/hackernoon/dealing-with-security-nihilists-b08e9f87052c

告诉我。

在你的职业生涯中，有多少次你不得不面对一个直接摆在你面前的答案，或者你为之工作的客户，但他们就是不做你推荐的事情？

You can recommend steps to remediate vulnerabilities in an organization, but you can’t make them care. (source)

现在，我不是说其他职业(技术或其他)没有这个问题，但它在信息安全中确实很常见。让我给你介绍一些场景，看看你是否发现自己在点头，说“是的，我去过那里。”

你是 Bigname McBigCorp 的 SOC(安全运营中心)分析师。您的工作是运行漏洞扫描器，并验证整个企业中的高风险漏洞是否得到补救，尤其是面向互联网的系统。您的扫描器通知您，通用 web 应用程序平台中的一个严重漏洞很容易导致该盒子被拥有。RCE(远程代码执行)。如中所示，POC(概念验证)漏洞利用代码针对所述漏洞而存在。你提出你的发现，你制定一个修补计划，你在变更控制会议上推进你的计划，aaaaaaaand 被拒绝。

Excuse you?

不，拒绝。升级 web 应用程序平台需要重新构建应用程序，需要测试，需要做一堆工作，不要谢。我们以后再处理。我们有没有准备好任何东西来确保我们能在野外发现这种类型的攻击？您无权访问任何 NSM 对策来了解是否存在阻止或至少检测它的签名，或者有能力在受影响的服务器上安装基于主机的安全解决方案。哦，好吧，你肯定如果你把这个问题通知了你的老板，那么在适当的团队中有人已经准备好了一些东西来处理这个问题。如果我们的一个盒子被打开，而这个漏洞是最初的访问，几个月后才被发现，那就完了。所以你保留你提到漏洞的信息和电子邮件，作为 CYA(保护你的屁股)的材料。你做了件好事，因为大人物麦克比格公司很容易就被收购了，结果你提到的那个漏洞就是最初的入口。不仅如此，当首席执行官被问及如何允许这种事情发生时，他把 IT 安全团队扔到了公共汽车下。

您是一名为 Slow-6 工作的渗透测试人员，Slow-6 是一家专业的安全组织，提供安全评估或“渗透测试”等服务。你和一个大客户做了一周的工作。你有贝壳。伙计，你有贝壳吗？你在评估结束时的报告感觉像一本厚书。公司的 CISO 和 GRC 人员要求您尽快完成报告。

通常，人们并不急于听到圣灵降临节的坏消息，所以在碰运气时，你会问“急什么？”也许他们有一个即将到来的审计，他们需要确保他们遵守管理他们的垂直数据安全的任何规则。也许他们想在本季度或财年结束前从安全预算中挤出一些员工或设备。这些都是可以接受的。相反，你得到的回答是“我们需要你的报告，这样我们才能签字并承担风险。”也就是说，你只是花时间写了一份专业报告(提醒你，渗透测试认证的“黄金标准”OSCP 会非常严格地要求你通过)，却什么也没做。没有人会去读它，没有人会从它身上学到任何东西，如果你回来，你可能会发现同样的弱点。

Out of all the options available, you chose “Do Nothing”. (source)

“没关系”，他们说。

一切都运行良好，我们不会捣乱。把报告给我们，拿回你的工资，然后离开。你不止有点沮丧，你照他们说的做了，因为你的 NDA 禁止你“点名羞辱”这家如此公然蔑视重大风险的公司。

向一个组织发送一封电子邮件。这封邮件声称黑客窃取了 PII(个人身份信息),除非支付巨额赎金，否则他们将公开倾倒这些信息。

他们附上了从几个大型数据库中提取的信息截图，作为他们行为的证据。你对这一事件的调查证实了这是一件确实发生过的事情，但你还不知道他们是怎么进来的。

公司不管。“付赎金。没有人会知道这件事。如果有人问起付钱的事，就说这是一笔虫子赏金的结果。你知道这在道德上和伦理上都是错误的，但你不会因为他们的错误决定而冒失去工作的风险。毕竟，如果 CISSP 教会了你什么的话，那就是管理层要为糟糕的决策负责。

Does this sound a bit Shadowrun-esque to you? (source)

这些情况(以及许多其他情况)导致信息安全专业人员感到沮丧和失败。当一个人觉得自己的工作毫无意义时，他会怎么样？就像他们要日复一日面对更多同样的废话？一周又一周？月复一月？你开始变得冷漠。曾经是你的激情和你全身心为之奉献的东西，变成了一份朝九晚五的工作，你只是为了支付账单而存在。

你不再有以前的动力和激情。你不想学习新技术、新技术、新方法或新的贸易技巧，因为为什么要这么麻烦呢？没有一家公司愿意费心去改善他们的安全状况，那么为什么要费心去学习更多的知识和跟上最新的发展呢？你不想再去参加贸易会议了，因为你觉得它就像一个回音室，在那里我们不断被告知要做得更好，这些大规模违规是如何如此容易地被预防的，而我们已经他妈的知道了这一点。

This is what most professionals refer to as “Burnout”. (source)

所以你不再在乎了。你不再全力以赴了。你真诚地怀疑信息安全实践的价值。毕竟，几十年来，我们一直在鹦鹉学舌般地重复同样的安全控制措施，甚至连补丁程序和资产管理这两个良好安全性的最重要、最基本的概念都无法通过——您的环境中到底有什么，它是否保持最新？

OWASP 十大至少从 2010 年就已经存在了，我们仍然在各处看到 sqli (SQL 注入)和命令注入漏洞，特别是在物联网设备和 SOHO 路由器中，这些设备部署最广泛，但一旦部署，最不可能再次修补。

哦，当我们谈论物联网的绝对垃圾箱火灾时，这里有一个提醒MIRAI 僵尸网络关闭了 dyn 的 DNS 服务器，并在去年的一天内杀死了一半的互联网。

指引就在那里。这里的水干净而丰富。然而，在你的照顾和指导下的马拒绝喝水。你不能开枪打死他们，然后把他们送到胶水厂，所以你能做的就是观察和等待。你想知道你是怎么陷入这种境地的，也许换个职业是个好主意，但是你意识到大多数职业都经历过同样的事情。尤其是信息技术专业:

IT/Sysadmin/Netadmin:对备份或基础架构的投资不足，但他们不在乎，只要它能运行并带来利润。此外，尽管基础架构提供了收入，但它仍被视为“成本中心”。管理层不管。它现在正在运行，这个问题我们可以以后再处理。

开发人员/程序员:不得不一直实现丑陋、低劣的黑客技术，因为从测试和 QA 的角度来看，你的项目没有足够的时间来实际发布一个你可以相对有信心的产品。管理层不管。只有客户会买的项目时间表和运输垃圾才重要。(另见——我写的另一篇关于“里克”的文章，以及权势人物是如何任其自生自灭的。)

这种不断的向下竞争和短视滋生了冷漠和虚无主义。这是助长燃尽的燃料。相信我，我是凭经验说话的。所以下一次你要求一个专业人士停止对安全的失败主义/冷漠/虚无主义，停下来想想是什么首先把他们带到那里的。

你可能会问，如果我有倦怠的经历，那为什么我还在这里？我设法从边缘回来。我意识到，不管马发生了什么，我仍然是一个训练有素、有能力的专业人士。其他人对我出色的专业工作做出的决定不是我的错。人们可以如此犯罪性地短视(他们的短视会影响我的生活),这仍然让我感到恼火，但我正在学习接受这一点。

我也开始意识到我不仅仅是我的职业。我有一个家庭。宠物。爱好。要做的事情。我想去的地方。在这个地球上只剩下这么多时间去做了。我活着不再是为了工作，我工作是为了活着。

虽然我有合理的责任跟上技术和安全领域的最新发展，但如果我不想参加会议，或者我想离开社交媒体去看电影或与我的妻子共度一个小假期，我可以，也应该这样做。

没有人会记得你或者感谢你发现、报告和/或修补了那个漏洞。在你死后，没有人会记得你的工具有多棒，或者你的寿命有多长。你的朋友、家人和爱人会记住你和你的功绩(没有双关语)。由你来决定什么对你重要，什么值得你花时间去做。

我花时间陪伴自己和家人，这样做，我从疲惫中走出来，有了更多活下去的理由。随着时间的推移，我对信息安全的热情又回来了，但也指出了这一切是多么的荒谬(例如 shitposting)。有些人不喜欢这样。你不需要。我就是这么应对的，你可以不听我的。

编辑:感谢“hacks4pancakes”分享她的信息安全主题列表。我受这个列表的启发写了这个话题。