网络安全不是一场漏洞游戏

网络安全公司Teleport的网络首席执行官Ev Kontsevoy最近撰文指出，网络安全行业集体偏离了安全的安全本质 ，陷入了一场漏洞（发现）游戏，不场一场劳命伤财的漏洞技术表演竞赛 。内容由GoUpSec编译整理如下 ：

在现代网络安全领域，许多人都相信“发现的网络漏洞越多，安全就越有保障”。安全理论上，不场技术堆栈中加入更多工具似乎能更有效地监控攻击面。漏洞然而 ，游戏现实情况却让这种假设站不住脚。网络

事实上，服务器租用安全“工具泛滥”并没有带来真正的不场安全保障
，反而让安全团队陷入了处理海量误报的漏洞泥沼 。尽管观测解决方案愈发先进
，游戏能够标记更多潜在威胁 ，但当威胁的危险等级无法清晰区分时 ，这种安全感也只是“表面功夫” 。

回顾2024年的几次重大数据泄露事件——Ticketmaster
、Snowflake 、伦敦交通局以及国家公共数据泄露事件（涉及29亿人的个人信息）
 ，数据泄露受害者数量超过10亿人 ，香港云服务器同比激增409% 。虽然安全通知铺天盖地，却未能阻止攻击面在过去两年内扩大近80%。

另一个普遍误区是 ，企业一旦投资某种网络安全解决方案，便可高枕无忧。然而 ，工具是否真正被员工使用？数据显示，仅23%的IT专业人士表示对团队工具的使用情况有足够的可见性。在工程领域尤其如此 ，许多开发者为了图方便，高防服务器绕过IT部门采购的访问管理工具 ，转而依赖私人代理 、跳转主机或堡垒机等自制“解决方案” 。

这些未经监控的“影子访问”路径，往往成为绕过官方工具通往关键系统的隐形后门。它们在表面上未见异常 ，但一旦发生泄露，往往难以弥补。

安全团队想要有所作为，他们就不能只玩“发现软件漏洞”的游戏
。云计算软件漏洞仍然只占漏洞的一小部分。

当我们去看医生时，期待的是他们治愈疾病 ，而不仅仅是缓解症状。然而 ，当前的“告警疲劳时代”却让安全团队像一个只开止痛药的医生 ，治标不治本 。数据显示 ，73%的安全专业人士因为时间限制而未能处理高优先级的亿华云安全警报。面对成千上万条警报，真正的威胁就像大海捞针 。

解决问题的关键是缩小攻击面，而这首先要从减少人为错误入手 。微软数据显示 ，2024财年记录的6亿次身份攻击中
，99%是密码攻击 。这一数字背后
，是攻击者通过钓鱼邮件、源码库生成式AI等手段愚弄人类（获取密码、浏览器Cookie 、API密钥等信息） ，而不是依赖复杂的漏洞攻击。

对此，安全团队需要的不仅是监控行为异常
，而是彻底改变基础设施
，让人为错误变得无足轻重。例如，可以通过用户的生物特征、设备硬件身份与PIN码组合建立身份验证机制 。这种方式的成功已经在智能手机领域得到验证——如今几乎很少听说过iPhone被破解 。

网络安全不应沦为一场“漏洞游戏”。处理海量通知而无实际成效只会加剧团队的压力，只有消除静态凭据和持久特权 ，才能从根本上改变安全态势。下一次 ，当你面对成千上万的安全警报时，请记住 ：这些数字并没有你想象中重要
。

安全的未来，不在于制造更多的警报
，而在于清晰明确地解决威胁的根源。是时候摒弃表面的安全假象 ，构建真正稳固的安全堡垒了。

最新评论