人为错误是导致数据泄露的首要原因——访网络安全专家保拉·亚努科维奇

时间：2024-07-28

Boxcryptor

在各类组织中，人为错误仍然是导致数据泄露的首要原因。

——保拉·亚努科维奇（Paula Januszkiewicz）

保拉·亚努科维奇是网络安全领域的专家，也是国际互联网技术会议上广受认可的演讲者。作为CQURE公司的创始人，她为公司的IT安全战略提供建议。此外，她还致力于让更多的年轻人对这个行业感兴趣。我们很高兴邀请她接受采访，与她谈论作为网络安全顾问的相关工作。

Boxcryptor：您最初是如何开始担任网络安全顾问的？您从哪里获得有关IT安全行业动态的信息？

保拉·亚努科维奇：在我刚开始担任网络安全顾问时，我已经大概了解了市场上正在发生的事情。我曾经在一家非国际企业的咨询公司工作过一段时间，参与过不同类型的团体活动和特殊项目。这种环境促使我广泛阅读新闻，并与不同行业的人士进行交流，这些能够帮助我深入了解IT安全行业正在发生的事情以及人们如何解释相关事件的发展变化。在大学里，我主修计算机科学专业，并投入很多精力实践在大学里学到的知识。但如今来看，仅了解一些皮毛是不够的，还需要无数次的探索和实践。值得一提的是，如今我们可以利用线上工具帮助人们学习、更新知识，如推特（Twitter）、GitHub代码托管平台、大型新闻门户网站或者像Medium轻量级内容发行平台等。利用这些平台，我们能及时了解当下发生的网络安全事件，并熟悉各种专业解决方法和策略。

Boxcryptor：当您受雇于一家特定公司，在检查其IT安全状态时，您首先会看哪里？

保拉·亚努科维奇：因为每个项目都是不同的，所以方法也多种多样，这主要取决于项目的类型。例如，当我们进行内部渗透测试时，经过的第一阶段是识别和监察，这一阶段的网络威胁活动不易防范，所以要清楚，哪里需要怎样的服务。一些公司的信息被通过各种途径恶意公开到互联网上，其中，内部人员很容易被诱骗导致信息的外泄。随着时间的推移，利用这些信息可以完整地识别特定公司的流程、组织结构和潜在的弱点。在监察阶段之后，决策者们可以选择合适的方法推进渗透测试。测试期间的主要目的在于指出技术、流程、管理、用户使用等方面的漏洞，我们会为系统所有者提供信息技术支持，并将技术发现转化为有价值的风险管控方案。

Boxcryptor：识别和监察阶段之后会发生什么？

保拉·亚努科维奇：第二阶段是扫描。该阶段的目的是对访问人员的身份进行扫描识别，并确定可信人员具有哪类级别的访问权限。对互联网服务器和网络资产进行详细的安全分析，有助于验证安全性（方法、工具、详细的测试步骤以及研究的问题取决于特定企业）。一旦攻击者掌握了企业的运作方式并获得有价值的内部信息，他们就会对外围设备和内部网络设备进行扫描，试图寻找弱点。

Boxcryptor：您是否也会考虑在该公司工作的职员，还是仅仅考虑您正在测试的项目？

保拉·亚努科维奇：当然要考虑人为因素。在各种组织中，人为错误仍然是导致数据泄露的首要原因。攻击者不断开发更好的策略来诱骗内部人员泄露敏感数据。因此，仍然需要在公司内部建立网络安全防护意识和总体意识。以目前的情况来看，事态有所好转。

Boxcryptor：作为安全顾问，您曾为哪类公司提供过建议？如何改善他们的安全状况？

保拉·亚努科维奇：我们的团队为国际上众多的企业提供过咨询。有些企业的雇员人数超过20万，这是非常鼓舞人心的。顾问的优势在于，你在网络上工作的次数越多，遇到的人越多，所获得的经验也就越多。在网络安全领域中，最具有挑战的是，每个企业所处的安全环境都不相同，因此我们必须针对不同类型的工作环境进行个性化的调整。

我们在执行方案之前，会和客户进行详细的商谈。我们相信只有这样，才能提供让客户满意的IT服务，产生更多的附加值，并为客户创造更多利润。

顾问的职责是熟悉当今世界的各种安全环境。虽然案例是特定的，但是我们能够看到其背后的模式——相同处理方案所针对的不同问题会一次又一次地重复。从客户的角度来看，有些问题可能是全新的，但我们以前已经看到过，并且可以提供准确的帮助。

Boxcryptor：请举例说明您在工作中遇到的安全问题，以及您和您的团队是如何解决这些问题的？

保拉·亚努科维奇：由于我们工作的高度机密性以及我们开展合作的行业重要性，很难透露细节。但是让我们想象一下，当一位网络安全专家来到客户的办公室，环顾四周，发现员工的密码就写在他们的电脑旁边或是更糟糕的情况，这些都是易被忽略的安全隐患。据统计，超过25%的美国员工承认，当结束一天的工作下班时，都没有锁闭电脑的习惯，甚至有更多的员工在去短暂休息时也不锁闭电脑。当面对这样的问题时，也为我们的团队（或受邀的外部顾问）提供了一个快速了解企业情况的绝佳时机。对于组织来说，尤其是处理高度敏感信息和个人数据的组织而言，确保技术和用户信息安全是多么重要。

Boxcryptor：您认为目前贵公司面临的最大威胁是什么？IT安全战略中的常见弱点是什么？

保拉·亚努科维奇：人为错误是进行安全防护时最薄弱的环节。因为人们容易受到情绪的影响或是被人利用。然而，所有的组织都是由人构建的，管理员、IT专业人员或决策者也会失误。

如今，我们有首席信息安全官（CISO）或首席运营官（CCO）这样的职位，但在复杂的情况下，我们往往会忘记网络安全的核心原则，因为我们没有足够的时间去关注当前的趋势和最新的安全解决方案。因此，对所有人而言，网络安全没有终点，新的挑战会随时出现。

Boxcryptor：目前量子技术对贵公司来说是真正的威胁吗？如果不是，您认为何时情况会变得危急？

保拉·亚努科维奇：首先，我想强调的是，谷歌公司于2019年10月发布声明，引发了一场关于技术发展缺乏限制的大规模辩论，这的确是网络安全专业人士争论的一个焦点。量子计算机比最先进的现代超级计算机更加强大。从理论上讲，肖尔算法可用于以指数级的速度分解大的复合数。因此，如果黑客能接触足够强大的量子计算机，他们就可以轻松地破解加密系统。当然，量子技术仍在促进医学分析、金融计算等领域发挥作用。如今，我们仍然不够了解量子计算是如何影响日常数据处理的，一旦量子技术变得真实可用，网络安全团队将面临全新的挑战。

Boxcryptor：企业面临的一个威胁是设备被盗或丢失。例如，我首先想到的是该领域的销售人员。您对这一说法有什么建议吗？

保拉·亚努科维奇：由于无法阻止盗窃或丢失事件的发生，因此，确保设备上的数据安全非常重要。将数据存储在云中是推荐的解决方案之一，在云中可以轻松管理所有权限。

Boxcryptor：您认为公司现在更愿意将数据迁移到云上吗？在过去的几年里，您有没有看到这种情况的发展？

保拉·亚努科维奇：实际上，公司正在迈出这一步。我们有许多客户将IT系统放入云中，不需要对这些系统提供额外的技术支持。IT系统从本地基础设施迁移到云通常可以降低风险，但可信性在这其中始终扮演着重要角色。

Boxcryptor：您认为是什么真正说服公司将业务迁移到云上？

保拉·亚努科维奇：首先是服务的连续性，其次是实现各种现成的安全解决方案成为可能。如今，因为云计算的易操作性，不必熟悉不同类型的服务器技术，也不需要现场维护人员，越来越多的中小型企业选择转向云计算方向。然而云并非适用于所有企业，它是为可以在外部服务器上运行的服务而创建的。

云可以给我们提供很多东西。当我们与客户讨论数据策略或安全策略时，实际上，项目与将数据移动到云端有关。

Boxcryptor：您认为人们是否已经准备好，并且足够精通相关技术来处理2FA（双因子验证）？

保拉·亚努科维奇：是的，如果他们能处理电子邮件，他们就能做到。相比之前复杂的操作，如今我的祖父母也可以使用不同类型的在线服务，但因为网络安全不是每个人的研究领域，所以世界各地的终端用户都需要能为他们提供安全保障的服务。

Boxcryptor：那么，您认为用户越来越精通技术了吗？

保拉·亚努科维奇：是的，确实是这样。这是随着技术的发展和普及而自然发生的。

Boxcryptor：我们想和您讨论的另一个话题是寻找新的人才。一些公司IT部门很难招到合适的员工。例如，在德国，目前仅IT行业就有124000个职位空缺。您在CQURE公司采取什么措施来建立一个好的团队？