人為錯誤是導致數據泄露的首要原因
——訪網絡安全專家保拉·亞努科維奇

Boxcryptor

在各類組織中，人為錯誤仍然是導致數據泄露的首要原因。

——保拉·亞努科維奇（Paula Januszkiewicz）

保拉·亞努科維奇是網絡安全領域的專家，也是國際互聯網技術會議上廣受認可的演講者。作為CQURE公司的創始人，她為公司的IT安全戰略提供建議。此外，她還致力于讓更多的年輕人對這個行業感興趣。我們很高興邀請她接受采訪，與她談論作為網絡安全顧問的相關工作。

Boxcryptor：您最初是如何開始擔任網絡安全顧問的？您從哪里獲得有關IT安全行業動態的信息？

保拉·亞努科維奇：在我剛開始擔任網絡安全顧問時，我已經大概了解了市場上正在發生的事情。我曾經在一家非國際企業的咨詢公司工作過一段時間，參與過不同類型的團體活動和特殊項目。這種環境促使我廣泛閱讀新聞，并與不同行業的人士進行交流，這些能夠幫助我深入了解IT安全行業正在發生的事情以及人們如何解釋相關事件的發展變化。在大學里，我主修計算機科學專業，并投入很多精力實踐在大學里學到的知識。但如今來看，僅了解一些皮毛是不夠的，還需要無數次的探索和實踐。值得一提的是，如今我們可以利用線上工具幫助人們學習、更新知識，如推特（Twitter）、GitHub代碼托管平臺、大型新聞門戶網站或者像Medium輕量級內容發行平臺等。利用這些平臺，我們能及時了解當下發生的網絡安全事件，并熟悉各種專業解決方法和策略。

Boxcryptor：當您受雇于一家特定公司，在檢查其IT安全狀態時，您首先會看哪里？

保拉·亞努科維奇：因為每個項目都是不同的，所以方法也多種多樣，這主要取決于項目的類型。例如，當我們進行內部滲透測試時，經過的第一階段是識別和監察，這一階段的網絡威脅活動不易防范，所以要清楚，哪里需要怎樣的服務。一些公司的信息被通過各種途徑惡意公開到互聯網上，其中，內部人員很容易被誘騙導致信息的外泄。隨著時間的推移，利用這些信息可以完整地識別特定公司的流程、組織結構和潛在的弱點。在監察階段之后，決策者們可以選擇合適的方法推進滲透測試。測試期間的主要目的在于指出技術、流程、管理、用戶使用等方面的漏洞，我們會為系統所有者提供信息技術支持，并將技術發現轉化為有價值的風險管控方案。

Boxcryptor：識別和監察階段之后會發生什么？

保拉·亞努科維奇：第二階段是掃描。該階段的目的是對訪問人員的身份進行掃描識別，并確定可信人員具有哪類級別的訪問權限。對互聯網服務器和網絡資產進行詳細的安全分析，有助于驗證安全性（方法、工具、詳細的測試步驟以及研究的問題取決于特定企業）。一旦攻擊者掌握了企業的運作方式并獲得有價值的內部信息，他們就會對外圍設備和內部網絡設備進行掃描，試圖尋找弱點。

Boxcryptor：您是否也會考慮在該公司工作的職員，還是僅僅考慮您正在測試的項目？

保拉·亞努科維奇：當然要考慮人為因素。在各種組織中，人為錯誤仍然是導致數據泄露的首要原因。攻擊者不斷開發更好的策略來誘騙內部人員泄露敏感數據。因此，仍然需要在公司內部建立網絡安全防護意識和總體意識。以目前的情況來看，事態有所好轉。

Boxcryptor：作為安全顧問，您曾為哪類公司提供過建議？如何改善他們的安全狀況？

保拉·亞努科維奇：我們的團隊為國際上眾多的企業提供過咨詢。有些企業的雇員人數超過20萬，這是非常鼓舞人心的。顧問的優勢在于，你在網絡上工作的次數越多，遇到的人越多，所獲得的經驗也就越多。在網絡安全領域中，最具有挑戰的是，每個企業所處的安全環境都不相同，因此我們必須針對不同類型的工作環境進行個性化的調整。

我們在執行方案之前，會和客戶進行詳細的商談。我們相信只有這樣，才能提供讓客戶滿意的IT服務，產生更多的附加值，并為客戶創造更多利潤。

顧問的職責是熟悉當今世界的各種安全環境。雖然案例是特定的，但是我們能夠看到其背后的模式——相同處理方案所針對的不同問題會一次又一次地重復。從客戶的角度來看，有些問題可能是全新的，但我們以前已經看到過，并且可以提供準確的幫助。

Boxcryptor：請舉例說明您在工作中遇到的安全問題，以及您和您的團隊是如何解決這些問題的？

保拉·亞努科維奇：由于我們工作的高度機密性以及我們開展合作的行業重要性，很難透露細節。但是讓我們想象一下，當一位網絡安全專家來到客戶的辦公室，環顧四周，發現員工的密碼就寫在他們的電腦旁邊或是更糟糕的情況，這些都是易被忽略的安全隱患。據統計，超過25%的美國員工承認，當結束一天的工作下班時，都沒有鎖閉電腦的習慣，甚至有更多的員工在去短暫休息時也不鎖閉電腦。當面對這樣的問題時，也為我們的團隊（或受邀的外部顧問）提供了一個快速了解企業情況的絕佳時機。對于組織來說，尤其是處理高度敏感信息和個人數據的組織而言，確保技術和用戶信息安全是多么重要。

Boxcryptor：您認為目前貴公司面臨的最大威脅是什么？IT安全戰略中的常見弱點是什么？

保拉·亞努科維奇：人為錯誤是進行安全防護時最薄弱的環節。因為人們容易受到情緒的影響或是被人利用。然而，所有的組織都是由人構建的，管理員、IT專業人員或決策者也會失誤。

如今，我們有首席信息安全官（CISO）或首席運營官（CCO）這樣的職位，但在復雜的情況下，我們往往會忘記網絡安全的核心原則，因為我們沒有足夠的時間去關注當前的趨勢和最新的安全解決方案。因此，對所有人而言，網絡安全沒有終點，新的挑戰會隨時出現。

Boxcryptor：目前量子技術對貴公司來說是真正的威脅嗎？如果不是，您認為何時情況會變得危急？

保拉·亞努科維奇：首先，我想強調的是，谷歌公司于2019年10月發布聲明，引發了一場關于技術發展缺乏限制的大規模辯論，這的確是網絡安全專業人士爭論的一個焦點。量子計算機比最先進的現代超級計算機更加強大。從理論上講，肖爾算法可用于以指數級的速度分解大的復合數。因此，如果黑客能接觸足夠強大的量子計算機，他們就可以輕松地破解加密系統。當然，量子技術仍在促進醫學分析、金融計算等領域發揮作用。如今，我們仍然不夠了解量子計算是如何影響日常數據處理的，一旦量子技術變得真實可用，網絡安全團隊將面臨全新的挑戰。

Boxcryptor：企業面臨的一個威脅是設備被盜或丟失。例如，我首先想到的是該領域的銷售人員。您對這一說法有什么建議嗎？

保拉·亞努科維奇：由于無法阻止盜竊或丟失事件的發生，因此，確保設備上的數據安全非常重要。將數據存儲在云中是推薦的解決方案之一，在云中可以輕松管理所有權限。

Boxcryptor：您認為公司現在更愿意將數據遷移到云上嗎？在過去的幾年里，您有沒有看到這種情況的發展？

保拉·亞努科維奇：實際上，公司正在邁出這一步。我們有許多客戶將IT系統放入云中，不需要對這些系統提供額外的技術支持。IT系統從本地基礎設施遷移到云通常可以降低風險，但可信性在這其中始終扮演著重要角色。

Boxcryptor：您認為是什么真正說服公司將業務遷移到云上？

保拉·亞努科維奇：首先是服務的連續性，其次是實現各種現成的安全解決方案成為可能。如今，因為云計算的易操作性，不必熟悉不同類型的服務器技術，也不需要現場維護人員，越來越多的中小型企業選擇轉向云計算方向。然而云并非適用于所有企業，它是為可以在外部服務器上運行的服務而創建的。

云可以給我們提供很多東西。當我們與客戶討論數據策略或安全策略時，實際上，項目與將數據移動到云端有關。

Boxcryptor：您認為人們是否已經準備好，并且足夠精通相關技術來處理2FA（雙因子驗證）？

保拉·亞努科維奇：是的，如果他們能處理電子郵件，他們就能做到。相比之前復雜的操作，如今我的祖父母也可以使用不同類型的在線服務，但因為網絡安全不是每個人的研究領域，所以世界各地的終端用戶都需要能為他們提供安全保障的服務。

Boxcryptor：那么，您認為用戶越來越精通技術了嗎？

保拉·亞努科維奇：是的，確實是這樣。這是隨著技術的發展和普及而自然發生的。

Boxcryptor：我們想和您討論的另一個話題是尋找新的人才。一些公司IT部門很難招到合適的員工。例如，在德國，目前僅IT行業就有124000個職位空缺。您在CQURE公司采取什么措施來建立一個好的團隊？

保拉·亞努科維奇：CQURE公司的團隊極具多元化。從一開始，我就專注于從收到的求職申請中選擇有趣的人，他們大多數人都有很強的技術背景，但很少有人具備注重細節如“偵探”般的態度。當我們招募新的團隊成員時，我們不僅要檢驗他們的技能水平，還要檢驗他們的創造力和熱情。

Boxcryptor：如果讓您推薦推特上的另一位女性網絡安全專家，那會是誰？

保拉·亞努科維奇：來自新加坡的瑪格達·切利（Magda Chelly）。她是亞洲地區非常受認可的安全顧問，具有很多經驗和有趣的觀點。