成为一名网络安全研究员需要什么？

应对当今网络威胁所需的战略和解决方案的背后是—；专注的网络安全研究人员。他们一生都在剖析代码和分析事件报告，以发现如何阻止坏人。

但这些专家的动力是什么？为了理解这些网络安全专业人士为什么这么做的动机，我们决定与来自世界各地的网络安全分析师进行交谈。

为了获得欧洲、亚洲和美洲的观点，我们最近与Acronis全球网络保护行动中心（CPOC）的一组研究人员进行了交谈：坦诚的，总部位于瑞士的网络保护研究副总裁；亚历山大·伊万纽克，产品和技术定位高级总监，总部位于新加坡；两名网络安全分析师，和布莱克·柯林斯，他们都在美国。

这场对话对他们的世界观、他们如何进行网络威胁分析，以及当今网络安全领域面临的最大挑战是什么风险产生了一些有趣的见解。

作为一名安全分析师，是什么驱使你做这种工作？

虽然这些网络安全研究人员之所以这么做的个人动机因人而异（就像他们在任何行业中一样），但有两个特点是最重要的：热爱解决问题和做好人的愿望。

维斯特解释说：“我是一个好奇的人，喜欢谜题和挑战。因此，追踪网络攻击并找到有效破坏攻击过程的方法对我来说很有吸引力。”

柯林斯回应了这一观点，他说：“恶意软件对我来说很有吸引力，因为它可能是一个谜。它是如何做到的，它在做什么，谁应该负责？深入研究模糊的代码，理解并扭转它是如此令人满意。此外，当你消除威胁时，有一种让世界变得更好的感觉。”

让数字世界变得更安全的动力也被其他人分享。特博解释说：“从某种程度上说，编写检测规则，或报告新的C2服务器，感觉就像是治安法官。我可能并不总是蝙蝠侠，但作为阿尔弗雷德—；支持打击罪犯的努力，感觉还是不可思议的。”

威斯特认识到，让互联网成为一个对每个人都更安全的地方具有实际影响。“看到一些网络攻击摧毁了现实世界中的生命，令人不安。因此，我想为改善这种情况做出自己的贡献。”

他们解决问题和防止袭击的努力是绝对必要的。尽管75%的公司报告称已采取了所有建议的安全措施，但去年有超过一半的公司因数据丢失而出现意外停机。

作为一名安全分析师，你在职业生涯中遇到的最大惊喜是什么？

即使在网络安全领域工作了55年，这些研究人员仍然在日常工作中发现了惊喜。

柯林斯说，从技术角度来看，“存在的恶意软件数量之大让我感到惊讶。如果你关注网络安全新闻，你会普遍认为恶意软件无处不在，会造成问题。但在幕后，你开始意识到恶意软件变种的数量之多令人吃惊。”

维斯特补充道，同样令人畏惧的是，改变坏习惯需要多长时间。“作为一个行业，我们仍在与SQL注入、弱默认密码或未加密的敏感数据等旧问题概念进行大量斗争。这些问题有解决方案，但它们没有得到应有的广泛应用。即使出现了巨大的隐私丑闻，最初也会引起强烈抗议，但人们很快就会回到旧习惯中s、 "

不幸的是，这些习惯可能会导致更糟糕的事情；冷漠“最大的惊喜是网络安全专业人士的自满，”特博说。“我经常遇到‘就是这样’的态度，这让我感到震惊。我希望看到更多的专业人士对打击网络犯罪的挑战感到兴奋，甚至庆祝一路上的小胜利。”

在识别或应对新的网络威胁方面，您发现哪些趋势或技术最有效？

由于攻击者正在使用自动化和AI/ML优化，新威胁不断增加，Wüest是威胁无关保护解决方案的支持者。

“与其试图识别每周出现的400万个新的恶意软件样本，不如专注于保护您的数据免受任何不必要的篡改或加密，而不管恶意软件看起来是什么样子。超越流程上下文的智能行为监控可以成为对抗现代网络威胁的有效武器。”

作为网络保护研究的负责人，他补充说，用户实体行为分析（UEBA）与零信任、安全访问服务边缘（SASE）和多因素身份验证（MFA）相结合是很有前途的，尤其是考虑到今天的工作，无论在何处，都能实现任何现实—；但他警告说，没有银弹。

“跨筒仓的集成方法以及高效的自动化和可视性是关键，但基础知识的重要性也是关键，例如强大的身份验证和补丁管理，这一点太多组织仍然忽视了。”

Ivanyuk对此表示同意，他说“使用行为启发法和适当的AI/ML模型对于识别入侵至关重要，但MFA和基于角色的管理等简单的东西，加上持续的漏洞评估和补丁管理，在防止攻击方面出人意料地有效。”

为了使这些自动化解决方案成为可能，柯林斯说，他有能力将常见的恶意行为或代码提取到一个简单的规则或签名，这对他很有帮助。

“这些类型的检测可以让你撒下一张大网，带来新的、未被检测到的恶意软件进行分析。”

特博指出，趋势分析也是一种有效的技术。在研究加密劫持恶意软件时，他决定研究加密货币的一般趋势。“我发现加密劫持的高峰和低谷紧随着加密货币价值的上升和下降。这让我们能够在24-48小时内开始抵御下一波攻击，并知道应该寻找哪种加密货币。”

有没有发生过让你惊讶的复杂攻击事件—；甚至给你留下深刻印象？

伊万纽克指出，Stuxnet攻击和最近的SolarWinds黑客攻击等经典攻击都是很好的例子，但柯林斯指出，攻击的复杂程度并不总是令人印象深刻的。

他说：“恶意演员能发现的漏洞给我留下了深刻的印象。”。“几年前，PHP7中有一个漏洞，它允许RCE通过在web地址中传递一个带有有效负载的参数来使用，这一点出人意料地简单。有时，漏洞越简单，就越令人印象深刻。”

Wüest是最早进行Stuxnet深度分析的团队的一员，他说一些勒索软件攻击者通过使用未受保护的备份云控制台采取了一种有趣的方法。

“他们通过创建一个新的备份到自己控制的云位置来窃取敏感数据。然后他们使用备份软件将恶意软件恢复到组织内部的关键工作负载。这是一次令人印象深刻的使用“以陆地为生”技术，使受害者自己的可信基础设施与他们作对。”

你能对你最关心的安全威胁进行排名并解释原因吗？

这四位网络安全研究人员一致认为勒索软件仍然是当今最大的安全威胁—；特别是考虑到从简单的数据加密到数据过滤的转变。

“有针对性的勒索软件是我的首选，因为双重勒索模式，即数据被盗和工作负载加密，对攻击者来说可能非常有利可图，”Wüest说。“随着赎金需求达到5000万美元，网络犯罪分子没有理由停止。应用的技术长期以来一直与APT方法相结合，比如靠土地生活或利用Exchange ProxyLogon漏洞等暴露服务，这使得更难可靠地检测。”

在过去的15个月中，AcONIS CPOC分析家发现有证据表明，世界各地超过1600家公司在勒索软件攻击之后泄露了他们的数据，这就是为什么他们被称为“敲诈之年”的原因。

“到了一定程度，我甚至不敢再称他们为勒索团伙了，”特博补充道。“我开始把他们称为敲诈勒索团伙。数据外泄和威胁发布任何敏感信息已成为敲诈勒索的主要方式，他们在最初的时间框架后增加了越来越多的赎金要求，并威胁说，如果不支付赎金，他们会发起额外的攻击，如DDoS攻击。”

伊万纽克解释说：“勒索软件让他们用无法追踪的加密货币获取资金，而通过网上银行偷钱增加了他们以后被抓住的机会。”。“问题是勒索软件仍然运行良好，特别是因为个人和公司仍然不了解勒索软件。”

事实上，Acronis最近对全球IT用户和IT专业人士进行的一项调查显示，25%的用户不知道勒索软件是什么。

除了勒索软件，这四位研究人员都预计，像SolarWinds漏洞这样的供应链攻击会增加。“这些攻击有很多种，从危害软件供应商到在开源代码库中注入代码，”Wüest说

“由于信任链的性质，几乎不可能识别此类操纵，直到为时已晚，因为它是根据需要从受信任的来源下载并由官方数字证书验证的。此类攻击创建起来并不简单，但在未来将继续增加，因为即使有良好的保护，它们也会成功攻击目标。"

特博补充说，网络安全领域的任何人都应该关注另外一个风险—；无论他们是研究人员还是在前线。

关于Acronis网络保护行动中心：Acronis在新加坡、亚利桑那州和瑞士设有网络保护行动中心全球网络，使CPOC分析人员能够在24小时的行动中使用跟踪太阳的方法。分析人员检测、分析并准备应对新的数据风险，从最新的网络攻击到自然灾害。收集的见解用于发布威胁警报，以保护客户环境，并帮助公司开发网络保护解决方案。