管道信息过载：网络安全警报的真实价值

重点信息

最近，在我们的一次周编辑会议上，老记者德里克约翰逊提到：“又有一条CISA警报。”我问：“我们要报道吗？”德里克的回答表明他对这些警报的有效性产生了疑问。他在推特上进一步阐述了这一点，指出过去六个月中美国及西方政府发布的网络安全警报数量之多，令人感到应接不暇。

“有些警报详细介绍了之前未披露的攻击活动或恶意软件，而另一些则更像是再循环的最佳实践或常规网络安全公共服务公告。”

德里克的观点引发了我对这些警报价值的深刻思考，尤其是在信息安全社区在从地缘政治中提炼出实质威胁方面面临重大挑战时。尽管个体确实在寻求指导，但一些行业人士告知我，他们所获得的信息却让人感到收效甚微。

随着我们准备在RSA大会上亲自见面，我好奇组织者和演讲者在最终确定议程时如何应对这一挑战。俄罗斯乌克兰冲突是许多近期政府警报的来源，而这一冲突的爆发是在征稿截止后进行的，这显然未被纳入初期规划。如今，这一背景却成为了重中之重。那么，哪些方面会影响网络安全专业人员的日常工作呢？他们真正需要了解什么？作为一个行业品牌，我们也在为此而挣扎：帮助识别在源源不断的网络新闻和事件中，哪些与网络安全专业人员的工作紧密相关。

一些RSA大会演讲者积极回应了这些问题。例如，能源影响合伙公司的尼洛法拉齐霍威将讨论网络对现代冲突的影响，以及俄罗斯乌克兰战争对未来区域冲突的影响。她可能会提到与网络战争相关的关键基础设施威胁以及这些威胁可能超出冲突边界的潜力，这些都是非常有价值的信息。赞助商的演讲来自SentinelOne和Forescout，它们分别关注乌克兰恶意软件的使用，以及如何利用威胁情报追踪俄罗斯和其他国家行为者。它们将冲突中出现的战术应用到组织防护中，清晰地连接了世界另一端的军事行动与企业中的网络安全，确实是具有参考价值的。

然而，我们是否能对这些警报也持同样看法？某些警报确实指向了特定的恶意软件传播，像SentinelOne的演讲一样，这些信息具有实际意义。还有一些警报则关注关键基础设施的攻击，这些信息有时很实用，能够提供明确指导，但也有时显得模糊和显而易见。像Ian ThorntonTrump所嘲笑的警报“初始访问中经常被利用的弱安全控制和实践”就像是过时的公共服务公告。对于某些人来说有用，但显然不适合作为“警报”。

这种情况的危害是什么？至少是分散注意力。一位国防承包商的安全管理员最近告诉我，这是一种全新的警报疲劳接连不断的风险信息轰炸，这些信息可能与团队如何管理自己的系统和网络无关。他们应该分配资源吗？策略需要调整吗？他们是否真的会成为目标？之前不是已经解决过这些风险了吗？还是他们记错了？最先进的专业人士可能知道如何过滤掉那些实际上不过是噪音的信息，但有些人可能会因此分心，质疑自己，浪费时间。

当然，这在一定程度上是时代的产物。与疫情相关的漏洞、由军事冲突引发的威胁以及网络犯罪一般的上升，使所有安全团队在优先事项上