2015黑帽大会：网络灾难后 重建IT安全

在2015年黑帽大会上，在政府、军队和私营公司拥有超过20年经验的IT安全专业人士Kubecka谈到了重建企业网络安全的过程，这是基于她2012年在Saudi Aramco工作时遭受的重大网络攻击事件。

Saudi Aramco是世界上最大的石油生产商，也曾是世界上最有价值的公司，而在2012年，该公司遭遇了重大网络攻击，影响了2万台工作站计算机。Saudi Aramco指出，石油生产并没有受到影响，但Kubecka表示这是因为该公司的安全预算优先了工业控制系统（ICS）的安全性，而不是IT。

Kubecka表示，Aramco公司认为这次网络攻击仿佛是有人闯入他们的房子，并给他们留下心理创伤。Acamco公司开始不信任电脑，并且该公司内部人员开始越来越疑神疑鬼。员工甚至因为他们无法登录到计算机而在网上发帖称遭受另一次攻击。

Saudi Aramco当时的首席执行官Khalid Al-Falih在2013年的能源行业会议中总结了这次攻击的影响，“永远不要低估你对你的信息技术和系统的依赖程度，”Al-Falih表示，“这就像氧气，你认为你可以没有它，但你不能。”

在这次攻击后，Saudi Aramco完全隔离了其网络，还限制计算机之间的访问、切断外部供应商连接，甚至关闭桌面电话。

在这样的环境中，Kubecka负责为Aramco Overseas Company建立第一个IT安全部门，Aramco Overseas Company是Saudi Aramco的子公司，负责为南美和沙特阿拉伯意外的EMEA地区的Saudi Aramco提供所有IT服务。

Kubecka承认她这个工作的优点是有非常大的预算，但她给出的建议同样可以用于预算有限的情况。她还建议存在严重预算问题的企业应该以联合安全企业的形式协作。

对于招募人才，Kubecka称，网络和社区会议等地方很有用，但她还通过Reddit发现人才。她建议招聘人员考虑候选人的“职业形象”、证书或者学位，并考虑那些在家工作以及非常热爱工作的人，即使他们的经验不太匹配。

Kubecka指出，在很多情况下，IT职位给员工很少的休息时间，所以她会确保工作时间安排表会给员工时间“去外面走走，看看太阳”。并且，她称，对于预算方面，工资并不代表一切；IT需要确保预算中还有培训费用。

Kubecka称：“你需要能够用现在的教育水平来应对现在的威胁。”

IT安全部门与业务部门之间的沟通和开放程度也会创建很多价值。企业应该让员工需要感觉到，IT是平易近人的，Kubecka还建议对向IT报告潜在安全问题的员工给与奖励。

在另一方面，IT需要更多地了解业务方面，而不只是查看数据包。IT对业务运作越了解，IT就更容易发现威胁安全性的异常情况。

最后，Kubecka指出，永远不要低估做好准备的力量，这包括通信和应急演练以应对最终的网络灾难。

“当你遭遇网络攻击时，”Kubecka称，“这将会带来混乱，所以应该尽量提前计划。”