安全團(tuán)隊(duì)缺乏人員或者只有一個(gè)安全人員意味著在安全問(wèn)題上往往沒(méi)有雙重驗(yàn)證，并導(dǎo)致增加許多虛假信息，從而浪費(fèi)安全人員本應(yīng)分析各種海量安全信息的珍貴時(shí)間。如果沒(méi)有充足的時(shí)間正確地解決安全問(wèn)題，就會(huì)對(duì)整個(gè)企業(yè)產(chǎn)生破壞性的后果。

但有幾個(gè)關(guān)鍵的因素會(huì)使小型的安全團(tuán)隊(duì)仍能大有作為。

1.了解企業(yè)環(huán)境

“知彼知已，百戰(zhàn)不殆?！睘榱吮Ｗo(hù)企業(yè)環(huán)境，你必須理解這個(gè)環(huán)境并知道用戶(hù)們?cè)谄渲凶鍪裁?。不妨回答如下幾個(gè)問(wèn)題：用戶(hù)們最喜歡訪(fǎng)問(wèn)的網(wǎng)站是哪些？（了解此問(wèn)題有助于你先發(fā)制人，或者預(yù)防水坑（Watering Hole）攻擊）用戶(hù)們位于何處？（如果用戶(hù)從一個(gè)不經(jīng)常使用的位置登錄，就有可能成為入侵的第一個(gè)證據(jù)）用戶(hù)們?cè)谙掳嗪蠖纪媸裁从螒?？（如果這些游戲被利用了其中的Flash漏洞，或者游戲編制者已經(jīng)在游戲中做了手腳，該游戲就有可能成為企業(yè)網(wǎng)絡(luò)的“隱形殺手”。）將這些有用的信息融合到企業(yè)網(wǎng)絡(luò)的防御中非常實(shí)用且重要。記住，我們的目標(biāo)不是窺視，而是為了監(jiān)視和保護(hù)。

2.溝通

為了在高級(jí)管理人員和普通員工中高效地創(chuàng)造安全意識(shí)，安全從業(yè)人員必須善于進(jìn)行良好的溝通。問(wèn)題的關(guān)鍵是，將適當(dāng)?shù)男畔⒂谜_的方法傳達(dá)給適當(dāng)?shù)娜恕＠?，在你試圖向高級(jí)管理人員傳達(dá)一個(gè)重要漏洞的緊急性時(shí)，不妨包括如下方面：

一個(gè)指向漏洞解釋的鏈接。

列舉三四個(gè)要點(diǎn)，清楚地評(píng)估公司風(fēng)險(xiǎn)。

你對(duì)解決問(wèn)題的看法，或者為減輕風(fēng)險(xiǎn)應(yīng)立即采取的行動(dòng)。

請(qǐng)求管理人員制定明確的事件響應(yīng)計(jì)劃

溝通風(fēng)格可以在很大程度上影響員工在企業(yè)中的形象，而良好的溝通又可以使工作更高效。如果安全人員經(jīng)常用“下一個(gè)重大的零日漏洞”來(lái)嚇唬人，其效果最終就會(huì)如同“狼來(lái)了”一樣，企業(yè)對(duì)下一個(gè)威脅就會(huì)變得麻木，并且有可能破壞不同團(tuán)隊(duì)之間的合作。

嚇唬解決不了問(wèn)題，而教育和向用戶(hù)演示正確的安全實(shí)踐會(huì)帶來(lái)更高的回報(bào)。而這樣做反過(guò)來(lái)又會(huì)促進(jìn)合規(guī)和協(xié)作，從而減少或避免安全事件的發(fā)生。

3.自動(dòng)化

在小型的安全部門(mén)，使任務(wù)自動(dòng)化非常重要，因?yàn)檫@可以節(jié)省大量時(shí)間和資源。技術(shù)集成以及與其它團(tuán)隊(duì)之間的數(shù)據(jù)接口都適合實(shí)施自動(dòng)化。經(jīng)驗(yàn)豐富的安全專(zhuān)家知道什么時(shí)候可以自動(dòng)化、哪些方面不適宜自動(dòng)化。

記住，我們不能使一切都自動(dòng)化。安全永遠(yuǎn)是首位的，不能讓自動(dòng)化困住。為有助于任務(wù)自動(dòng)化，你不妨花時(shí)間學(xué)習(xí)一門(mén)腳本語(yǔ)言，還要了解企業(yè)服務(wù)器正在運(yùn)行的任務(wù)是什么。

4.例程化

對(duì)于小型的安全團(tuán)隊(duì)來(lái)說(shuō)，每天、每周甚至每小時(shí)都有一套完成任務(wù)的例程化或常規(guī)的過(guò)程是很有益的方法。例如，安全人員每天應(yīng)首先檢查警告，直至所有的危急和高度嚴(yán)重的警告都得到解決。其次，要每天檢查事件?？赏ㄟ^(guò)事件分類(lèi)（例如，漏洞利用、惡意軟件、認(rèn)證）、數(shù)據(jù)源、數(shù)據(jù)量等來(lái)檢查。每天執(zhí)行這種檢查有助于知道哪些正常，并更輕松地找到異常情況。這種檢查過(guò)程還可以幫助安全人員調(diào)整并創(chuàng)建更合理的策略。

每周應(yīng)至少執(zhí)行一次漏洞掃描。掃描應(yīng)具有針對(duì)性，而且應(yīng)將相似的服務(wù)器或子網(wǎng)組合在一起。全面地掃描整個(gè)環(huán)境只會(huì)增加掃描時(shí)間，并且報(bào)告起來(lái)也困難。在掃描漏洞之前，要確保你已經(jīng)建立了修復(fù)計(jì)劃，否則就會(huì)浪費(fèi)時(shí)間，并會(huì)暴露網(wǎng)絡(luò)。

5.威脅共享

安全專(zhuān)家可以利用大量的威脅情報(bào)共享，從業(yè)界的同仁獲得信息。共享的雙向交互對(duì)于理解企業(yè)面臨的最新最嚴(yán)重的威脅是至關(guān)重要的。安全專(zhuān)業(yè)人員只要有所準(zhǔn)備，并建立良好的習(xí)慣，就完全可以更高效地解決安全問(wèn)題。