安全从业者会不会在现实中遭受人身威胁？

Recorded Future的情报分析师艾伦·利斯卡（Allan Liska）说：“这些勒索软件组织中的许多不法分子仍旧逍遥法外，而他们只要不离开俄罗斯，他们所犯下的任何罪行都不会产生实际的后果，因此只要他们能得到克里姆林宫的保护，他们就可以更大胆、更无耻的肆意破坏。”

正如Liska所说，这种保护使黑客组织多年来对安全专家们的工作、生活都产生了相当大的影响，虽然Liska他自己没有受到过直接的威胁，但他听说过此类事件，尤其是当安全人员在个人层面与不法分子接触时。“我所知道的这些案例里，勒索软件组织曾威胁过安全人员的孩子。”

随着网络世界越来越发达，越来越多的数据被公布在了网上，网络犯罪分子可能会想办法收集到安全专家们的个人信息，比如姓名、电话、地址，甚至相关的家庭成员信息。这些不法分子会在暗网、地下论坛上发布安全专家的个人隐私，并邀请社区内的其他人一起攻击安全专家。

Liska指出，与几年前相比，这些犯罪分子可能更倾向于一起“工作”并分享信息。“他们会成立自己的敲诈网站，不仅可以发布受害者们的信息，还可以沟通他们的想法，以比较出更恶劣的犯罪手段。”

最近几个月，网络犯罪分子变得更加激进了，可以看到所发生的安全事件对社会安宁有着巨大的影响。比如前不久的Conti集团，该集团对哥斯达黎加的数十个社会组织发起了进攻，并促使总统罗德里戈·查韦斯宣布全国进入紧急状态。Conti集团曾宣布道，他们的目标是推翻政府，这对于勒索软件组织来说是一个“不可思议”的目标。

哈佛肯尼迪学院贝尔弗中心网络项目执行主任Lauren Zabierek表示，这种史无前例的攻击标志着勒索软件活动的新升级。也就是说，如果勒索软件组织发现他们可以劫持整个国家，向整个国家勒索赎金而不会受到惩罚，那这将使整个世界的大环境都变得不可想象，战争因此会随时爆发。

Liska表示，此类安全事件证明了勒索软件组织与恐怖分子之间的形象越来越接近。尽管如此，恐怖分子似乎要更足智多谋点，包括针对安全人员时的表现，恐怖分子的威胁可能更加微妙。比如在某些情况下，参加会议的安全专家在检查会议室时会收到小红包，这可能是恐怖分子在建议他们停止调查。

2021年1月，谷歌威胁分析小组发现有朝鲜黑客冒充网络安全博主，并向安全专家发送了Visual Studio项目。Adam Weidemann 在 Google 的博客上写道：“在Visual Studio项目中，将有一个额外的DLL通过Visual Studio构建事件执行。而DLL是自定义恶意软件，它会立即开始和参与者控制的C2域进行通信。” Weidemann和他的同事们还发现，一些安全人员在访问了朝鲜黑客所发送的链接后遭到了入侵。

Weidemann如此建议：“如果你担心自己会成为目标，建议使用单独的物理机或虚拟机划分研究活动，比如以此进行一般的网页浏览，以此与研究社区中的其他人互动，同时以此接受来自第三方的文件等。”

2021年11月，类似于这样的事情又发生了。谷歌声称有朝鲜黑客自称为三星的招聘人员，他所发送的PDF文件里详细地说明了工作机会，而其实际目的却是想在安全人员的计算机上安装木马后门。

威胁不仅仅只限于调查国家资助团体或调查勒索软件团伙的安全人员。寻找漏洞和物理安全专家也可能成为目标，有时威胁还可能来自于他们想去帮助的某家企业或组织。开锁者马特·史密斯（Matt Smith）的身上就发生过这种情况：“我第一次独立开发锁时，公司知道了此事，他们不遗余力地想找到我并起诉我，包括威胁要向在线论坛发出传票，要求其放弃我的IP地址。”

然而第二次的情况更糟糕了，Smith受到了人身威胁。他回忆道：“我当时正在研究 Abloy Protec II，他们的一位美国经销商非常生气，因为研究表明他最安全的锁可能非常脆弱，所以他开始向我发送辱骂性的电子邮件，并要求我告诉他我正在做什么。当我没有给到他想要的答案时，他甚至威胁说要将我情理掉并且不在乎花多少钱。”

之后Smith所收到电子邮件里，详细地记录了在线谈话中Smith的脸部截图和他所居住的街道照片。而这些街道照片离Smith的家庭地址已经足够近了，这对个人而言产生了极大的影响。Smith表示自己从此不再回复该人并更改了他的电子邮件。

而另一方面，寻找漏洞的安全人员还必须学会驾驭威胁。WithSecure 的首席技术和威胁研究员Tom Van de Wiele说：“虽然我们得到的反应通常是不愉快的，但在这行业里工作时间越长，就越能习惯这些。”因此，工作经历让他变得更加谨慎，也教会了他如何更好地追查，如何发现更主要的问题，并教会了他在面对公司群体时，该选择什么语言去解释专业问题，以及该如何根据不同情况调整自己的期望等。

通常，寻找漏洞的安全人员会被威胁要起诉他们的组织给吓倒，而最好的解决方案是构建详细的报告。在撰写有关漏洞的报告时，安全人员应从技术风险入手，将其转化为业务风险，并添加可能会受到影响的领域。Van de Wiele表示，安全人员还应该证明在这个过程中没有违反任何法律。

“最重要的是，确保可以提供不同的缓解方案来纠正所发现的漏洞，最后用‘该怎么修复它’来结束报告。最好是能与受影响的公司一起思考该怎么在短期内减轻打击面，同时一起商量该如何将风险降到最低。”

从事信息安全工作便意味着要承担风险，正如Cofense的 Tokazowski所说：“这就是安全工作的本质。”。安全专家必须学会谨慎行事，当他们以自己的名义发表研究时，往往会被不法分子视为眼中钉，因此谨慎的态度有时可以保护到家人的安全，这就是为什么从事敏感工作（例如追踪恐怖组织）的公司不会在他们所发布的报告中包含研究人员的姓名。

哈佛肯尼迪学院的扎比瑞克说：“安全人员虽然保护了企业、组织的信息安全，但他们却很难保护自身的安全，因为对于个人来说，除了去警察局报案外似乎没有再多的安全防护措施了。若能成立帮助网络受害者的组织，并同时具有足够大的影响和底蕴，可以面对各种威胁甚至包括来自于政府的压力，那就最好不过了。”

所以，在没有这种社会组织出现之前，那些自己想保护好安全人员的公司应该不断确保其内部的安全实践是最新的，同时这些公司还应该为最坏的情况制定计划，比如模拟出员工已成为目标的情况，并对此制定详细的程序。

而在国内，各公司首先得依仗法律法规，这是作为公民组织最有效的保护手段，《网络安全法》《数据安全法》《个人信息保护法》等，需要公司从上至下地贯彻到位。

公司可以制定适合的管理体系，比如所建设的网络安全总体框架可以包含这么几个部分，首先是合规要求，即上述所说的各法律法规，然后是安全基础，依次分为云平台安全、网络安全、主机安全、数据安全、应用安全等。管理体系里可以包括规章制度，组织流程和策略，与之对应的还有安全技术体系和安全运营体系。最后是安全大脑或安全管理中心、运营中心，以及SOC体系，由此组成企业网络安全总体框架。

有了这样的管理体系，就不容易将参与在公司各部门里的员工数据泄露出去，对企业、对员工都是一种保障。而只有保护好公司里的安全人员，公司的安全才会有所完善。

综上所述，国外安全专家一致建议安全从业人员避免在网上分享过多的个人信息，比如上文中所提到的Smith，他只会在社交媒体资料上发布虚假信息。“你需要确保正在采取的预防措施是有效并适当的，这样才能保护好你的家人。”

除了在线安全外，安全专业人员还必须注意现实安全。Smith建议在栅栏、墙壁、门和锁上得所有措施。“我通常会使用那些无法强行撬开的锁、无法绕过的门以及难以复制的钥匙来装备我的家园。” 他推荐的锁具包括 ASSA Twin、EVVA MCS 和 Abloy Protec II，他认为这些是目前市场上最安全的锁。尽管这些锁具也有可能被打开，但好过一点防范也不做。

除了坚固的门锁外，家庭和办公室还应使用闭路电视。“确保它们是有线的，而不是无线的，因为无线的只是将数据包扔到设备上就能阻止它们工作，报警系统也是如此，有线连接永远是第一选择。”

据研究人员介绍，闭路电视和报警器的布线需要做到让外部无法访问，并且闭路电视录音盒应将所有内容备份到云端。Smith说：“最好让闭路电视可以观察到多人，以便在发生事故时有所冗余。而最好的警报器会在中断时发出警报。”

还需要考虑一些事项：

1、注意安全照明，它通常是传感器驱动的。

2、使用邮政信箱，让他人更难追踪地址。

3、善待邻居，他们会在谁进入到你的家里时发出提醒。

对于此类“安全专家受不法分子威胁”的事件，国内似乎并不多见，一方面源于我们的法治体系给了我们很大的安全感，另一方面也或许是因为我们的安全行业还在发展当中，还并不能引起过多的“重视”。然而，虽然如此，国内安全专家还是有宝贵的话语希望诸位能够共勉。

某金融科技公司安全专家蔚晨认为：“针对企业安全人员收到人身安全威胁的问题，我觉得这更多的是一个企业范围保护者需要保护个人安全的问题。这很像日常生活中的企业安保人员，他在执行安保任务过程中，一旦针对不法分子执行了反制措施，由于他不是执法者就很可能受到不法分子的报复、恐吓与威胁。为了保障所属企业的资产安全（这里包括物理资产与IT资产），企业安全人员必须拥有在企业范围内的执行安保行为的权利（包括部分反制行为）。但不同于政府授权的执法机构，企业安全人员若执行了反制措施，获取了不法分子的信息并上报执法机构，就很可能受到个人安全威胁。”

对此，蔚晨建议从三个方面来加强对企业安全人员的保护举措：

1、明确的立法。针对企业安全人员的反制行为应该给予肯定和保护，执法机构应该有责任彻底打击网络不法分子的报复行为并将之上升到明确的法律法条。

2、执法机构职责。执法机构在收到企业安全人员上报的信息后应该更好的保护相关人员的个人信息以及人身安全，并且对于网络暴力攻击行为根据相关法律法规严格执行。

3、企业安全人员应该变得更为“聪明”。比如明确的记录取证不法分子的犯罪行为，同时应该与相关执法机构形成良好的互动，更安全的提交相关证据，保护自己的个人信息及身份。同时作为一个公民，适当的运用各种方式保护自己的个人安全也是信息安全人员必备的技能。

而某金融企业安全专家刘顺表示，作为甲方企业安全从业者，目前并未遇到外部不法人员的直接威胁，但是会遇到企业内部员工违反安全规范或者违反相关法律法规的情形，安全人员在处理此类事件时，尤其是涉及违法案件时，可能会面临违法违规人员的威胁。同时刘顺也指出，随着网络安全法律法规、监管要求的逐渐完善，攻防对抗会越来越激烈，企业安全内控越来越严格，因此网络安全从业人员可能会面临更多的威胁。因此他建议，作为安全从业者，在个人防范角度方面，可以多了解学习一些人身安全和个人隐私保护方面的知识。

某互联网公司安全负责人黄鹏华说：“我认为对于从事敏感工作的安全人员，做好保护是非常有必要且是必须的。从个人防护的角度， 首先要做好互联网世界里相关踪迹的隐藏，其中的基础原则就是得和自己真实身份的各项踪迹做好隔离。而隐匿是多维度的，比如从物理层面（如使用不同的上网设备）、主机层面（用虚拟机做好隔离）、应用软件（如一台虚拟机只装一个软件）、网络层（IP出口隐藏）、互联网账号（跟真实身份的账号做好隔离不要有任何联系）等。其次在物理世界的防护也是十分必要，要加强侦查能力，如发现跟踪、反窃密等。”