启动。

这是 1983 年 9 月 26 日苏联核预警系统 Oko 发出的自动指令。警报响起。屏幕闪烁。警告很明确：美国发动了核打击。

斯坦尼斯拉夫-彼得罗夫中校躲在莫斯科附近的地堡里，他必须做出选择。按照协议，应该报告警报。这将允许苏联立即发起反击，而这将不可避免地使世界陷入核战争。但彼得罗夫参与了软件编码工作，他知道软件存在缺陷。他选择了重置系统。

警报继续响起。

即便如此，彼得罗夫也没有上报。由于没有核攻击的证据，他将其归结为虚惊一场。他将其归类为系统故障，没有发动反击。因此，他被称为 "拯救世界的人"。(最后，错误警报被归因于高空云层反射的阳光）。

彼得罗夫的故事有力地提醒我们，在危急情况下，人的判断力非常重要。当利害关系重大时，仅仅依靠自动化可能会导致灾难性的后果。在网络安全领域，这一原则同样适用。自动化工具有它的用武之地，但亲身实践的专业知识能提供背景信息，推动有效的网络复原力。

网络复原力中的人类优势

自动评估依赖于预定义的规则，这意味着它们只能发现程序所设定的检测内容。网络攻击者当然不会遵循任何规则。他们会适应、创新，并利用工具可能无法识别的漏洞。这也正是为什么仅靠自动扫描往往会失败的原因。

人工审核引入了人性化的洞察力，重点关注技术控制的独特相互联系。这种深度挖掘方法（我们称之为 "肩扛式搜索"）并不是一种合规性或政策演练。它是对您的实际控制和配置的全面审查，同时还将您与最新的威胁行为者行为进行比对。

自动化工具遗漏的一件大事

自动扫描非常适合用于检查清单，但却忽略了最大的难题：漏洞背景。

考虑一下被自动化工具标记为 "低风险 "的错误配置。如果不了解这种错误配置与其他系统的交互方式，或者威胁行为者目前可能如何利用这种错误配置，就会造成盲目操作。这些工具基于已知的漏洞和威胁。它们无法像攻击者那样思考。然而，在肩扛式搜索会话中，安全专家在审查配置时会考虑到恢复能力。他们可以评估问题本身、问题在更大安全范围内的适应性，并将所有这些数据转化为可操作的情报，包括确定正确的行动顺序。漏洞背景是动态的，不仅需要不断更新情报，还需要对其进行解读。

自动工具不是漏洞背景数据的良好来源。公开披露的信息可能会让人对新出现的威胁有一些了解，但威胁行动者会迅速适应，而且大多数重要的漏洞数据仍被律师锁起来，无法进行自动扫描。

如何协调备份以防止威胁行为者在没有这些数据的情况下破坏备份？如何降低大规模破坏的可能性？您需要一个具备相关专业知识的人来带领您手动审查每一个仪表板、管理员面板和配置。

工具也只能根据所提供的数据发挥作用。它们无法预测未知情况，也无法告诉您客户昨天发现的全新攻击载体。实践审查与专家分析相结合，可以提供必要的漏洞背景信息，并帮助制定优先级高、可操作的修复路线图。

以人为本的审查增强网络复原力

政策和自动化工具无法阻止勒索软件。您需要反向思考，解决攻击者的最终问题。手动审查可以让您像网络攻击者一样审视自己的基础架构。您可以从漏洞的角度深入了解当前配置中存在的缺陷，并进一步思考如何在漏洞中利用这些配置。

获取当前的威胁情报对于相应地（定期）协调备份和相关控制至关重要。现实情况是，只有您的备份控制安全、冗余、不可变，并与当前威胁行为者的剧本保持一致，您才是安全的。不幸的是，根据我们的情报，80% 的关键系统在攻击中无法幸存。在幸存的 20% 系统中，只有一半能在现实的时间框架内继续使用。所有系统都必须根据其所面临的攻击策略进行调整。

那么，问题来了：您的自动化工具上一次打补丁或更新是什么时候？对于依赖可能跟不上威胁形势变化的工具，您的风险承受能力如何？

自动化工具很有价值，但如果你想确保组织安全，对工具配置和控制进行手动审查对于确保万无一失至关重要。不断发展的进攻需要不断发展的防御。

想进一步了解 "肩膊冲浪 "以及如何保护您的网络免受威胁？立即联系我们，与我们的网络复原力专家进行交流。