安全第一文化的真正力量 | 观点 – 币界网

披露：此处表达的观点和意见仅属于作者，并不代表 crypto.news 编辑部的观点和意见。

随着数字资产行业日趋成熟，安全问题依然备受关注。频发的安全漏洞、不断演变的攻击媒介以及日益严格的监管审查，不仅凸显了技术防御的重要性，更凸显了支撑这些防御的组织文化的重要性。

• 仅靠技术是不够的。大多数加密货币安全漏洞仍然源于传统的 Web2 漏洞，因此，安全第一的文化（而不仅仅是区块链防御）对于保护资产和声誉至关重要。
• 文化始于人。强大的领导力、事件响应团队、自适应网络钓鱼培训以及同事驱动的问责制，将安全从合规的盒子转变为一种共享的思维模式。
• 安全必须延伸到工作之外。投资员工的个人数字安全，可以建立信任、提升安全意识，并增强长期韧性——这证明真正的安全不仅源于技术，也源于人。

根据 IBM 2024 年数据泄露成本 报告 2019年，全球数据泄露平均成本已达488万美元，其中企业目前处理数据泄露的成本高达608万美元。安全至上的企业文化，将安全意识、责任感和警惕性深深植入企业DNA，是降低此类风险的决定性因素。

数字资产领域的安全性通常通过区块链技术来看待：多重签名钱包、隔离存储和高级加密。虽然这些控制措施对于确保托管数字资产的运营安全性和完整性至关重要，但它们并非万能良方，而且一如既往地应该成为纵深防御的重要因素。加密行业几乎所有重大安全漏洞，例如今年早些时候的 Bybit 黑客攻击事件，都源于传统的 Web2 攻击媒介，而非区块链漏洞。

之所以如此重要，是因为针对这些违规/险情的控制措施需要更加“传统”。这包括端点检测与响应 (EDR)、用于扫描和阻止恶意/未分类 URL 的 Web 代理工具、用于触发附件和下载的沙盒技术，以及用于阻止经常导致入侵的有效载荷的电子邮件安全控制措施。最后，或许也是最重要的一点，是建立强大的安全文化，主动预防入侵的发生。

以安全为中心的组织文化能够确保主动解决人为因素问题。在一个哪怕是一步失误都可能造成重大财务和声誉损失的环境中，培养安全优先的文化已不再是可有可无的，而是至关重要的。员工仍然是最薄弱的环节，同时也是第一道防线，因此，在强调安全的同时，尽量减少安全隐患至关重要。

建立安全第一的文化

建立并维持强大的安全文化并非易事，尤其是在快速发展或资源受限的组织中。文化变革需要领导层的认同、持续的强化，以及从内部和外部事件中汲取经验教训的意愿。此外，还需要在运营效率与严格管控之间取得平衡，这在快节奏的环境中往往是一个关键点。希望植入安全至上文化的企业应关注以下关键领域：

1. 通过规划、准备和分配责任实现事件响应的正式化

计算机安全事件响应小组 (CSIRT) 通过其跨部门架构和全面的工作流程展现了组织的成熟度。该工作组应拥有在关键事件期间无需审批即可响应、恢复和分配资源的充分权限，并由覆盖整个组织的明确职责提供支持。从负责整个生命周期的事件指挥官，到涵盖监管联络、生产响应和运营协调的专业角色，CSIRT 在保持统一指挥的同时，分配责任。事件发生时，组织会围绕这一经过验证的框架进行动员，每个人都了解自己的角色并拥有执行该角色的权限。这并非纸上谈兵，而是领导层致力于将安全作为共同责任的积极证明。

1. 情报驱动的网络钓鱼抵御能力

网络钓鱼仍然是整个行业的主要攻击媒介。有效的方法不仅仅是一般的培训。应对网络钓鱼活动进行指导，并根据在更广泛的生态系统中观察到的攻击趋势进行调整。随着网络钓鱼活动从简单的凭证盗窃演变为运行恶意命令的复杂虚假安全检查，培训计划也必须随之调整。有时，网络钓鱼活动应该反映主动攻击模式以增强意识，有时则应该刻意进行调整，以确保员工保持警惕。这种自适应模型能够保持较高的弹性和强大的参与度，将网络钓鱼防御转化为组织的优势而非弱点。

1. 安全临时会议

每月举办一次由组织内相当一部分员工参与的公开会议，可以证明其有效性。这些会议应涵盖新兴技术、人工智能的演变、新平台，以及这些变化如何与工作场所和家庭安全产生关联。这些会议以引人入胜、通俗易懂的语言讲解全球事件和创新，在探讨组织影响之前吸引参与者，同时也帮助员工掌握个人防护技能。这种对组织和个人安全的投入，可以将安全职能从“必要之恶”转变为员工积极寻求的关注点，使整个企业的团队能够主动提出潜在风险。

1. 通过同伴强化和游戏化进行积极问责

安全意识不仅仅局限于正式培训。例如，我们久经考验的“甜甜圈”协议将设备安全从政策转化为实践；如果同事将未锁定的设备留在办公室无人看管，他们可能会在团队聊天中发“我爱甜甜圈”，结果该用户就把甜甜圈带到办公室。事实证明，这种轻松的方法非常有效，它能带来立竿见影的后果，同时建立起同事间的情谊，而不是对安全实践的恐惧。结果如何？整洁办公桌政策和屏幕锁定已成为整个组织的习惯。

1. 投资工作场所以外的个人安全

具有前瞻性的组织会通过为员工提供全面的个人防护，将安全承诺延伸至办公时间之外。在适当的情况下，组织可以提供企业级安全工具供个人使用，包括高级隐私套件、VPN 服务、加密存储、数据删除平台以及必要的反欺诈标记。此外，提供物理安全意识培训有助于员工维护人身安全和态势感知。

个人安全方面的投资虽然会直接影响企业，但能够通过提升安全意识创造回报，并表明保护员工安全的意义远不止于他们的专业职责。当员工感受到雇主真心实意地投入到个人数字和人身安全时，他们自然会更加重视组织安全。

长期当务之急

这些举措可以产生可衡量的成果，一旦实施，非安全人员的安全相关升级通常会显著增加。但除了指标之外，它们还能创造更有价值的东西：一个让警惕变得自然而非被迫的工作场所，让事件响应成为一种集体能力而非一项专门的职能。

在托管领域，信任至关重要。但信任并非仅靠技术就能获得。信任必须由那些将安全视为自身职责一部分而非阻碍的人员日复一日地巩固。随着数字资产托管机构在金融体系中的地位日益提升，拥有强大安全文化的托管机构将最有能力抵御市场波动，维护监管信心，并赢得客户和合作伙伴的持久信任。

蓬勃发展的组织不仅仅是那些拥有最先进技术的组织。还应该有这样的组织：每一位员工都明白安全是每个人的责任，每个人都要承担起这份责任，而不是被迫承担；当威胁真正出现时，整个组织都能有效地动员起来。

理查德·H 是 Komainu 的安全和基础设施主管，Komainu 是一家受监管的数字资产托管和服务提供商。他负责监督一支安全和基础设施专业团队，致力于保护组织的系统、数据和运营。

卡梅伦·C 是 Komainu 的安全运营主管。他专注于提升检测能力、整合威胁情报，并领导对入侵尝试的响应，并与公司各团队紧密合作，保护 Komainu 的全球基础设施。

微信里点“发现”，扫一下二维码便可将本篇文章分享至朋友圈