FUD（恐惧、不确定性和怀疑的缩写）是一种营销方法，有时归因于 20 世纪 70 年代 IBM 的销售策略：IBM 是安全的，其他任何东西都不安全。请注意，恐惧、不确定性和怀疑是直接来自网络钓鱼者情绪触发手册的术语，这表明 FUD 营销与网络安全最讨厌的社会工程之间存在可疑且经常被忽视的联系。了解 FUD 非常重要，以确保我们不被设计。

FUD 营销通常关注一个非常大的数字。这个数字并不是 FUD——它只是一个数字。营销人员对该号码的使用（或滥用）可能会或可能不会引起 FUD。如果这个数字可疑或不正确，那才是 FUD——如果它是正确的，营销人员对这个数字的使用就是很好的营销。这里的含义是，买家必须密切关注从营销人员那里收到的大量数字的来源，以避免成为社会工程的受害者。

作为一个例子，我们将看一个特定的大数字的来源和使用（网络犯罪每年给全球经济造成 8 万亿美元的损失，并且还在不断增加），以说明归因和称呼 FUD 的难度；然后将研究网络安全中 FUD 的普遍看法。（值得注意的是，这种对 FUD 的普遍看法并没有区分夸大的大数字（更好地描述为 FUD 素材）和 FUD 营销本身。）

网络犯罪给全球经济造成 8 万亿美元损失？

2023 年 7 月，《网络犯罪杂志》（Cybersecurity Ventures 的一部分）发表声明称，预计到 2023 年网络犯罪将在全球造成总计 8 万亿美元的损失，到 2025 年将增至 10.5 万亿美元。此后，这一数字在互联网上引起反响，其他媒体也纷纷重复这一数字。出版物和营销人员。Cybersecurity Ventures 创始人兼《网络犯罪杂志》主编 Steve Morgan 在 LinkedIn 上重复了这句话：“根据 Cybersecurity Ventures 的数据，今年的损失预计将达到 8 万亿美元。” LinkedIn 首席信息安全官杰夫·贝尔纳普 (Geoff Belknap)回应道：“我再次恳求人们就事实和数据以及它们的来源提出更难的问题。8万亿美元的损失将使‘网络犯罪’成为全球GDP第三或第四大经济体，以及收入第二或第三大产业，领先于石油和天然气。”

这就是问题的关键：知识应该先于信仰。这个例子中的问题是，细节只是松散地规定：“网络犯罪成本包括数据损坏和破坏、被盗资金、生产力损失、盗窃知识产权、盗窃个人和财务数据、贪污、欺诈、攻击后破坏正常业务过程、法证调查、被黑客攻击的数据和系统的恢复和删除以及声誉损害，”网络犯罪杂志 写道。

就其本身而言，这些细节不足以验证结果：如何量化知识产权盗窃的成本；如何量化名誉损害的成本？请记住，这需要覆盖全球所有国家、所有垂直行业的所有受影响公司。我们不能说结果是错误的，但我们绝对需要了解它是如何达到的。

我们问史蒂夫·摩根：“你能给我一些关于这个数字是如何确定的细节吗？”

他的回应的长篇大论是，他没有就确定 8 万亿美元这个数字提供任何额外解释。然而，他确实表示，他受到的更大批评是这个数字太低，“以至于一些记者告诉我们计算机犯罪研究中心的数字到 2025 年将达到 12.5 万亿美元，而 [原文如此] Statistica 可能是其中最著名的一个，预计到 2028 年，这一数字将达到 14 万亿美元左右。”

我们都检查了。计算机犯罪研究中心的数据为其结论提供的理由甚至更少，主要关注第三方报告的威胁，而不是实际产生的成本。Statista没有解释其数字是如何得出的，而是引用了我们上面提到的 Cybersecurity Ventures 对网络犯罪成本的相同定义。

简而言之，不可能亲自确认或反驳 8 万亿美元的数字 - 因此我们依赖于意见。我们四处打听。

Ben Rothke 是纽约市的一名信息安全经理。他告诉《SecurityWeek》，“关于网络安全风险投资公司，他们似乎不具备经济和金融分析专业知识。从他们的网站来看他们的核心员工，他们没有任何人具有任何重要的经济、会计或精算知识来致力于创建有效且独立可验证的财务数据。”他补充道，“至于网络犯罪每年造成 8 万亿美元损失的数字，没有独立或基于证据的数据支持这一点。”

一个担忧是全球经济无法承受这样的损失。“根据世界银行的数据，2022 年世界 GDP 为 101 万亿美元，”他继续说道。“这意味着 8 万亿美元的网络犯罪将占世界 GDP 的 8%，这是一个惊人的数字，会造成经济严重破坏。”他怀疑，就像马克·吐温去世的报道一样，这个数字“被严重夸大了”。

隐形公司Reken的创始人兼首席执行官、谷歌前全球产品、信任与安全主管舒曼·戈塞马朱姆德 (S human Ghosemajumder) 表示：“我认为，目前每年直接损失 8 万亿美元的可能性似乎不太可能。这大约是德国和日本GDP总量的总和。据估计，8 万亿美元相当于全球 IT 行业的总规模。因此，所有技术的全球贡献被网络犯罪有效地消灭似乎不太可能。”

但他又回到了我们的基本症结——我们不知道这个数字是如何计算出来的。“如果它考虑到一些间接损失（例如，生产力、长期影响、心理健康、医疗保健问题、竞争力丧失），那么你就更接近了。但我不确定他们会这么做。”

坦帕市首席信息安全官 Martin Zinaich 总结了基本问题：我们既无法证明也无法反驳这个数字。“我不确定如何达到这个数字或验证它。然而，如果我们不仅包括解决方案（IPS、EDR、MDR、SIEM、防火墙、SOAR 等）的直接美元支出，还加上培训员工、红/蓝团队练习所需的时间软美元成本，笔测试、PCI 工作、保险、事件恢复、安全编码和代码审查、SOC 团队、补丁部署、安全会议、培训和认证等等……在全球范围内，这个数字可能并不像听起来那么牵强”。

思科网络安全执行顾问海伦·巴顿 (Helen Patton) 对这个数字的目的提出质疑。“我不知道如何处理这些信息，即使它是准确的。新闻稿称，这个数字包括了“声誉损害”的所有内容，这些数字充其量只是非常不稳定的数字——所以这是一个高水位线。这对于单个组织来说毫无意义——没有任何安全业务案例会使用这个号码。所以，我怀疑这个节目的受众是政府和智囊团的政策制定者。这些团体已经清楚地意识到网络犯罪和网络间谍活动对社会造成的损害，因此这个数字也不会对该团体产生任何影响。尽管如此，是的，这是 FUD——因为它所做的只是增加了压力气氛。”

问题是：我们可以有意见，但我们既无法验证也无法拒绝8万亿美元的数字，甚至无法理解它是否相关。然而，我们可以说这不是FUD——这只是一个数字。但在不知道它是如何编制的情况下，我们也可以说营销人员使用这个数字显然是 FUD 营销。8万亿美元不是FUD，但它是FUD的素材。未经任何核实就收到大量交付的货物应始终受到质疑。

那么问题就变成了，FUD 营销在网络安全领域有多普遍？

FUD 是否存在于网络安全领域，或者 FUD 本身就是 FUD？

IEEE 高级会员兼阿尔斯特大学网络安全教授 Kevin Curran 表示：“网络安全中确实存在恐惧、不确定性和怀疑——FUD。”这是传播信息或提出主张的做法，旨在灌输恐惧、不确定性和怀疑以影响观点。“例如，”他补充道，“安全公司确实可以夸大特定威胁的严重性，以说服潜在客户购买他们的安全解决方案。”

Hoxhunt 联合创始人兼首席执行官 Mika Aalto 表示，FUD 是网络安全领域部分供应商销售和营销生活中的一个事实。“例如，如果由于配置错误而发生漏洞，供应商将立即在其营销推广中利用该漏洞来吓唬潜在买家购买他们的服务，否则，”他说；补充道，“在我看来，这是一种懒惰的营销和销售活动。”

然而，将所有责任归咎于安全供应商是错误的。柯兰将新闻媒体（以增加读者群）、政府（为不受欢迎的立法辩护）、黑客（为个人荣誉）和安全专家（为自我辩护）列入 FUD 肇事者的基本名单。媒体也远不能幸免。“一些媒体和新闻媒体对网络安全事件或漏洞的耸人听闻的报道可能会导致 FUD，因为他们有时可能会关注最坏的情况而不是缓解策略。”

FUD 总是坏事吗？

“由于现实世界中确实存在威胁，因此很难确定 FUD 从哪里开始和结束，”Curran 继续说道。问题是潜在的信息是真实的：网络犯罪正在增加，现有的安全控制措施要么没有被使用，要么根本无法阻止潮流，而客观的、经过科学证明的全球数据几乎肯定是不可能的。

“毫无疑问，网络攻击正在增加，”ColorTokens 现场首席技术官 Venky Raju 补充道。“每天都会有新的证据出现，无论是消费者陷入网络钓鱼诈骗、企业遭到破坏和人肉搜索，还是政府机构受到勒索软件的攻击。许多安全专业人士和我都认为这个数字更大，而且往往没有被报告……总之，存在的 FUD 是合理的。”

基本论点是，政府监管、当前的安全态势以及实施基本安全卫生的建议都未能阻止网络犯罪的增长。在这种情况下，灌输 FUD 的恐惧元素是打击犯罪的有效方法。毕竟，恐惧是政府的标准工具：例如，担心不合规制裁、对举报者的金钱奖励、针对 CISO 的潜在个人诉讼（如SolarWinds），以及担心儿童色情制品者、恐怖分子和洗钱者证明消除 e2ee 加密服务是合理的。

在这种情况下，增加 FUD 来改善网络安全生态圈可能被视为最后手段的潜在有益途径。

当然，任何硬币都有两个方面。Pathlock 首席执行官 Piyush Pandey 评论道：“像‘8 万亿美元’这样的数字将在互联网上疯传，因为它们看起来太大了。”

“如果这样的数据有助于阐明一个值得进一步审查的话题，那就太好了，”他补充道。“但是，如果这些数字分散了日常风险管理运营的注意力，那么这就成为一个问题。”

解释 FUD 的持续成功

如果某件事不起作用，人们就会停止这样做。网络安全领域的 FUD 仍在继续——它有效。这里的问题是，“为什么 FUD 是一种成功的网络安全营销技术？”

Qmulos 合规策略副总裁 Igor Volovich 认为网络安全人员的技术背景很重要。“不确定性是网络安全的首要属性。技术专家厌恶不确定性。因此，恐惧占据了他们的心灵，”他表示。“无良的供应商和那些资助他们的人就趁机进入了这个缺口，试图通过提供灵丹妙药来利用人们的恐惧。”

他继续说道，他们反复这样做，获得了巨大的利润，但却没有采取任何措施来阻止网络攻击的浪潮，从而削弱我们的数字经济。“这个循环无限重复，买方几乎没有能力，卖方也没有兴趣做出改变。在 CISO 从技术购买者转变为风险策略师之前，我们当前的发展轨迹将保持不变。”

他认为，问题在于，在这个需要通才的世界中，现有的网络安全领导者本质上仍然是技术专家。“网络安全行业以及网络安全领导梯队仍然主要由技术专家而不是通才占据。当这种性格遇到宏观层面的不确定性时，就很难处理和调整。模糊的思维、无限的创造力以及对模糊性的适应几乎与他们的思维方式背道而驰。”

现在，CISO 不仅仅只是一名技术专家。“人们大多通过真正擅长管理技术来达到这些目标，但是当他们到达那里时，我们要求他们开始考虑其业务背景下的风险，推动跨组织协同效应，整合整个企业内外的资源，并参与许多其他他们从未有机会发展的‘软技能’行动——而他们周围的世界却在不断变化。”

安全行业和政府法规都无法帮助 CISO 实现从技术专家到业务技术通才的必要转变。“我们继续依靠过时的模型来捕捉我们的风险态势，通过手动数据收集和基本调查方法，这些方法在华丽的用户界面和所谓的‘自动化’的波将金村外观后面很难伪装——这在有形价值方面几乎没有取得什么成果。”

法规也无济于事。“合规性在很多地方都存在漏洞，如果我们真的希望对不断增长的网络威胁采取类似有意义的行动，而不是继续对风车倾斜，就需要进行彻底改革。”

正是要求 CISO 在他或她的自然舒适区之外开展工作，依靠看起来不错、承诺更多但交付更少的安全控制，同时在令人困惑且有时相互矛盾的合规法规的沼泽中航行，正是这种背景，使得 FUD 得以实现商人才能繁荣。

“我们越早意识到我们的整个网络风险管理模型与现实脱节，我们就接受了这样一个观念，即有关我们的系统、网络和数据状态的意见就等于事实——只要堆得足够高，或者这样逻辑似乎是这样的——我们越早开始提出真正的问题：我们如何知道我们对安全态势的了解？我们如何了解并可靠地捍卫每一美元网络技术支出的风险缓解价值？除了计算有多少违规行为成为新闻之外，我们如何衡量组织的安全性能？”

我们需要将 FUD 营销与真实的已知事实相匹配。

对抗 FUD

沃洛维奇提出的对如何处理网络安全的彻底改革将大大加强该行业对 FUD 商家的抵制。如果发生的话，它会慢慢发生。与此同时，CISO 目前正在与 FUD 作斗争，几乎没有外部支持。

Ontinue 首席信息安全官 Gareth Lindahl-Wise 表示：“知情买家需要的是能够识别并区分‘谎言、该死的谎言和统计数据’。”不那么谨慎的 FUD 商人将不断寻找‘做市’的方式，通过推广（和自我推销）网络安全世界的特定方面——无论是产品、服务还是有时的专栏。”

这个原理很简单，也众所周知：如果某件事看起来好（或大或坏）而令人难以置信，那么它几乎肯定是假的。“永远，我的意思是永远，看看参考文献中关于统计数据的大胆主张。警惕不太知名的组织未引用数据的声明。社交媒体算法很容易导致泡沫效应，同样的不良信息来源会被一次又一次地重新发布，给人一种不应有的可信度。”

阿尔托指出了与社会工程的战术相似性。“他们利用类似的情绪，围绕恐惧、不确定性、紧迫感，以及如果不采取期望的行动就会产生的后果。正如精通网络安全的人在点击可疑的恐惧密集型消息之前学会思考一样，网络安全专业人士在面对来自激进供应商的严重 FUD 时，最好仔细考虑他们的选择。”

CISO 将从 FUD 意识培训中受益，就像用户从网络钓鱼意识培训中受益一样。

柯兰以更为温和的措辞表达了他对 FUD 的警告和建议，同时仍然得出了相同的结论。“虽然许多信誉良好的网络安全供应商提供有价值的产品和服务，但重要的是要记住，他们仍然是有自己利益的企业，包括销售和创收。最佳做法是寻求独立来源来验证供应商的说法，”他说。

这种验证可能来自行业专家、阅读评论以及检查第三方认证或评估。但他补充道，“我们始终应该对耸人听闻或危言耸听的语言保持警惕。”

对抗 FUD 有点像零信任：在相信任何人或任何事之前先进行验证。

—END—

原文始发于微信公众号（祺印说信安）：国外专家谈质疑网络安全营销中的 FUD（恐惧、不确定性和怀疑）