为什么网络安全的终极目标是信任？

ROSS表示，安全行业中的大多数人都认可一点：信任确实至关重要。这层共识的底层逻辑在于“安全的发展视角永远是最独特的”。

因此，赢得信任并非易事。ROSS说，为了让消费者在电子商务网站上输入信用卡的详细信息，有时只需要在网站上标注一个“100%安全”的图像。而如果要说服安全团队相信供应商的解决方案，则需要做更多的事：他们不仅要测试产品的各个功能，还要尝试破解产品，并挑战产品的构建方式。在其他任何行业中，你都不会看到买方试图拆解供应商的解决方案，或在公司的设计和软件交付方式上寻找漏洞。

ROSS将在本文中介绍一些安全工具和技术，以及部分安全供应商的哪些行为，可能会给组织带来风险。

ROSS介绍，过去，安全产品销售涉及买方的CISO和卖方的销售主管。而随着时间的推移，许多安全负责人开始避开任何挂有“销售”头衔的人，因此，供应商争相将他们的销售主管更名为收入主管，还有一些人则改名为“客户支持主管”等。这一变化的作用是，当人们听到“客户支持主管”时，不会立即就对其露出“防御模式”，同时也能使买卖双方建立更真诚的关系。

一方面，经验丰富的CISO加入一家安全初创公司，他可以创建出独特的分销渠道，比如他们可以和同行说：“你们与其和客户经理浪费时间，不如就我们之间探讨下未来安全的发展趋势。”这是建立信任的一种捷径。

另一方面，ROSS表示，为供应商工作的CISO必须非常灵巧，因为直截了当地向同行推销安全产品，可能会破坏CISO在该行业的人际关系。当然，ROSS认为，聘请CISO，让CISO向CISO推销产品并不是无效模式，因为它能很好地协调激励措施。“声誉良好的安全负责人，若能为供应商工作，更能避免不道德的销售行为，这也是维护他们自身声誉的一种方式。”

ROSS表示，如果这种同行互相推荐解决方案是唯一的新趋势，那倒也还好，但不幸的是，该安全领域里还出现了新的角色：顾问。安全顾问会为安全供应商提供相应的展示平台，以此来赞助私人活动。在这些活动中，CISO可以和安全供应商花几个小时建立关系，并谈论产品。ROSS对此表示，自己无权对任何人的诚信、意图，以及对公司选择安全解决方案的方式作出判断，但这种情况的发生，有时会给安全产品的购买方式蒙上阴影。

ROSS说，许多供应商的销售流程确实会引起购买者的不满。“买方没有理由为了了解产品的实际功能或定价，就要展示自己来证明有能力满足最低消费，或者签署意向书、保密协议等来获得‘资格’。这就是为什么任何产品主导的增长要素，如透明的定价、免费等级以及开源安全工具等，会受到安全人员的欢迎。”

ROSS表示，安全人员完全有能力看穿营销网站、行业术语和无休止的缩写。那些希望与产品用户建立信任关系的安全厂商，通常会雇用安全人员作为销售工程师和解决方案架构师，并通过他们来帮助客户解决问题。

由于网络安全领域的销售过程严重依赖于信任，因此安全厂商若能展示已经使用该产品的用户，那在获取客户信任方面是非常有利的，尤其是那些处在早期发展阶段的初创公司。

但说起来容易做起来难。ROSS表示，正如 Lital Asher-Dotan 指出的那样：“让客户公开支持他们所使用的产品或解决方案是很难的，因为客户更愿意将他们的安全技术栈保密。不像其他行业，客户会更乐于分享他们所使用的产品。”显然，在其他行业中能轻松建立信任的方法，对于安全厂商来说，通常难以施行。

由于网络安全是所有公司都能体现其作用的一个独特领域，因此客户有时也会想知道安全厂商的安全态势是怎样的。“若安全厂商都管理不好自己的安全，客户又怎么能信任他们所提供的产品呢？”

ROSS表示，虽然潜在买家可以测试安全厂商的产品，但如果每个买家都被允许评估公司的整体安全态势，这肯定是不可持续的，这也就是为什么业内会要求SOC II合规性成为安全购买过程中的一部分。“虽然合规措施不能保证安全，但如果厂商在SOC II方面真的做得好，倒确实可以促进组织控制的成熟度。而问题在于，为了满足这层需求，又出现了能提供‘快速合规’的服务公司，这也就使得该认证的完整性和真正价值受到质疑。”

对于初创公司的发展而言，没有什么比口碑更重要的了。因为一切都基于信任，最真实、最有价值的口碑，是在没有任何交易的情况下，被众人推荐。ROSS介绍，比如在网络安全社区里，真正有价值的安全厂商确实可以赢得安全负责人的信任，口碑也因此会在网络中被传播。

ROSS说，大多数以安全人员为中心的初创公司，正在寻找方法提高奖赏，以激励更多忠实的用户，能在各自的社交圈里对厂商的产品进行传播。“Snyk的运营计划就是很好的例子。他们会在社区中分享兴趣、专业知识和技能，以帮助其他开发人员和工程师构建安全软件。”ROSS说，该公司为其客户（那些安全人员）提供了预算计划，用于个人发展，比如考证、培训课程和其他学习途径，甚至在任何以Snyk为主题的演讲活动中，赞助所需的差旅费等。

而其中最重要的地方在于，这些奖赏举措能使安全从业人员形成实践社区，并与同行建立联系，这样就会有更多的人来倡导他们所相信的解决方案。ROSS表示，值得注意的是，并非每家公司都能建立这样成功的赞助计划。“只有那些解决实际问题，并能让人们对未来愿景感到期待的公司，才能在不损害其品牌的情况下实现这一目标。”

ROSS说，每隔几个月，大家就能看到数百家公司在社交媒体上大肆发稿，以庆祝他们新颁布的奖项成为“行业第一”。显然，公众认可已成为获得热点的一种方式，而其最重要的地方还是与客户建立信任。“当然，这之中也有挑战。因为安全行业很少有奖项是不需要付费的，比如SC Awards、SANS Awards、Pwn Awards、SINET16等等。而当行业认可与金钱挂钩时，其会损害信任度，部分以此为捷径的公司可能会破坏行业环境。”

ROSS认为，新闻报道是赢得信任最好的方式之一，因为其可以让公司接触到更广泛的受众。

然而，大多数报道网络安全问题的记者，就只会挑选两类事件作为报道内容，要么寻找能够引起广泛受众（大众媒体）注意的事件，要么专精于为少数非常专业的受众（如报道新漏洞的媒体）服务，而安全供应商通常不符合任何一类，因此很难吸引到相应的媒体。

由于许多公司都希望获得外部新闻报道，但很少有公司能够接触到这些平台，因此就出现了一种新的现象：付费媒体报道。ROSS说，“付费媒体”能帮助安全厂商将他们的思想、方法论、想法和观点融入安全新闻中，然后这些新闻又可以在安全厂商的营销中发挥作用。“这类付费媒体的文章和专题似乎是当下的趋势。”

ROSS感叹，在一个如此依赖信任的行业里，竟然难以找到值得信赖的媒介来理解问题、了解潜在的解决方案，甚至很多相关方连行业的机制都不了解，这是多么讽刺啊。“这并不奇怪，因为人类从定义上来讲，永不可能做到绝对客观。但任何阅读安全相关材料和文章的人，都应该学会问自己：‘这文章对谁有益？’”

ROSS指出，网络安全行业是“公共悲剧”的典型例子。当有权使用共享资源的个人，其不受共享规范或正式规则的限制，只为了自己的利益行事，最终当资源被耗尽时，就会引发“公共悲剧”，一如当下的交通拥堵、快餐文化、过度捕捞等。在网络安全领域，当每个人都为自己的利益行事时，被耗尽的资源就是信任。

然而，ROSS表示，这只是所有问题中的冰山一角，因为信任问题早已超出了“市场买卖关系”。比如，一些信息来源本身就存在偏见：安全供应商生产的任何内容，都是一种实现商业目标的投资。无论是博客、报道、调查还是白皮书，不可能找到任何一份报告，表明委托该报告的供应商没有做好工作或没有解决关键问题。一些顾问和市场研究公司也渴望按需制作白皮书，因此，这些白皮书的客观性，通常取决于供应商自己的道德准则和内部指导方针。

此外还有“受众偏差”的问题。ROSS以行业调查为例，比如由安全厂商自己进行的调查，自然会以他们所接触到的人群为目标，而这部分人群很可能与安全厂商本身有着相同的世界观。再比如，由市场研究公司进行的调查，他们的人群样板通常是那些“签约参与调查以获得报酬”的受众，因此这些事实都是可能会影响结果的。

虽然那些错误的奖赏措施可能会导致不良结果，但比起如此多的“政党”试图以多种方式最大化自己的结果，显然，“公共悲剧”更有可能引发在他们手中。

过去，安全厂商只会提供最低限度的信息，当客户对产品表现出好奇心时，他们会强迫客户与销售代表进行交谈。ROSS认为，安全厂商一定要改变这一流程，同时要提高自己的透明度。

安全厂商要学会从基于承诺的安全性转向基于证据的安全性，这也是使安全厂商透明度成为可能的另一个重要因素。ROSS表示，建立安全态势的最佳方式是在可以观察、测试和增强的控制设施之上进行建立。其不是建立在安全厂商的承诺之上，而是安全厂商应该知晓如何在恶意活动的确切集合中保护组织，并能通过自己的产品来证明这一点。

此外，ROSS表示，网络安全透明度有许多层面：供应商需要公开说明他们实际提供的能力和价格；市场参与者需要披露可能影响其评审客观性的冲突、利益和激励措施；董事会和组织领导层也要透明化某个供应商的选择方式，以及影响评估过程的因素。

所以，这就是为什么董事会和领导层需要透明化对安全厂商的选择。而最重要的是，随着安全漏洞数量的增加，CISO们有足够的动力进行深入的产品评估，并确保他们所选择的安全厂商能够保护其组织的网络安全。

最后，ROSS表示，建立、恢复和防止信任被侵蚀，这对于网络安全的未来而言是至关重要的。ROSS在与安全负责人和安全人员交谈时发现，人们对安全行业的发展方向感到悲观。但ROSS相信，安全行业的未来是光明的。“如果行业能继续推动变革，同时每个人都能学习、分享各种最佳实践，并在做所有这些事情的同时保持诚信，那我们将处于一个十分有利的位置，可以应对未来任何复杂的威胁和风险。”

ROSS说，虽然没有什么魔法能解决所有的行业问题，但透明度和诚信是可以实现的。同时他也建议，行业内众人要齐心协力，一起清除那些会对“安全信任”造成破坏的人群。他表示，只要对安全始终报以信仰，那安全一定会让众人看到美好的未来。