安小圈
第529期
网络安全行业
(主人公:T先生,某上市安全公司副总裁,20年网络安全从业老兵,甲乙方经验丰富。)
今年,北京的雨尤其多。
是夜,窗外下着雨,几个好友小聚。
T先生说:国内的安全行业如此颓废,根本原因就是安全从“技术活儿”变成了“销售活儿”。
说完,他站在窗边,看着楼下雨中来往的车辆,眼里充满了焦虑和悲伤,还有深深的无奈。
是啊。自网络安全从“技术活儿”变成了“销售活儿”的那一刻起,就注定了颓废的趋势。
接着,T先生讲了如下三个观点、三个结论和三个悲哀的现实:
一、忘却了安全的本质是攻防
没有了攻防对抗,也就没有了网络安全存在的必要性。
网络安全的本质是攻防对抗,那么攻防技术是一个安全公司的立命之本。
未知攻,焉知防?要想防护,必须懂得攻击。所以,能够防得住的高手,本身都是攻击的高手。
这一点,很多人,甚至很多公司都没意识到。
或者准确的说,是很多公司都忘记了。
之所以防不住,就是不懂攻击。
先练攻,再练防。
攻和防,是分不开的,也不应该分开。
现实中之所以区分攻击队伍和防守队伍,只是为了更好的进行攻防对抗,其本质上都是对攻击技术的理解和掌握。
因此,归根到底,网络安全的本质是攻击技术。
这也是为啥攻击模型框架ATT&CK之所以盛行的原因。
后来,MITRE又发布了Shield/Engage主动防御框架。
一个结论:
攻击技术是一个安全公司的根基。
对攻击研究的多深刻,
防护就可以做得多完美。
有人问什么是攻击技术?例如:漏洞挖掘与利用技术、Web攻击技术、口令攻击技术(暴力破解法、强力攻击、字典攻击等)、恶意代码攻击技术、拒绝服务攻击技术、网络欺骗技术(网页挂马、下载诱骗、钓鱼网站等)等等。
T先生说:悲哀的事实是,有几个安全公司真正懂攻防?掰着指头都能数出来。
二、重销售,轻产品和技术
安全行业已经被数字蒙蔽了双眼,比收入、比增长率......不亦乐乎。
安全公司的战略,就是完成多少数字。
只有销售的战略,根本不是战略。
只看数字的公司,根本不是公司。
没有了产品和技术,销售数字就是空中楼阁,除了作假,还能做啥?
啥都卖,啥都有。
只管卖,不管交付、不管实施、不管效果。
当一个公司,对真正做产品、做技术嗤之以鼻的时候,这个公司就离消亡不远了。
当一个行业里面,大部分公司都是这样的时候,那这个行业离消亡也不远了。
尤其是网络安全行业,
这个以技术为根基的行业。
曾经的黑客文化不复存在,曾经的技术交流不复存在。
只有数字、数字、数字,只看规模、规模、规模。
一个结论
没有产品和技术支撑的销售数字,
就是空中楼阁;
数字越大,
倒塌的那一天越难看。
T先生说:悲哀的事实是,真正搞产品和技术的网络安全公司,无法存活,或者存活的非常艰难。
三、安全的根本问题依然没有解决
网络安全,针对的是安全风险,风险是一个关于资产、脆弱性、威胁的函数。
如果搞定其中任何一个要素,都可以搞定安全。
从这三个要素的角度,来看安全最根本的三个痛点:
(1)资产难以发现:大部分组织,都搞不清楚自己有哪些资产。因此,资产测绘,是安全的起点。典型场景比如互联网暴露面监测等等。
(2)威胁难以发现和阻止:威胁在哪里?如何发现?尤其是未知威胁?威胁发现和检测,是安全的根本之一。
(3)脆弱性难以发现和补救:如何在黑客发现漏洞之前发现并修补,始终是个痛点和难题。
资产、脆弱性、威胁,一个安全公司能够真正搞定其中的一个点,就能利于不败之地。
威胁检测和发现,绝对是一个安全公司的核心竞争力。
甲方的安全工作,都是围绕资产、脆弱性、威胁这三个要素展开,都是为了达到可用性、保密性、完整性的目标。
一个结论:
如果,
一家公司能够基于过硬的攻防技术,
搞定资产、脆弱性、威胁三者之一,
就可以立于不败之地了。
T先生说,悲哀的事实是,资产、脆弱性、威胁,这三个要素的痛点一个也没有搞定,却搞了一堆高大上的唬人的安全名词。
所以说:网络安全行业颓废的根本原因是从“技术活儿”变成了“销售活儿”
-
【零信任】落地的理想应用场景:攻防演练
【原文来源: T先生 Mr.Think】
本文内容所包含内容仅限于学习和研究目的。这些内容源自公开的渠道搜集而来,目的是为帮助安全研究人员用于更好地理解和分析潜在的安全问题。
郑重提示:未经授权地利用可能涉及非法活动并导致法律责任和道德问题。请遵循适用的法律法规和道德准则。任何未经授权使用这些内容而导致的后果将由使用者自行承担。本文作者及安小圈不承担因使用本文内容而导致的任何法律问题、损害或责任。请详细阅读并理解这份免责声明。您将被视为已接受并同意遵守本免责声明所有条款和条件。
原文始发于微信公众号(安小圈):网络安全行业颓废的根本原因:从“技术活儿”变成了“销售活儿”
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论