什么促使美国企业投资于网络安全？本文探讨了企业投资网络安全的驱动力、行业现状与挑战，以及如何通过接受现实与优化资源推动网络安全的持续发展。

本文系翻译自Let’s have an honest conversation about the state of cybersecurity^[1]，文中的“我”均指代原作者。在翻译过程中，为了更好地帮助国内安全从业人员理解，我们对部分内容进行了适度的增删处理，力求保持原意的同时，提升阅读的流畅性和理解度。

是什么驱动企业投资网络安全？

让我们先从基础出发，讨论是什么促使企业投资网络安全。

安全从业者经常表示，网络安全必须成为企业的优先事项。但作为一个行业，我认为我们在解释为什么这一点上还不够成功。当然，这并不是因为我们缺乏努力。每周都会有数百篇新文章、网络研讨会、小组讨论，以及成千上万的社交媒体帖子反复强调安全的重要性。我认为，未能成功让CEO、CFO和其他高管认同这一点的原因是，对于大多数企业而言，安全的重要性并没有我们期望的那么高。在你感到愤怒之前，请让我解释一下。

企业存在的目的是为股东创造价值，简单来说，就是赚钱。实现这一目标有许多方式，但从最基本的层面来看，企业的核心在于找到方法，最大化收入（营业额）并尽可能降低支出（成本）。

合规：创收的推动因素

对于任何公司来说，创收始终是首要任务。任何能够促进、加速、改善或以其他方式有助于收入增长的事物，总会得到资金支持。好消息是，安全合规是创收的关键部分。但坏消息是，这一点对于不同类型的组织来说，重要程度有所不同。

对于某些公司，合规是其平稳运营的前提

显而易见的是，对于某些公司而言，合规是其平稳运营的基础。这一点在受监管行业和上市公司中尤为明显。

• 受监管行业：例如银行、保险业，以及某种程度上的医疗行业。这些行业是安全解决方案的主要购买者，因为它们受到各种合规要求的约束，其中包括安全合规。为了继续赚钱，这些公司必须通过审计员和监管机构的审查。
• 上市公司：近年来，美国证券交易委员会（SEC）推动上市公司更加重视安全问题。因此，这些公司的高管被迫投资于安全领域。

尽管并非所有的上市公司或受监管组织都有专职的首席信息安全官（CISO），但它们通常会有负责合规和安全的个人，并强烈推动合规性要求的落实。

对于技术供应商，合规是核心销售推动力

科技公司（尤其是以工程为中心的初创企业）往往比其他行业更强烈地投资于网络安全。这并不是因为它们更有财力支持，而是因为：

1. 客户信任：科技公司需要确保客户愿意分享数据或将其软件嵌入到客户的组织中。例如，文件存储服务需要确保客户相信其数据会被安全存储；云服务（如AWS）需要保证不会宕机或让数据泄露。
2. 销售障碍：对于科技公司来说，网络安全是其产品的核心属性。例如，没有SOC 2认证或多因素认证的公司将无法向大企业客户销售产品。与其他行业的同行不同，科技公司的 CISO 注重客户信任，并在公司销售过程中发挥关键作用。这让他们有机会成为真正的业务推动者。

网络安全作为减少损失的工具

如果网络安全不能直接促进收入增长，企业唯一的投资理由就是避免损失。损失避免可以分为两种：

1. 避免收入损失（防止客户流失）
2. 避免业务价值损失（生产力、设备、数据等）

例如，科技公司遭受安全漏洞后会面临客户信任的损失，而制造业等其他行业则对客户流失的关注度较低。

避免收入损失是首要任务，但这主要与科技公司相关。例如，Okta在经历安全漏洞后，一定非常担忧客户的流失。相比之下，一些生产铝材的工厂在事故发生后并不需要担心客户流失。

第二种损失避免类型与业务连续性有关。公司对这种因素的重视程度，取决于其对自身风险价值的理解以及高管领导层对风险管理的个人态度。不出所料，这些方面与公司所在行业的常见风险有关：

• 技术供应商：安全漏洞可能导致产品中断、客户信任丧失（可能导致客户流失）以及其他一系列问题。
• 银行和保险公司：安全漏洞可能导致显著的财务损失。尽管许多人会认为客户信任同样重要，但事实上，大多数个人用户只要未受到直接影响，就不会因此更换其金融服务提供商。
• 受监管行业的公司：安全漏洞可能导致与监管机构的问题，从而带来罚款，并威胁到负责安全的领导的职位安全。
• 其他行业：例如制造业、教育、服务业、航运和物流等领域。它们通常对自身风险价值缺乏清晰的认识，因此往往在安全方面的投资严重不足。

问题在于，大多数人并不擅长理解风险和评估概率。因此，除非存在明显的合规驱动因素，否则他们不会将安全投资视为首要任务。此外，许多组织选择赌运气，而不是投资于安全。他们希望“奇迹般地”不会发生任何意外，而这通常在长时间内可能奏效，直到某一天不再奏效。由于没人能预测安全事件何时会发生，企业很容易将安全视为“明天的问题”，并将有限的资源优先投入到收入增长上。毕竟，企业的存在并不是为了安全，而是为了为股东创造收益。

在没有合规需求的情况下，安全需求往往依赖于“恐惧营销”。换句话说，企业通过制造对安全威胁的担忧来刺激需求，然后用其销售的安全产品来消除这种担忧。产品的感知价值与剩余恐惧的程度成正比——剩余恐惧越少，产品的价值越高。如果制造恐惧的公司能够有效解决潜在风险，那么其产品的价值会被视为更高。但如果某家公司在没有制造恐惧的情况下解决了问题，那么它可能被视为一种奇怪的技术解决方案，鲜有人会关心。

巨大的网络安全“回音室”

我讨论的现实令人痛苦地难以接受，但这并不使其不真实。为什么我们作为一个行业很少进行这种讨论？一个简单的答案是，我们都生活在一个我称之为巨大的网络安全“回音室” 中。问问自己几个问题：

• 谁活跃在社交媒体上？
• 谁在写博客（例如本文）？
• 谁在录制安全播客？
• 谁在安全活动上发表演讲？
• 谁创办了安全初创公司？
• 谁是安全供应商最想交流的人？
• 谁是风投最愿意花时间接触的人？

所有这些问题的答案都是一样的——要么是那些工作在安全成为收入推动力的组织（如科技公司、大型银行等）的人，要么是那些创建或服务于安全初创公司的人员、创业者或投资人。当然，确实有少数例外，但总体来说，都是相同的群体。

我以最善意的方式称之为“回音室”（毕竟，无论我是否愿意，我也属于这个回音室）。问题不在于人们在线上看到的大多数观点仅适用于少部分以工程为中心的公司，这并没有问题。问题在于，认为这些观点代表了整个行业的普遍情况。事实上并非如此，我们讨论的许多内容实际上与大量的安全团队无关。

网络安全在成熟，但方式出乎意料

好消息是，网络安全正在成熟。这一点可以从以下趋势中看出：越来越多的安全从业者、安全会议、安全公司和专注于安全的投资者。这一点还体现在越来越多的公司在董事会会议中讨论安全问题并聘请专职CISO（首席信息安全官）。正如我之前所讨论的那样，关于我们行业的未来，有很多值得乐观的理由。然而，尽管安全确实在成熟，但其发展的方式与许多人想象的不同。

对大多数公司而言，成熟意味着依赖服务

虽然科技公司正在招聘安全工程师和安全架构师，并采用工程思维来运营安全，但世界的其他部分并非如此。行业的成熟意味着更多的细微差别。对于科技公司、大型银行等，成熟可能确实意味着雇用技术安全从业者（如安全工程师、架构师、威胁检测工程师等），构建定制化工具以解决其独特的问题。

然而，它们至多只占市场的1-5%。对于其他95%以上的市场而言，成熟意味着承认它们没有足够的专业知识来解决自己的安全需求，它们很可能永远也负担不起这样的专业知识，甚至不知道从哪里开始。因此，对于这些公司而言，成熟的结果是将安全需求持续外包给第三方服务提供商，包括安全产品，但更多是安全服务。Huntress、Arctic Wolf等公司多年前就已经意识到了这一点。我对未来十年即将涌现的新一代安全服务提供商持乐观态度。在我看来如果AI有可能真正发挥作用的领域，那么它将体现在安全服务的交付上。

政府对CISO的追责只会加速这一趋势。当安全负责人因尽职尽责反而被追责时，越来越多的人会选择与第三方合作，将更多的安全责任外包，从而保护自己免于个人责任。

对大多数公司而言，合规就是安全

我们喜欢说“合规并不等于安全”。虽然这一点是事实，但对于大多数公司而言，合规确实就是安全。我不认为这种情况会在短期内发生改变。随着越来越多的行业受到监管，合规（以及随之而来的安全）的需求必然会增加。然而，仅凭这些公司自身的意愿，它们不会主动在这些领域进行投资，除非它们属于本文开头讨论的几类企业之一。

一个很好地说明这一现实的例子是隐私市场的现状。长期以来，业内许多人都希望隐私市场能够爆发。然而，几年过去了，我们看到大多数以隐私为中心的初创公司在扩展客户群方面都举步维艰。虽然卡内基梅隆大学培养了隐私工程师，但在谷歌、Meta以及少数几家大科技公司之外，你很难见到有人拥有这样的职位。我认为隐私市场中唯一一家取得成功的公司是OneTrust，这家公司显然专注于隐私合规。在此背景下，我将“成功”定义为接近IPO。

需要提醒我们的三个显而易见的事实

有时候，我们会对安全的未来过于兴奋，开始幻想未来几年内事情可能会变得如何。虽然这没有错，但有时候我们需要某种东西让我们回到现实，为自己提供一个扎根的基准。对我来说，这种基准来源于以下三个简单的真相。

1. 大多数安全从业者只是在完成本职工作

我个人认识许多安全从业者和领导者，他们为保障组织的安全和推动行业发展作出了个人牺牲。在安全行业中，使命感、目标感和责任感是其他大多数行业中难以匹敌的。我们有很多理由去认可和赞美那些为我们的数字（甚至物理）世界提供安全保障的人。然而，也有一些原因值得我们担忧，那就是公司往往会利用人们发自内心的助人意愿，这个话题以后再谈。

不过，同样重要的是，我们必须记住，大多数安全从业者只是在完成他们的工作。大多数人不会刻意去关注行业新闻，不会读安全相关的书籍或时事通讯（不幸的是，这就是事实），不会与本地安全社区的志愿者合作，也不会在本地的BSides会议上演讲或参加这些活动。让我明确一点——他们不做这些事情，并不意味着他们在任何方面有所欠缺。这只是意味着他们有其他生活中更重要的事情，比如朋友、家人、孩子、爱人、兴趣爱好、个人目标以及生活本身。有些人很幸运，可以兼顾两者，而其他人则不得不选择，将重点放在其中之一。

安全供应商在庆祝每一位从业者为英雄方面非常成功。这是件好事（我们需要更多这样的事！），但我们需要保持现实，并记住安全并不全是关于使命感的。大多数从业者在上午9点登录（使用Windows，而不是macOS或Linux），下午5点登出。他们大多不活跃在LinkedIn、Twitter、Mastodon或任何你喜欢的媒体平台上，大多数CISO从未参加过（也永远不会参加）Black Hat或RSAC会议。而且，大多数安全人员当然也不会关注5,000多家安全初创公司的融资和产品发布公告，也不知道哪些新类别是“热门”领域。

这些都是“设计使然”。

2. 大多数公司不是科技公司

没有什么能比观察美国国内生产总值（GDP）各类别的数据更明显地表明，大多数公司都不是科技公司。

信息技术（IT）远不是GDP的主要来源。当然，在其他细分领域中有许多技术支持型的公司，但事实仍然是，绝大多数应该购买安全解决方案的公司既不在湾区，也不在纽约。

如果你生活在美国以外的国家，我鼓励你为你的国家做同样的统计分析。我相当有信心，无论你身处何地，你都会得出相同的结论。

3. 大多数安全领域外的人对安全并不关心（也不会关心）

虽然我们希望能够让人们“意识到网络安全风险”，让他们开始以更安全的方式生活，但现实是，这种情况很难实现。我认为在人们考虑安全问题之前，有许多更重要的习惯、行为和问题需要优先解决。比如，人们需要健康饮食、拥有高质量的睡眠、每天锻炼身体、阅读书籍，这个列表可以不断延伸。我们花了几个世纪才达到对这些事情的认知水平，但猜猜看——很少有人真正去践行这些。如果人们知道不锻炼和不健康饮食可能会缩短数年的寿命，却选择不采取行动，那么我们为什么会认为，了解个人数据在安全漏洞中可能丢失这一点会产生不同的结果呢？正如某位智者所说：“如果单靠意识就足够了，那就不会有人吸烟了。”

接受现实，用已有的资源做到最好

如果我的语气听起来对安全现状过于消极——请相信我，这绝不是我的本意。相反，我对未来充满希望和乐观。然而，我确实认为我们需要先建立一个对现状的现实基线。换句话说，为了实现持久的变革，我们需要首先接受现实，并理解我们目前所处的位置。

在此之后，下一步就是确定改进的机会。好消息是，这些机会非常多，我们无疑正朝着正确的方向前进。我们需要继续宣传安全的重要性，倡导新的标准和法规，并确保安全领导者可以在不担心职业生涯或自由受损的情况下开展工作。

此外，我认为我们需要认识到，作为一个行业，我们在提升安全技术能力和建立强大的防御能力方面已经非常成功。剩下的主要任务是提高实践水平。换句话说，我们需要让这些先进的能力变得易于获取，并让95%-99%的公司能够轻松使用它们，因为这些公司永远不会雇佣安全工程师、安全架构师、威胁检测工程师以及其他优秀的以工程为中心的安全从业者。

我们需要在安全会议上听到那些来自预算有限的公司安全团队的声音。我们需要听到那些尽最大努力用有限资源维持业务安全的人的声音，因为这才是95%-99%的公司今天的现状（并可能会继续如此）。

了解行业的现实对那些希望建立安全初创公司的人也至关重要。我们已经看到，仅仅以SaaS和前沿科技公司为目标的公司市场有限，设计解决方案时需要同样适用于分析师主导和工程师主导的安全团队。

我们有许多事情可以做，也应该去做，但一切都始于第一步——接受现实，并用我们已有的资源做到最好。为此，坦诚地讨论网络安全状况很有用。

参考资料