坦诚点,让我们谈谈网络安全行业现状

admin 2025年1月13日18:59:12评论11 views字数 6772阅读22分34秒阅读模式
坦诚点,让我们谈谈网络安全行业现状

几年前,我曾探讨过安全工程对未来安全运营的重要性。随后,拉米・麦卡锡(Rami McCarthy)在其撰写的文章中解释说,安全工程并非是着眼于未来,它就是当下的事,只是分布并不均衡。我非常赞同他的观点,在这篇文章中,我想就此进行更深入的探讨。

在过去的几年里,随着我对安全问题的思考不断深入,我逐渐意识到这个行业的运作方式与许多人想象的有所不同。既然我现在终于有时间来反思网络安全的现状了,那是时候做个了结,分享一下我最新的想法了。

是什么促使企业投资网络安全?

在我们更深入地探讨本周的主题之前,让我们先了解一下基本情况,即是什么促使企业在网络安全方面进行投资

安全从业人员常说,网络安全必须成为企业的高优事项,但我认为,作为一个行业,我们在阐明为何要如此这一点上,大体上是不成功的。不过,这并不是因为我们没有尝试过。每周我们都能看到数百篇新文章、网络研讨会、小组讨论,还有数以万计的社交媒体帖子都在重复着安全重要性这一相同的信息。我认为,我们没能成功地让首席执行官、首席财务官以及其他高管认同这一观点,原因在于,遗憾的是,对大多数企业来说,安全的重要性并不像我们期望的那样高。

在你生气之前,容我解释一下。

企业创立的目的是为股东创造价值,简单来说,就是为了赚钱。实现这一目标有诸多方法,但从最基本的层面来讲,企业就是要设法创造尽可能多的收入(顶线),同时尽可能减少开支(底线)。

合规是创收的助推器

对于任何一家企业而言,创造收入都是首要任务。任何能够促成、加速、改善或以其他方式助力收入创造的事项,总能获得资金支持。好消息是,安全合规是创造收入的关键部分。坏消息是,不同类型的组织,这一情况的真实程度各有差异

对某些公司来说,合规是其安稳运营的助力因素

咱们把明摆着的情况说明白:对于一些公司而言,合规是其平稳运营的推动因素。对于在受监管行业运营的企业以及上市公司来说,尤其如此。

受监管的行业,主要是银行业、保险业,在一定程度上也包括医疗保健业,是安全解决方案的主要购买方。这并非巧合:它们需要遵守各种各样的合规要求,而安全就是其中之一。为了让这些领域的企业能够持续盈利,它们必须满足一些条件,并让审计人员和监管机构相信它们已经尽力而为了。

上市公司亦是如此。在过去的几年里,美国证券交易委员会(SEC)一直在督促上市公司开始重视安全问题,因此,这些公司的高管们如今不得不对安全进行投资。虽然并非每一家上市公司或受监管的组织都设有专门的首席信息安全官(CISO),但它们全都指定了专人负责合规性与安全性事务。而且,它们都有强烈的动机去采取必要的行动,以满足各项要求。

对于技术厂商来说,合规是一项关键的销售助力手段

科技公司(其中大多数是有风险投资支持、以工程技术为中心的初创企业)比其他公司有着更强的动力在网络安全方面加大投入,这并不会让任何人感到惊讶。与大众的普遍认知相反,其原因并非是它们有财力负担得起。毕竟,科技公司很少能实现盈利,而且它们为了扩大规模会消耗大量资金,所以它们根本没有剩余资金可分配到那些对实现增长并非必需的领域。

技术厂商有强烈动力投资安全领域的原因有两个方面

首先也是最重要的一点,科技公司需要确保客户能够放心地共享他们的数据,或者将公司的软件嵌入到他们的组织中。当客户订购一台新咖啡机、一张沙发或一箱煤炭时,他们没有真正的理由去关心厂商的安全状况(只要他们能通过合同保证产品的交付)。然而,当客户开始使用文件存储时,实际上是在说 “我相信存储厂商会保障我的数据安全”。当客户希望在 AWS 上构建时,本质上是在说 “我相信 AWS 不会宕机,也不会将我的数据暴露给不良行为者”。对于任何软件即服务(SaaS)、基础设施即服务(IaaS)、平台即服务(PaaS)或任何其他类型的技术厂商来说都是如此。当客户从一家科技公司购买东西时,它必须与该公司共享一些数据或给予某种形式的访问权限,在这两种情况下,它都希望确保这样做是安全的。

对于技术厂商而言,网络安全是其所售产品的核心属性。如果没有 SOC 2 认证、多因素身份验证以及其他各类属性,技术公司实际上根本无法向最具盈利能力的客户(大型企业)进行销售。与其他行业的同行不同,科技公司的CISO专注于客户信任,并且在公司的销售流程中起着至关重要的作用。这使得他们有机会成为真正的业务推动者。

将安全作为减少损失的工具

当业内人士说安全必须成为业务推动者时,人们常常忽略的一点是,对于大多数公司而言,是合规性促成了收入的产生。在合规性并非强制性要求的情况下,安全被视为可有可无。除了推动收入增长外,企业投资安全的唯一其他原因就是避免损失。避免损失有两个方面:

  • 避免损失收入(客户),以及
  • 避免损失业务价值(生产力、设备、数据等)

避免收入损失是首要任务,但这又主要与科技公司相关。例如,Okta 在经历了安全漏洞事件后,肯定非常担忧。而另一方面,一些生产铝材的工厂在发生事故后,不必像科技公司那样担心客户流失问题。

第二种避免损失的类型关乎业务连续性。这一因素实际能在多大程度上促使公司将承诺付诸行动,取决于它们对风险价值的理解,以及管理层对风险管理的个人态度。不出所料,这些方面与公司所处业务中常见的风险息息相关:

  • 对于技术厂商来说,安全漏洞意味着其产品会受到干扰,会失去客户信任(有可能导致客户流失),还会引发各种各样的其他问题。
  • 对于银行和保险公司而言,安全漏洞可能会导致重大的财务损失。尽管很多人可能会认为客户信任很重要,但实际上并非如此,因为只要安全漏洞没有对个人产生影响,大多数人都不会更换与之有业务往来的机构。。
  • 对于更广泛的受监管行业的公司来说,安全漏洞可能会引发监管方面的问题,进而导致处罚,并威胁到安全负责人的工作稳定性
  • 对于其他公司而言,面临风险的价值通常各不相同。制造业、教育业、服务业、航运与物流业以及其他行业,普遍对自身面临风险的价值缺乏清晰的认识,因此,它们往往在安全方面投入严重不足。

问题在于,大多数人都很不擅长理解风险以及评估概率,所以,除非有明显的合规驱动因素,否则他们不会将投资安全视为优先事项。此外,许多组织决定拿自己的命运去冒险,它们不投资于安全,而是抱着侥幸心理观望,指望奇迹发生,不会有什么糟糕的事情出现。这种做法可能在很长一段时间内都看似没问题,直到有一天行不通了。由于没人能预测安全漏洞何时会出现,所以对各组织来说,太容易将安全问题当作是明天的事,转而把有限的资源投入到创造收入上了。毕竟,企业创立的目的不是为了保障安全,而是为股东创造回报。

除了游说推动更多合规要求之外,安全厂商要想激发对安全的需求,唯一能做的就是散布恐慌情绪。换句话说,激发对安全的需求已经变成了先吓唬人,然后再用公司所销售的产品来消除这种恐惧。产品的感知价值与剩余恐惧的程度直接相关 —— 剩余恐惧越低,产品就越有价值。如果制造恐惧的公司确实能够解决潜在风险,那么它们的产品就会被视为更有价值。然而,如果一家公司切实解决了某个问题却没有制造恐惧,那么它就有可能被视为某种奇怪的技术解决方案,不被安全领域的任何人所关注

网络安全的 “回音室” 效应

我正在讨论的现实情况让人难以接受,但这并不会让它变得不真实。为什么我们这个行业没有更频繁地展开这样的讨论呢?一个简单的答案是,我们所有人都生活在一个我只能称之为网络安全的 “回音室” 之中。问问你们自己几个问题吧

  • 谁在社交媒体上很活跃?
  • 谁在写博客(比如本博客)?
  • 谁来录制安全播客?
  • 谁在安全活动中发表演讲?
  • 谁创办了安全初创企业?
  • 安全厂商最想与谁交流?
  • 风险投资人想和谁在一起?

所有这些问题的答案都是一样的 —— 要么是在那些将安全视为收入推动因素的机构(科技公司、大型银行等)工作的人,要么是创办安全初创企业或在其中工作的人、有抱负的创业者,又或者是投资者。当然肯定有少数例外情况,但总体而言,都是同一类人。

我是以尽可能善意的方式将其称作 “回音室” 的(毕竟,不管我愿不愿意,我自己在很大程度上也是这个 “回音室” 的一部分)。事实上,人们在网上读到的大多数观点似乎只与一小部分以工程技术为中心的公司相关,这本身并不是问题。问题在于,人们认为这些观点代表了整个行业的情况。而实际情况是它们并不能代表,而且我们所讨论的很多内容,对于很大一部分安全团队来说根本就不相关。

安全领域正在走向成熟,但并非如许多人所想的那样

好消息是网络安全正在走向成熟。当我们看到安全从业者、安全会议、安全公司以及专注于安全领域的投资者的数量日益增多时,这一点就显而易见了。当我们看到越来越多的组织在董事会会议上讨论安全问题,并聘请专门的CISO时,这一点也很清晰了。正如我之前所讨论的那样,我们有诸多理由对本行业的未来持乐观态度。虽然安全确实在走向成熟,但它的发展方式与许多人所想的有所不同。

对于大多数公司来说,成熟意味着依赖服务

虽然科技公司一直在招聘安全工程师和安全架构师,并在安全运营方面秉持工程思维,但世界上其他公司的做法却有所不同。该行业正在走向成熟,但这种 “成熟” 的定义要微妙得多。对于科技公司、大型银行之类的企业来说,成熟或许确实意味着聘用技术型安全从业者(安全工程师、架构师、检测工程师等),打造定制化工具来解决其组织特有的问题等等。

然而,它们最多只占市场的 1% 到 5%。对于其余 95% 以上的市场主体而言,成熟意味着承认它们并不具备满足自身安全需求的专业能力,意味着它们很可能永远也负担不起这种专业能力,还意味着它们甚至都不知道该从何处入手。对它们来说,走向成熟的结果将会是继续把安全事务委托给第三方厂商,这其中包括安全产品,但更重要的是 —— 安全服务。Huntress、Arctic Wolf等公司在多年前就已经意识到了这一点。我对未来十年即将出现的下一代安全厂商充满信心,而且在我看来,如果说人工智能有潜力在某个领域真正发挥作用的话,那这个领域就是服务交付。

政府一直在追究CISO责任这一事实,只会加速安全外包的趋势。当安全负责人因履行工作职责而被追究责任时,越来越多的人更愿意与第三方合作,将更多的安全事务委托出去,从而保护自己免受个人责任追究,这是顺理成章的事

对于大多数公司来说,合规确实意味着安全性

我们常说合规并不等同于安全(我也曾写过相关文章)。虽然这话没错,但对大多数公司而言,合规确实意味着安全,而且我认为短期内这种情况不会改变。随着越来越多的行业受到监管,对合规(以及随之而来的安全)的需求肯定会增加,但如果公司不属于开头所讨论的那几类情况,它们自身是不会主动在这些领域进行投资的

隐私市场的现状就是这一现实的一个很好例证。长期以来,业内许多人都希望隐私市场能够蓬勃发展。多年过去了,我们看到大多数专注于隐私的初创企业都在艰难地试图突破少数早期采用者的局限,拓展业务。虽然卡内基梅隆大学一直在培养隐私工程师,但除了谷歌、元宇宙(Meta)等少数几家大型科技公司外,你很难看到有很多拥有这一头衔的人在其他地方工作。我认为在隐私市场上取得成功的一家公司是 OneTrust,不出所料,它专注于隐私合规。在此语境下,我对成功的定义是接近首次公开募股(IPO)。

值得提醒我们注意的三个明显事实

有时候,我们对安全领域的未来过于兴奋,开始幻想短短几年后它会变成什么样子。这并没有什么错,如果说有人因过于乐观、太具前瞻性思维而有 “过错” 的话,那这个人就是我了。话虽如此,还是有必要有些东西能让我们回归现实,让我们立足实际。对我来说,就是思考以下三个简单的事实。

大多数安全从业人员只是在做本职工作

我个人认识很多安全从业者和安全负责人,他们为保护所在组织以及推动行业发展做出了个人牺牲。我们在安全领域所看到的使命感、目标感和责任感,确实与大多数其他行业有所不同。我们有诸多理由去认可并赞扬那些保障我们数字(以及实体)世界安全的人们所付出的不懈努力。同时,我们也有理由担心一些公司利用人们乐于助人的真诚愿望的这种倾向,不过这是另一个话题了。

然而,同样重要的是要记住,大多数安全从业者只是在做自己的本职工作。大多数人并不会特意去跟进行业新闻,不会阅读安全方面的书籍或时事通讯(很遗憾,事实就是如此),不会在当地的安全社区做志愿者,不会在当地的 BSides(安全技术交流会议)上发言或参会等等。我要明确说明的是 —— 他们不做这些事,丝毫不意味着他们就逊色一些。这仅仅意味着他们在生活中有其他比安全更重要的事,比如朋友、家人、孩子、爱人、爱好、个人目标以及整体的生活。有些人很幸运,能够两者兼顾,而其他人则必须决定自己的重心所在,然后做出选择。

安全厂商在将每一位从业者都赞颂为英雄这件事上做得非常成功。这很棒(而且我们需要更多这样的做法!),但我们有必要认清现实,记住安全并非全都关乎使命感,而且我们(以及其他任何!)行业中的大多数人都是早上 9 点登录他们的 [Windows 系统电脑,而非 macOS 或 Linux 系统电脑],下午 5 点就退出登录了。大多数安全从业者并不活跃在LinkedIn、Twitter、Mastodon或者你喜欢的任何社交媒体上,大多数CISO从未去过(而且也永远不会参加)Black Hat大会或RSAC等等。而且大多数安全从业者肯定不会关注那 5000 多家安全初创企业的融资和产品发布公告,也不知道哪些新的品类是 “热门” 的。

这一切都是有意为之。。

大多数公司都不是科技公司

没有什么比查看概述美国GDP分类的统计数据,更能凸显大多数公司并非科技公司这一事实了。

坦诚点,让我们谈谈网络安全行业现状

Image Source: Visual Capitalist

信息技术远非GDP的主要来源。当然,在其他所有领域都有大量借助科技的公司,但事实是,大多数本应购买安全解决方案的公司并非位于旧金山湾区,甚至也不在纽约。。

如果你不住在美国,我建议你针对自己所在的国家做同样的考察。我非常确信,无论你身处何方,都会得出相同的结论。

安全领域以外的大多数人不在意(也不会在意)安全问题

尽管我们希望能让每个人都具备 “网络安全意识”,从而让他们的生活过得更安全,但遗憾的是,这与现实相差甚远。我认为,在考虑安全问题之前,人们还有许多其他重要的习惯、行为以及问题需要去关注。人们需要饮食健康、保证高质量的睡眠、每天锻炼身体、多阅读等等,这样的事项可以罗列很多。我们花了几个世纪的时间才让人们对这些事情有了一定的认知水平,但你猜怎么着 —— 实际上没多少人能真正做到。我的问题很简单:如果人们知道不锻炼、不健康饮食会让自己少活好多年,却依然选择不采取行动,那我们凭什么认为,让他们了解在安全漏洞中可能会丢失个人数据这件事就能产生不一样的结果呢?正如某位智者曾说过的那样:“如果仅仅靠意识就能解决问题,那就没人会抽烟了。”

接受现实,并决定尽力而为

如果听起来我对安全现状持消极态度,那绝非我的本意。恰恰相反,我对未来充满希望且持乐观态度。不过,我确实认为我们确立一个关于当下的现实基线很重要。换句话说,要实现持久的改变,我们首先需要接受现实并了解自身所处的状况。

在我们做到这一点之后,下一步就是找出改进的机会。好消息是,这样的机会有很多,而且我们肯定正在朝着正确的方向前进。我们需要继续宣传安全的重要性,倡导新的标准和法规,并确保安全负责人能够安心履行工作职责,不必担心自己的职业生涯和人身自由受到影响。

此外,我认为我们需要认识到,作为一个行业,我们在推动安全技术前沿发展以及构建相当强大的防御能力方面已经取得了相当大的成功。剩下的主要任务是提升实践水平。换句话说,我们需要运用这些先进的能力,让行业内其余的、那 95% - 99% 永远不会聘请安全工程师、安全架构师、检测工程师以及其他各类以工程技术为核心的优秀安全从业者的公司,能够容易获取并运用这些能力。我们需要在安全会议上听听那些在安全预算并不充裕的公司的安全团队中工作的人员的想法。我们需要听听那些在资源有限的情况下仍竭尽全力的人员的心声,因为当今世界 95% - 99% 的公司都是这样的情况(而且很可能在未来仍会如此)。

了解行业的现实情况对于那些希望创办安全类初创企业的人来说也至关重要。我们已经看到,那些只针对软件即服务(SaaS)型、技术先进型公司的企业,其市场是有限的,因此设计出同样适用于以分析师为核心和以工程技术为核心的安全团队的解决方案非常重要。。

我们有很多可以做且应该做的事,但这一切都始于一个简单的步骤 —— 接受现实,并决定尽我们所能,利用所能用的现有条件。为此,围绕网络安全的现状进行一场开诚布公的讨论是很有益处的。

坦诚点,让我们谈谈网络安全行业现状

原文链接:

https://ventureinsecurity.net/p/lets-have-an-honest-conversation

原文始发于微信公众号(KK安全说):坦诚点,让我们谈谈网络安全行业现状

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月13日18:59:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   坦诚点,让我们谈谈网络安全行业现状https://cn-sec.com/archives/3624256.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息