安全部门从来都不只会说不

在讨论安全之前，Ross认为有必要定义安全部门运作的背景。“为此，我们必须探讨一些商业基本要素。我知道政府、非营利组织和其他类型机构同样需要安全，但鉴于私有企业在很大程度上定义了我们所处的行业，因此我觉得重点应该聚焦于此。”

商业的核心是承担风险，这对任何人都不应意外。创始人赌上毕生积蓄押注未经证实的想法；投资者冒着需承担回报责任的资金在不确定的市场中下注；整个行业都在努力实现可能永远不会成功的事物。从第一天起，公司就面临生存威胁：想法可能不被接受；产品可能无法开发；产品可能不符合市场；市场可能无法形成；竞争对手可能执行得更好；税务或贸易法规可能一夜之间改变，导致业务难以为继，等等。

可能出错的事情清单如此之长，且高度依赖具体背景，试图罗列完全是徒劳的。关键在于，对任何公司而言，生存都不是理所当然，而是通过企业在各个维度上持续、经过算计的押注赢得的。无论公司处于何种阶段，这点都不会改变：即使是价值数十亿的大公司也会因无数原因失败，柯达、施乐、黑莓、摩托罗拉、雅虎、安然、康柏等众多公司的例子就充分印证了这一点。

在无尽的风险海洋中，安全风险不过是公司可能考虑的又一威胁。尽管可能很严重，但除非一切都在燃烧，它们很少达到“停止一切”的级别。回顾过去100年的历史，情况就变得很清晰：就对公司的冲击而言，网络安全风险确有财务后果，但它们很少关乎生死存亡。公司倒毙是因为市场进入太晚或太早、增长太慢或太快、缺乏产品市场契合度、内部政治斗争以及无数其他原因，其中并不包括安全问题。如果说有什么关联，安全漏洞通常只是滞后的指标，揭示了文化挑战、决策失误和运营纪律的缺失。Adrian Sanabria 一直在追踪因安全事件倒闭的公司，迄今少于 30 家——远低于许多人的想象。

既然商业的本质是冒险行为，那么安全风险不被大多数公司视为首要关切也就不足为奇了。大多数组织不会因为潜在的安全风险就停止产品发布、推迟可能改变公司轨迹的新功能，或放弃发展势头。如果企业熬过了产品风险、市场风险、竞争风险、执行风险、监管风险（仅举几例），它就不会在安全阻力这个“山头”上栽跟头——尤其是当这种阻力会减缓增长进程时。

这就引出了本文的主题——安全部门并非说“不”的部门。要理解这种看法为何持续存在，Ross表示，我们必须看看安全部门何时可以说“不”，更重要的是，何时不能说。这两者之间的对比揭示了安全部门在公司内地位的深层真相。

安全部门常在边缘地带介入——禁止对生产环境的 SSH 访问、阻止有问题的浏览器扩展、强制执行 MFA（多因素认证）或标记轻微的政策违规。这些决策无疑具有实际影响，因为它们能让公司避开一些最常见和最明显的攻击途径。然而，尽管这些决策可能给安全团队带来掌控感，却并非巨大权力的标志。安全部门能在这些领域施展拳脚，是因为对业务的代价很低。这些改变发生在“安全区”——不影响收入、不延误新产品发布、不会使重要交易失败、也不会破坏业务势头。换言之，这些改变不会显著拖慢公司创造收入的能力。正是在这些狭窄的管控边界内，“安全部门是看门人”的神话得以延续。

一旦赌注加大，情况就变了。当安全风险可能影响公司在特定日期前交付关键功能、达成季度收入目标或启动关键合作伙伴整合的能力时，安全部门就没资格说“不”了。真正关乎重大业务的决策、那些具有战略分量的决策，是由产品、工程、市场推广和高管团队做出的。在那样的场合里，安全部门至多是个顾问，绝非有权说“不”的关键角色。

当人们说安全部门应成为“推动者”时，他们的真实意图通常是：安全部门无权否决决策。取而代之的期望是，它应让业务按意愿推进，然后在可获得的环境和预算条件下，设法找到尽可能保障这条路安全的方法。

尽管在大多数组织中，安全部门并不具备“说不”的权力，但在某些类型的企业中，情况可能不同。Ross举例，比如那些安全问题和合规性会构成生死攸关风险的公司。

要将安全视为生死攸关的风险，一个组织必须是攻击者的顶级目标。绝佳的例子就是像 Coinbase 和 Binance 这样的顶级加密货币交易所，它们被视为攻击者最有利可图的目标之一，与美国顶级银行并列。在此类组织中，安全部门确实拥有巨大的权力：能够塑造发展路线图、推迟新功能和产品的发布，并影响哪些第三方可以集成它们的软件。然而，矛盾的是，这些公司的安全领导者往往最不可能滥用这种权力。他们的CISO通常是技术实力强、具备商业头脑的高管，他们将安全视为产品工程挑战，而非监管职能。

第二类包括合规性构成生死攸关风险的组织。在医疗和金融服务等受严格监管的行业中，安全部门的角色与能向监管机构和审计师展示的内容密切相关。安全团队成功的定义是：通过审计、保持认证资格以及避免监管处罚。在这些环境中，安全领导者确实拥有重要影响力（以及说“不”的权力），但这种权力通常与法律和合规团队共享。

无论怎样，绝大多数组织都不属于这两类，因此Ross认为，在大多数情况下，安全部门并不是那个说“不”的部门。

尽管肩负着保护组织的责任，但安全部门通常在没有对其本应保护的系统进行任何实际控制的情况下运作。它并不具备IT或基础设施的所有权，不负责实施身份与访问管理，不运行CI/CD流水线，也不管理产品路线图。它无法转移预算、设定工程优先级或影响晋升人选。实践中，它被要求在无权完全掌控的领域内推动成果，这就给了它一个责任重大却无实权的角色。这种缺乏掌控权的现状造成了真正的张力，因为CISO要推动事情完成的唯一工具就是政策，而人们唯一愿意听取的理由就是合规（如果某事不属于合规要求，要推动它实施只能靠运气）。最终的结果形成了一种机制：安全团队被要求去守护它们无权掌控的环境，做法是弄清楚需要做什么，然后告知那些不愿做任何额外工作的其他人去进行改动。

当安全部门缺乏在一开始就阻止风险引入的权威时，其角色自然就转向：提供对风险的可见性；以及向业务部门阐明风险的影响。这并非团队的失败，而是直接源于一个事实：待安全部门介入时，许多重要决策早已做出。在这些情况下，可见性成为退而求其次的选择：如果安全部门无法到场协助调整方向，至少它可以理解潜在后果并将其展现出来。这是一种保持参与度、确保问题被知晓的方式，即使它未被采取行动解决。

如今可见性成为安全团队的核心职能，直接反映了这一角色变得多么复杂。当今的安全团队要在快速变化的产品路线图、分散化的架构以及日益增加的监管压力之间周旋，却常常只拥有有限的权力和资源。在这种环境中，大多数组织赋予其安全团队唯一能做的权力，就是获得对其风险的可见性。在那些有更强理由投资主动控制的技术公司中，情况可能有时不同，但对于大多数公司而言，可见性就是安全努力的终点。其挑战在于，由于推动变革的能力有限，许多团队陷入了只能被称为“扫描-提单（scan-and-ticket）”的循环中：扫描系统、发现问题、将其记录为工单，然后转交给可能完成也可能不完成的团队。

Ross表示，止步于可见性并非懒惰或疏忽；它是一种应对机制，使安全部门能在不影响业务节奏的前提下保持参与。它创造了尽职尽责的记录，确保团队已尽其所能，让安全部门持续处在信息流中而不是成为瓶颈。尽管如此，这种做法通常导致风险延滞（risk deferral）而非风险降低（risk reduction）：Jira工单成了交付物，任务移交成了结束动作，而真正的问题（修复漏洞、更改配置、推送更新等）可能悄然停滞。“意图是好的，努力也是真实的，但结果并不总能反映出风险的紧迫性。这样的参与度足以避免被问责，但往往不足以改变最终结果。”

Ross说，这并非批评安全团队，只是点明体系是如何运作的。正如他最近在领英上说的那样：“网络安全的肮脏秘密在于——大多数数据泄露并非技术故障，而是商业决策。公司知道自己的身份系统错综复杂、第三方访问冗滥失控、云配置混乱不堪，但解决这些问题或是不便或是耗资巨大或是具政治风险。它们最终选择了接受风险，抱有侥幸心理，并购买更多工具来‘监控’问题而非解决它。从这个意义上讲，许多数据泄露不仅是必然的，而且是预算内已经被考虑进去的成本。”

可见性很有价值，但前提是它需要与影响力、协作以及领导层的支持相结合。安全部门的定位不应仅限于识别问题，还应帮助推动解决方案。否则，即使是最好的团队，也将继续束手束脚地运作，尽其所能地沟通风险，却无力阻止这些风险对其组织造成冲击。

Ross表示，回顾过去几年中备受安全团队青睐的初创公司，可以清楚地看到，绝大多数要么帮助公司维持运营和销售产品（合规自动化），要么检测并应对生死攸关的威胁（勒索软件和登上头条的攻击），要么提供对几乎所有事物的可见性。

一旦某个工具引入任何形式的阻力，即使它能显著提升安全性，通常也很难成长壮大。任何试图防止错误配置的公司，其吸引力都无法匹敌仅仅提供错误配置可见性的公司——尽管从纯粹的安全视角看，预防本应更合理。问题在于，预防是安全团队用来“说不”的工具——许多安全人员想这么做，却很少被赋予足够的实权去真正实施。这一现实也提醒着有抱负的创业者们，在与CISO交流以验证想法时须谨慎：令安全领导者感到兴奋的解决方案与他们有权力实施的方案，往往并非同一件事。

“希望之光在于，我们整个行业正逐渐认识到，实施预防性控制的唯一途径是聚焦用户体验。一个会影响开发人员及时交付的工具可能难以存活，但一个允许他们在必要时绕过安全警报的工具则会大受好评。我希望整个行业能最终从关注可见性转向关注可操作性。要做到这一点，我们不仅需要更多创业者构建可操作的解决方案；我们更需要拥有足够内部影响力的安全领导者，他们不仅能实施方案，更能帮助初创公司进化与成熟。”

Ross表示，AI是历史上众多超越安全影响能力的技术之一。如同此前的云、移动和SaaS一样，AI正迅速融入产品、工作流和商业模式中，却常常没有明确的安全计划。追求快速行动、捕获价值和保持竞争力的压力，这意味着安全部门又一次只能对既成事实的决策做出反应。与所有技术一样，AI安全的发展轨迹也很可能如下：

直到出现足够多的头条新闻，显示公司因缺乏对AI的控制而损失惨重，我们可能才会看到对AI安全的投资能匹配上关于其重要性的海量讨论。

安全市场另一个近期的现象，是那些并非向安全团队兜售安全成果，而是围绕这些成果提供赋能工具的初创公司的兴起。这些公司认识到一个日益增长的现实：安全部门识别风险，却没有资源、专业知识或权力去修复它们。工作被推到了下游——给开发人员、平台工程师、DevOps或IT部门，而真正的阻力也在于此。这些初创公司不再用仪表盘和政策引擎瞄准CISO，而是旨在让实际被要求做这项工作的人的生活更轻松。

Ross说，Chainguard 是这一转变的鲜明例证。尽管CISO可能是该方案的支持者，但Chainguard的销售对象其实并非他们。它的目标用户是负责容器打补丁、维护和保障安全的工程团队，这些团队恰恰是常被转交安全工单来完成这些工作的群体。Chainguard 将构建安全容器镜像等痛苦的任务抽象出来，将安全工作变成了一个已解决的问题，供实际参与实施的工程师们使用。

这种模式之所以有效，是因为它协调了各方的动力。开发人员并非想忽视安全——他们只是不想因此拖慢脚步或增加认知负担。工程师不在乎看到安全风险的可见性，但如果能突然不用做安全部门之前要求他们做的工作，他们会非常高兴。在向开发人员销售产品时，成功的产品不是那些谈论安全性的产品，而是那些消除了必须处理安全性摩擦的产品。

Ross说，在许多方面，安全让他联想到人力资源。这种比较，始于两者都会被视为常常“说不”的部门，但不止于此。人力资源不可或缺、价值巨大且潜力未掘，如果运用得当，它能真正改变公司的盈利能力和长期成果。然而，大多数组织尚未认识到正确实施人力资源的潜力。相反，它通常被视为一个责任盾牌，一个用于打钩、通过审计和最小化公司法律风险的功能。更深层次的战略价值往往未能实现。要改变这种现实，需要一位坚定且具有商业头脑的领导者，他能将人力资源不仅仅视为撰写无人会读的无意义政策或组织无人关心的年度敬业度调查的部门，而是将其视为增长和信任的推动者。

“一旦你想到这个类比，你就会发现，和人力资源类似，安全部门常常姗姗来迟——在损害发生之后或需要强制执行政策时才被引入；也类似人力资源，安全无法直接控制人的行为——只能教育、指导和影响。尽管如此，这两个职能经常要为超出其控制范围的结果负责：正如人力资源负责人可能因员工不当行为被解雇，CISO也可能在社交工程事件后丢掉工作。”

Ross表示，这是一种有缺陷但普遍存在的现象：这两个角色都预期要去防止失败，却并不能掌控导致失败的因素。“比如你可以打造卓越的公司文化或实施强大的安全意识培训，但只要有一个‘害群之马’或一次人为失误，仍可令这所有前功尽弃。而其后果往往会落在那些‘肩负阻止无法阻止之事’的人身上。人力资源和安全要发挥最大效力，需要在早期就参与决策，但它们却常常被视为被动职能和成本中心，直到问题发生。”

当人力资源人员走近你的办公桌时，很少有人会感到兴奋，因为当一切顺利时，人力资源是隐形的。安全部门也是如此。Ross表示：“如果你曾身处高绩效公司，你就会知道，当一位优秀的人才与文化（People and Culture）领导者出色完成工作时，那种感觉如同魔法。安全也是一样：当正确的安全领导者真正赢得参与决策的席位时，其影响是惊人的——安全从被动转向战略，从路障变成业务加速器，这时魔法就发生了。”

当Ross思考安全的未来和CISO这一角色时，他表示，自己能清楚地认识到，这条前进的道路需要拥抱无权威影响力（influence without authority）的理念。“这并非新概念——每位产品经理（PM）在其职业生涯早期就能了解到它的重要性。作为一名产品经理，多年来我不得不在无人向我汇报的情况下设定方向并推动执行。产品经理的成功依赖于他们赢得信任、建立关系以及让他人轻松做正确之事的能力，而非依赖于正式的汇报关系或命令他人的权力。”

如果无权威影响力对产品经理行之有效，那其就应该在安全负责人身上同样可行。但另Ross惊讶的是，这种简单而强大的方法至今仍未在每个安全专业人员、安全负责人和CISO身上彰显。“我认为部分问题在于，制定政策和规程的能力诱使许多安全专业人员误以为，只需在政策中定义某事并通过上层强制执行就能实现持久的变革。然而在生活中，没有事情是这样运作的。如果安全团队希望实现持久的变革，让公司更安全，他们必须花时间建立关系、赢得信任、努力帮助公司达成目标，并积极布道安全理念。只单靠政策是无法达成目标的。”

安全专业人员另外两项关键技能是讲故事的能力和行为心理学知识，或更广义地说，那叫决策科学。这些传统上与安全无关，但它们正变得越来越不可或缺。有趣的是，这些一直是成功的产品领导者的根基。正如产品经理必须向高管们推销其路线图方案以获取支持与资源一样，在持续被速度和交付导向牵引的环境中，安全领导者必须提出令人信服的理由，说明为何应将风险缓解列为优先事项。讲故事在产品与安全这两个职能中都扮演着核心角色。尽管都在谈论“数据驱动的决策”，但人们很少仅凭统计数据就做出决定。真正打动团队、领导者和董事会的，是故事——以贴切且紧迫的方式阐述问题的叙述。

最后，Ross强调：无论在产品还是安全领域，获胜的理念是那些能引起情感共鸣、帮助人们可视化风险、收益或前进道路的理念。一个讲得好的故事能让一屋子人达成一致的效力，这是电子表格（或风险登记簿）永远无法企及的。