ROSS HALELIUK的一篇新Blog,探讨3个不太现实的网络安全梦想:为什么大众不太可能关心安全,为什么不能指望神奇的产品工具拯救我们,以及为什么大型行业整合不太可能很快发生(至少不是许多人想象的那种形式)。
Ross Haleliuk
Venture in Security专栏作者,天使投资联盟负责人,LimaCharlie产品总监。
人类对于简单易懂和解决问题的需求
作为人类,我们渴望秩序和简单。这是直觉性的:我们的大脑寻求模式,我们想要将混沌的事物整理成我们能够理解的模型。看看人体吧:它有一层又一层——细胞、器官、神经元、激素等等;我们已经将这种复杂性分解为不同的学科,以便我们可以进行描述、分析、教授和专业化。
作为人类,我们还在寻求解决方案:如果有问题,我们希望看到它得到解决;当有人给我们讲故事时,我们希望听到结局。我们知道,任何事情都有开始和结束,而我们周围的很多事情都是循环的:太阳落山后会升起,冬天过后会迎来春天。我们不喜欢未完成的事情,这种看到结局的需求在非常年轻的时候就被培养出来了;还记得孩子们如果父母没有把睡前故事讲完就停止了,他们会哭得有多么频繁吗?
为了追求简洁和解决,有时我们会过于简化现实,低估达到终点所需的时间(如果有可能的话)。这时,我们建立的模型就不再那么相关和有用,无法指导我们的决策。
网络安全是所有这些行动的一个极好的案例。当人们参加行业活动时,几乎不可避免地会遇到许多人在不断重复的几个“真理”。在本文中,我想通过审视更广泛的背景并尝试定义这些“真理”可能会如何展开,来探讨其中的三个。
一厢情愿,让我们传播有关网络安全的谎言
“行业大整合即将到来”
许多网络安全供应商都在争夺客户的注意力和预算。IT-Harvest是最大的安全厂商数据库,拥有超过3300家公司,实际数字肯定更多,因为新供应商可能需要一两年的时间才能进入分析师的视线。即使在这个数字上,它仍然很多。
我认为很难找到一个人或一家公司不会说我们需要更少的供应商。同样,几乎所有业内人士都在像念咒语一样念叨着“行业大整合即将到来”。尽管我很想重复这一点,加入并扩大这一口号,但我认为全局态势要复杂一些。
我们知道坏人总是在寻找新的方法来实现他们的目标。随着新技术的出现和采用,以及新类型的漏洞被发现,进入的方式和攻击向量的数量每天都在增长。虽然可以利用的漏洞和漏洞的数量在增加,但理论上,只要以防御为重点的公司能够跟踪所有潜在的攻击媒介并快速制定对策,他们就可以保持力量平衡。问题是,说起来容易做起来难。
没有任何市场领导者——无论是Microsoft, Palo Alto, CrowdStrike还是其他任何人——能够自信地预测5年后会出现什么新的攻击向量。威胁行为者在数百个不同的方向上挖洞,但作为今天为股东创造利润的商业实体,安全公司不可能投入所有的资源来探索所有的可能性,试图领先于市场上的其他所有人,并比攻击者更聪明。领先的安全供应商需要专注于当前重要的事情,而对于其他的事情,只需等待和观察,知道会有其他人可以下注。
与此同时,我们看到成千上万的新创业公司出现,解决市场上不同的问题;有些人比其他人更具未来感。许多安全专业人员在细分市场中追求前沿的思想、方法和技术。他们知道失败的机会大于成功的机会,但如果他们真的成功了——回报可能是巨大的,对行业未来的影响也会很大。Microsoft、Palo Alto和其他有收购意向的公司可以等一等,先确定安全领域的重要性,然后收购该领域前五到十名领导者中的一家。他们把验证留给市场,因为他们知道自己总能买到缺失的部分。
当新的安全领域出现时,它们需要大公司无法轻易开发的新技能和新视角。例如,移动革命带来了一种新设备的广泛使用,而那些为Windows开发杀毒软件的人却无法轻易保护这种设备。这就是为什么网络安全创新通常是收购而不是内部构建的原因。大公司和初创公司的创始人都受益于以收购为中心的安全创新周期。由于这种循环,公司可以保持聚焦,并等待,直到他们有更好的信息,从而降低他们进入一个新的细分市场的风险。另一方面,创始人承担了最初的风险,因为他们知道,如果他们是对的,他们可以获得丰厚的回报。最终,这是一个双赢的局面。
作为人类,我们喜欢结局美好的故事——这就是为什么灰姑娘找到了她的王子,而哈利波特不仅活了下来,还拯救了所有需要被拯救的人。这也是为什么我们希望看到供应商供给超载的问题自行解决,这种希望促使我们谈论即将到来的整合。不幸的是,几年后网络安全供应商将会整合的想法忽视了几个重要的考虑因素:
安全公司需要很长时间才能建立信任,因此他们不能迅速扩大规模并占领大部分市场,给了竞争对手和“me too”玩家建立自己的利基市场的可趁之机。
大公司发现,等待,看看哪些创新流行起来,然后收购顶尖企业,在财务上是有益的。
大公司很难在内部培育创新:公司规模越大,发现新方法和新技术并将其成功商业化的可能性就越小。克莱顿·克里斯滕森在他的《创新者的窘境》一书中对此有很好的描述。
许多网络安全创新都是由在新兴技术领域积累经验的人打造的——从定义上讲,这些经验并不来自大公司。
请注意,我并不是说网络安全行业的整合没有发生,或者不会发生。相反,我想说的是,整合是行业的一个持续状态,而不是在几年内发生的一个过程,并导致网络安全公司的减少。今天已知的市场类别将会整合,但新的威胁将会出现,随之而来的是新的解决方案,新的市场类别,更多的整合,新的类别,等等。最终,大公司确实可以建立足够的专业知识来应对新兴领域,但除非他们能找到保持创新文化的方法,否则他们将需要继续依靠收购初创企业来保持领先地位。
除非我们能够降低信任的重要性,缩短购买周期,无论公司总部设在哪里,都能放心地信任公司,并接受一个国家的敏感数据在另一个国家进行处理,否则几年之后我们拥有500家供应商的想法只不过是一厢情愿。另一方面,这种情况不太可能很快发生。
“我们需要得到X工具,它会保护我们”
我们今天所知道的许多产品和解决方案,最初都只是一种工作的方式和方法。想想所谓的XDR。在某一点上,公司意识到他们需要对其环境具有完全的可视性,并且他们的安全覆盖必须考虑该环境中的所有内容,而不仅仅是网络和端点。这种认知导致了集成安全性的概念——他们需要跨端点、SaaS、云和其他平台执行安全性。不久之后,精明的供应商开始构建XDR产品——一些是为公司提供工具,将XDR作为一种方法来操作,而另一些则是利用炒作,让毫无戒心的客户相信XDR是一种神奇的工具,他们需要部署XDR才能“安全”。
这是一种过于简化的理解,但重要的一点是,作为人类,我们总是倾向于寻找捷径、灵丹妙药、“简单”的按钮来解决我们的问题。精明的企业家总是乐于提供这样的建议。这就是公司如何说服我们,健康意味着服用十种不同的补品,预先锻炼,喝蛋白质奶昔,拥有六块腹肌,锻炼肱二头肌。这也是为什么举重比功能训练更受欢迎,膳食补充剂比健康饮食更受欢迎的原因。很少有人知道六块腹肌和二头肌在现实生活中没什么用处,最好是加强核心肌群和拉伸腿筋。
另一个伟大的方法是零信任,它已经被产品化得如此之多,以至于很难想象它不是纯粹作为一种产品开始的。零信任是一种设计和实现IT系统的方法,它基于这样一种理念:默认情况下,任何系统或设备都不能被信任,即使它们连接到内部网络,即使它们之前已经经过了验证。今天,当一个人参加RSAC或几乎任何其他供应商聚会时,很容易得出这样的结论:零信任只是公司为了“安全”而购买的又一个小部件或工具。事实上,购买一个解决方案比重新构建许多系统相互作用的方式要容易得多。
安全是一件困难的事情,如果公司想要一个简单的方法,就把它们置于困境,这是不公平的。不幸的是,捷径只能带他们到此为止。这是因为基本上有两种类型的网络攻击:
1.技术之战Battles of technologies
2.人之战Battles of people
当攻击者用恶意软件或类似的东西瞄准大量受害者时,技术之战就会发生。这本质上是一种“spray and pray广撒网并祈祷”的方法:坏人知道,如果他们制作了一封令人信服的电子邮件,并将其发送给大量的人,有些人可能会按照要求去做。同样,如果他们能让用户点击恶意横幅,下载恶意文件等等,很多人都会上当。使用这些方法的攻击者通常不知道谁将成为受害者,但他们有办法将受害者“转换”成现金(勒索软件是一种常见的方法)。我之所以称这些为“技术之战”,是因为在许多情况下,由于没有手在键盘上,这些类型的攻击的性质是相当普遍的。拥有一些防御工具(如防病毒、XDR、常规备份系统等)的公司通常可以抵御攻击或将其影响降至最低。现在,这并不意味着工具可以保证安全,但那些部署了某些东西的工具肯定比那些没有部署的工具要好,甚至这也足以让攻击者转向较弱的猎物。第二类攻击,即人的战斗,就不是这样了。
有时候,攻击者不是向随机地址发送数百万封电子邮件,而是专注于闯入特定的公司。大公司、银行、金融科技应用、电子商务和社交媒体平台,以及其他掌握权力、拥有大量资金或客户数据的企业(想想今天的大多数公司)是最容易成为攻击目标的,但任何人或组织都可能成为攻击目标。
在人的战争中,无论工具上印着什么标志、标语和品牌名称,那些单独装备工具的人大多数时候都会失败。这并不是因为他们购买的工具不是“最新的、下一代的、人工智能驱动的解决方案”,因为工具只是工具而已。
攻击者是人:有创造力、训练有素、动机充足,并且配备了可以用来实现目标的工具。尽管有些人——通常被称为脚本小子——不成熟,技术上不熟练,但许多人对代码、产品的构建方式以及如何颠覆它们,让它们做一些它们没有设计的事情有着令人难以置信的深刻了解。为了抵御有针对性的攻击,防御方的人员需要与攻击方的人员匹配。这意味着他们需要对代码有扎实的理解,知道攻击是什么样子的,能够跟踪攻击者,使他们的生活更加复杂,并阻止他们完成目标。
工具不提供安全性。在每一个行业,一个熟练的专业人士将战胜那些没有经验、没有基础知识但有新的闪亮工具的人,钓鱼、烹饪、驾驶、软件开发、设计、安全以及生活的大多数其他领域莫不如此。每当我们对即将“彻底改变”网络防御的新技术过于兴奋时,我们都应该记住,进攻方不仅可以获得同样的技术进步,而且通常可以更好地合作、共享和迭代。此外,攻击者有使用大多数商业安全工具的经验,知道漏洞在哪里,以及如何绕过它们。
为了保护组织,需要利用有用的框架和方法,如扩展检测和响应、零信任架构设计和深度防御。然而,这并不意味着为Gartner或Forrester宣布的每个缩写都购买解决方案,以“完全覆盖”。
造成这种情况的原因有很多。首先,所有的攻击媒介都是相互关联和相互连接的:云、端点、电子邮件、供应链等等。虽然安全供应商专注于单独的部分,但在这些部分之间的边缘发生了很多事情。其次,无论商业安全提供商构建什么逻辑来检测恶意行为者,都必须是通用的,以适用于大多数客户,这意味着它要么无法解释公司的独特环境,要么产生大量误报(最常见的是两者兼而有之)。第三,组织实现的工具越多,管理这些工具所需的时间就越多,用于实际安全性的时间就越少。这样的例子不胜枚举。
捷径是诱人的,购买产品听起来是个好主意,但事实并非如此。安全性不是通过监控提供“阻止入侵、APT和零日漏洞”的黑盒供应商生成的警报来构建的。它需要由从基于承诺的安全转向基于证据的安全,拥抱深度防御的文化,投资于构建成熟从业者的高性能团队,并为特定的组织环境量身定制安全覆盖范围。对于“如何保护我的组织?”以“你需要买……”开头的人是在撒谎,或者不了解安全的工作原理。不幸的是,许多供应商和安全顾问都犯了这两种错误。
“总有一天人们会开始关心安全问题”
只有懒人才会遗漏“人是最薄弱的环节”这一事实,如果员工不养成良好的安全习惯,任何公司都不能指望安全。很明显,这是一个问题,我们别无选择,只能做点什么。不那么明显的是该怎么做。
我们能让关心数据成为每个人工作职责的一部分吗?当然可以,我相信我们应该这样做。我们能在安全教育上投资吗?绝对的,以色列已经这样做了很多年,我相信教育个人数据保护应该是学校的目标之一,以及健康和个人理财的基础知识。我们能推动人们做出正确的决定吗?我们当然可以。
只要我们牢记人类的一个重要事实:人们讨厌繁琐,我们就可以而且应该尝试做很多事情。无论我们做什么,我们都在寻找捷径和消除痛苦的方法。企业知道为什么产品团队专注于缩短注册流程,营销专业人员专注于消除网络研讨会注册中不必要的问题,而销售人员则致力于让客户毫不费力地完成购买过程。具有讽刺意味的是,安全公司也在做这些事情,而且很难找到一个喜欢在尝试安全产品之前参加多个演示的从业者。
人们不喜欢繁琐这一事实并不奇怪。令人惊讶的是,大多数安全公司并没有意识到,他们自己正在给人类的生活带来不必要的繁琐。一些人认为这是合理的,因为人们“必须开始关心自己的安全性”。然而,这种说法忽略了人性的本质,不管其出于善意与否。对于安全从业人员来说,难以想象有人会在便利贴上写下密码,但他们自己会通过使用非接触式支付选项而不是使用卡片或现金过度消费,并在开车时选择更短的路径,即使这不是最安全的路径。我们都是人类,我们都会受到同样的心理偏见和“只想把事情搞定!”的态度影响。
同样正确的是,教育并不能改变行为。在不深入研究决策科学的情况下,我要说的是:很少有人不知道过度食用糖、吸烟、酗酒和吸毒的危害。然而,尽管教育普及,其中许多行为还是非常普遍。吸烟就是一个很好的例子:我认为很难找到一个吸烟者不相信吸烟是有害的,而且这通常不会让他们戒掉这个习惯。
如果人们不喜欢繁琐,教育不能导致行为改变,那么“有一天人们会开始关心安全问题”是不太可能的。为了建设一个更安全的世界,我们必须牢记这些因素。
人们想要无缝的体验,这意味着安全行为要成为一种规范,它需要是无摩擦的。理想情况下,安全的行为应该比不安全的行为有更少的繁琐,但这是锦上添花。为了不增加繁琐,安全需要以一种普通消费者看不见的方式嵌入到日常技术中。许多人选择生物识别技术而不是密码的原因不是安全性,而是易用性:点击一下,他们就进来了。实现这一目标的唯一途径是让软件和硬件供应商有责任在他们的产品中构建安全性,这就把我们带到了第二点——监管。
我们知道绝大多数人并不是金融专家,也不理解金融工具的复杂性。我们可以不对市场进行监管,鼓励人们“学习个人理财知识”,但这样并不足以保护他们免受金融诈骗、传销和不适合他们风险偏好的金融产品的侵害。在不放弃教育的情况下,我们能够设计并不断加强消费者保护法,将责任放在金融工具的提供者身上,而不是消费者身上。在政府选择让消费者而不是供应商承担责任的生活领域,结果并不乐观。一个恰当的例子是回收:与其强迫每个人回收塑料袋,不如禁止或规范塑料袋的生产,并鼓励使用更可持续的材料。然而,在世界上的许多地方,我们选择了大量生产塑料袋的道路,并天真地希望播放一个垂死的鲸鱼的电视广告就足以让人们循环利用它们。
我首先要说的是,我们不能让政府对我们生活的方方面面都加以限制。监管和自由市场之间必须有一条界限,而这条界限的划定将取决于当某些人没有做正确的事情时必须付出的代价。在网络安全领域,代价可能高得令人难以置信。
最近发布的美国国家网络安全战略是朝着正确方向迈出的一步。它指出,美国“必须重新平衡保卫网络空间的责任,将网络安全的负担从个人、小企业和地方政府转移到最有能力和最有利的组织身上,以降低我们所有人的风险”。在新的战略下,对安全负责的应该是软件开发者,而不是最终用户。在我看来,这是我们需要的方法,因为它既创造了正确的激励,又使那些构建安全的人能够使其尽可能地为最终用户提供无缝连接。当然,除非有正确的制度、流程和政府执行战略的决心作后盾,否则该战略只会是一份雄心勃勃的文件。
写在最后
网络安全太难了,人们难免会期望明天会变得好过点——供应商的数量会减少,新工具会解决棘手的问题,人们会开始比今天更关心安全。我认为,在某种程度上,我们将看到所有这些:大厂商收购小厂商,新型解决方案为安全从业者提供他们工作所需的工具,越来越多的人意识到他们需要关心自己的数据。话虽如此,这些预测更多的是基于一厢情愿的想法,而不是行业的现实,因此不太可能产生该领域一些人所希望的影响。
说实话,随着我们社会的不断数字化、日益互联和技术创新速度的加快,我感到非常不安,因为安全性只会变得更加困难。企业需要停止寻找捷径、寄希望于能购买到神奇的工具,而是开始投资于正确的人员、系统和流程来成熟他们的安全运营,并从基于承诺的安全转向基于证据的安全。在做这些之时,我们要牢记德明博士的名言:“改变不是必需的,生存也不是必然的。”
原文链接:https://ventureinsecurity.net/p/the-three-dreams-about-the-future
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。