英雄文化的定义,及其在网络安全中的体现
英雄文化是指一家公司或一个职能领域由天赋异禀、才能出众、实力雄厚的人掌管,他们付出超人的努力或时间来实现目标。这可能是因为团队中没有足够的员工有足够的时间,也可能是因为没有足够的员工具备正确的知识和能力;无论哪种情况,英雄们都肩负着双倍(或更多)工作时间的重担,完成需要完成的任务。虽然这种文化有一些好处,但也有一些负面影响需要考虑。
安全英雄是什么样的?
护理员:护理员式的英雄每周定期工作60-80个小时,为公司、客户或他们在(通常)人手不足的安全团队中的同事“出谋划策”。他们不休假,因为他们觉得如果他们不在,公司就无法运转(有时这种感觉会因为请假申请被拒或周末/生病外出时接到紧急电话而得到验证)。护理员觉得自己有责任帮助承担团队的繁重工作,并对请假感到内疚,因为他们知道同事会为此付出代价,并因在自己的工作之外还要承担同事的工作而受到惩罚。他们还可能避免寻求帮助,因为他们不想给同事增加工作。这些人经常在晚上和周末查看电子邮件和即时通讯工具,即使没有重大事件或可交付的工作也是如此,这要么是因为他们害怕如果不这样做,早上等待他们的将是例行的积压工作,要么是因为他们害怕被认为工作不够努力,跟不上业务的要求。
独行侠:这些人集中了很多知识,并以“信息壁垒”为由不与同伴分享信息。他们往往不愿意培训其他人来为自己打掩护,说自己没有时间,或者“我来做会更快”。当别人需要他们的帮助时,他们却急于上前“救场”。当这些英雄不能参加电话会议时,会议往往需要重新安排,因为他们是必不可少的,而且没有后备人员。与“护理员”一样,“独行侠”也会每周定期工作60-80个小时,为公司和客户“创造奇迹”,因为他们认为团队中没有其他人能像他们一样工作。他们不休假,因为他们觉得如果自己不在,公司就无法运转。通常,他们有意无意地将自己的角色培养成企业的单点故障,因为他们为自己是组织的无价之宝而感到自豪。
如果这些听起来很熟悉,那就对了:英雄文化在网络安全领域非常普遍。该行业的语言和图像强化了这样一种观念,即安全专业人员是具有超凡能力的超级英雄,他们需要拯救地球免遭即将到来的厄运。英雄文化已成为安全领域的重要组成部分,以至于很难找到人质疑这一现实的起源和后果。就连营销团队也对这种想象产生了兴趣;为了与买家和用户建立良好关系,安全厂商也喜欢强调网络安全从业人员的英雄主义,这进一步加剧了问题的严重性。
为什么会出现英雄文化?
分析网络安全中英雄文化的根源具有挑战性,因为它就像螃蟹进化一样:许多不同的路径,但会导致相同的结果。以下是英雄文化在安全学科中根深蒂固的几个原因,但并非详尽无遗。不言而喻,这些观点极大地简化了现实。
原创黑客文化
网络安全一开始并不是一门专业学科,没有资历等级、认证、成熟度模型和会议。信息安全是从黑客和窃听文化演变而来的,这两种文化都是一种可以给朋友留下深刻印象的技术魔法。技术发烧友们会聚集在一起,亲自或在网络论坛上摆弄不同的技术,破解它们,拆解它们,然后再把它们组装起来。好奇心和探索精神是早期安全从业人员的动力。此外,当时还存在一种友好竞争的精神,作为解决难题的人——英雄,拥有大量的社会资本。每个人都想成为英雄。
对手的存在
随着黑客技术的发展,黑客社区(大致)分为两部分:入侵者和保护者。界限往往模糊不清,尤其是政府在界定网络法律方面严重滞后,而且我们花了很长时间才发展出漏洞披露和漏洞赏金的方法。无论如何,随着攻击者和防御者的分化,获胜变得更加重要,并引发了源于恐惧的高风险压力反应:如果从业人员失去警惕,对手就会伤害组织并窃取他们负责保护的数据。
需要依靠“知道自己在做什么”的人
公司花费很长时间才意识到安全是他们需要关注的事项,而当他们认识到时,对于执行某项安全任务所需的安全工程师数量缺乏了解。当时没有网络安全知识库,也很少有可以遵循的实际标准或最佳实践,因此公司别无选择,只能寻找那些“了解安全”并能在其企业中“做好自己工作”的人。
依靠个人及其在非结构化环境中完成所需工作的能力是顺理成章的事情。此外,即使行业在进一步发展,第一批安全框架和最佳实践开始出现,它们也只与微软等开发这些框架和实践的最大技术企业相关。绝大多数公司看不到这些“最佳实践”对他们这种资源水平的人有什么意义,因此他们加倍地将棘手的安全问题委托给他们的IT团队,要求他们尽其所能。
网络安全与军事之间的特殊关系
促进网络安全英雄文化发展的另一个因素是安全与军队和情报机构的特殊关系。由于政府垄断了武力,因此最前沿的进攻性网络安全能力都是在军队和专门机构中开发、测试和部署的。
网络安全从军队借鉴了很多东西。该行业采用军方的方法为安全运营中心配备人员(分层分析师模式),安全从业人员经常因服役和在黑客竞赛中获胜而被授予勋章和奖章,有人认为安全行业对缩写的喜爱也来自部队。最重要的是,网络安全领域吸引着退役军人人才。曾在军队服役的人给安全行业带来了使命感,而这正是网络安全行业所特有的。
需要依靠那些“知道自己在做什么”的人(是的,又来了)
由于早期由经验丰富的专家组成的小型团队在工作中倾注了大量心血以证明自己的价值,因此很多公司都围绕这种行为建立了人员配置模式。看到这些团队的工作效率,以及领薪的安全从业人员会加班加点确保安全工作的完成,他们就开始放心地为安全团队配备不足的人员,而他们一开始并不真正了解这些团队的人员需求。企业节省开支的初衷已经演变成了安全团队资源不足的长期问题。
问题并不在于被视为英雄的愿望本身不好,问题在于公司正在利用这种愿望,给员工和企业造成伤害。
当今网络安全职业的心理学
近年来,我们开始谈论心理健康在网络安全领域的重要性。这在很大程度上要归功于由 Blumira高级安全架构师Amanda Berlin领导的社区项目“心理健康黑客”(Mental Health Hackers)等倡议,以及网络心理学教授、网络心理播客(CyberPsych podcast)主持人、波士顿SOURCE安全会议前创始人Stacy Thayer博士等研究人员的工作。
网络安全如同老虎机
虽然网络安全中的心理健康问题已不再是禁忌,但有些话题却很少被讨论,例如,在心理和生化层面上,网络安全的某些领域在多大程度上类似于赌博上瘾,既有对赌博的痴迷追求,也有间歇性中奖时的强大多巴胺奖励。关于游戏化的演讲不在少数,比如Kymberlee Price 在2017年发表的演讲,其中讨论了操作性条件反射和间歇性强化对行为的成瘾特性。
瑞典斯德哥尔摩大学社会人类学副教授Per Binde是世界赌博研究领域的领军人物之一,他自 2001 年以来一直专注于该领域的研究。2013 年,Per 发表了一篇文章《人们为什么赌博?一个包含五个动机维度的模型》一文,分析了人们赌博的驱动因素。文章指出,赌博的四个可选动机是:
中大奖的梦想
社会奖励
智力挑战
情绪变化
第五个动机:获胜的机会,对赌博至关重要,因此必须始终存在。
Source: Why people gamble: A model with five motivational dimensions
我们很容易将老虎机赌博与寻找坏人——威胁狩猎和事件响应相提并论。这两种活动有着相同的心理模式:人们从老虎机中获得多巴胺的间歇性强化,有时他们会赢钱,但他们必须不停地查看日志,因为也许,只是也许,他们会幸运地发现敌对行为的迹象。而且,如果他们今天没有发现这些迹象,那么明天就有可能幸运地中大奖。经过几天不眠之夜的努力,人们终于找到了恶意活动的蛛丝马迹,这让他们的内啡肽飙升,促使他们继续寻找更多的蛛丝马迹。由于安全专业人员偶尔也会找到他们正在寻找的东西,因此这种行为得到了强化,新的循环又开始了。
维基百科将这种循环称为强迫循环或核心循环,将其定义为“使用者会重复进行的一连串习惯性活动,以促使他们继续进行该活动。通常情况下,这种循环是为了给使用者带来神经化学奖励,如释放多巴胺”。还解释说,“强迫循环在电子游戏设计中被刻意用作玩家的外在动机,但也可能是其他活动有意无意地造成这种循环的结果,如赌博成瘾和网络成瘾”。
Image: Compulsion loop in cybersecurity
其他因素也有助于将翻看日志的行为转化为成瘾行为,其中许多因素在老虎机赌博中也有相应的作用:
近乎失手:赌徒认为接近获胜的失败情况。在威胁狩猎中,这些情况是指一些看似恶意的行为被证明是善意的;
事件频率高:对奖励敏感的人通常会被游戏速度快的游戏所吸引。网络安全有大量的日志和检测,每一个日志和检测都可能是敌对行为的迹象,这就为成瘾创造了绝佳的条件;
控制幻觉:认为技能可以影响随机或偶然事件的结果。在网络安全领域,这在很大程度上是正确的,但没有人能真正肯定地预测公司何时会受到攻击、攻击者会使用什么方法等等;
预期:正如美国国家医学图书馆刊登的 Jakob Linnet 的一篇文章所解释的那样,"多巴胺能对奖励和不确定性的预期可能代表了一种功能失调的奖励预期,它强化了赌博行为,尽管会有损失"。在网络安全方面,对发现对手迹象的预期会强化查看更多日志的欲望;
注意偏差:美国国家医学图书馆刊登的另一篇文章解释说,相对于非赌博刺激,赌博失调的人往往对赌博相关的刺激表现出不成比例的更多注意。
与以往一样,问题并不在于威胁狩猎和事件响应会让人上瘾(这只是一个科学事实)。问题在于,企业有意无意地学会了利用和强化这种英雄行为。
英雄文化何以被强化?
我们已经介绍了英雄文化是如何产生的,以及上瘾的原则,但英雄文化是如何在日常工作中得到强化的呢?对于员工来说,这可以归结为三个基本原则:
身份感:不是我,能是谁?
可以说,许多从事这一领域工作的人所表现出的使命感,是我们的数字基础设施至今尚未“爆炸”的主要原因。从历史上看,很少有公共和私营机构在网络安全方面进行足够的投资,许多关键工作都是由那些在没有经济回报的情况下仍坚持做正确事情的人完成的。
虽然这是事实,但这种使命感也有阴暗的一面。在我遇到的业内人士中,有很大一部分人的整个身份都被网络安全工作所吞噬。公共和私营部门几乎一致在强化这一问题,使用军事和超级英雄的语言来强调使命感,并将其发挥到极致。诸如“我在拯救世界”、“我不拯救谁拯救”、“我必须为更大的利益牺牲一切”、“权力越大,责任越大”、“我们是最后一道防线”等等,这样的表述是如此普遍,以至于我们不再怀疑它们是否应该如此。当那些首先将自己视为特定公司安全专业人员的人被解雇时,他们会发现要想重新振作起来难上加难。由于无法迅速更新简历和寻找新的职位,许多人不得不重新思考自己的身份,因为如果不是某个公司的雇员,他们又是谁呢?
在大多数情况下,过度夸大的使命感和英雄角色是一种应对机制,它使人们合理化自己为了雇主的利益而在个人生活中做出的牺牲。
归属感:寻求接纳和认可
一直以来,安全团队都被视为企业其他部门的外围组织,他们的贡献在很大程度上得不到重视。与软件开发人员或设计师不同,当他们的工作被公司客户使用并产生收入时,他们会获得成就感,而安全从业人员,除了一些安全工程师外,并不能自豪地向朋友们展示他们的工作成果。安全团队的员工通常被视为 "不作为的部门",是一种试图让每个人的生活都变得更加艰难的业务职能部门,他们的辛勤工作过去没有(现在大多数地方仍然没有)得到应有的回报和认可。
大多数人都希望知道自己所做的事情是有意义的,并能对公司产生积极影响,安全专业人员也不例外。由于只有当他们做出“英雄”行为(长时间工作处理事件、处理大规模安全漏洞等)时,他们的工作才会得到关注和认可,因此英雄文化成为安全团队现实中的重要组成部分也就不足为奇了。
安全专业人员的工作时间很长,但由于工作量永无止境,而且公司其他部门不会庆祝安全团队的里程碑(与产品发布、收入和增长目标等不同),因此人们很难在工作中找到值得骄傲的事情。为了弥补这一点,他们转而追求自己的个人目标——学习认证、参加夺旗(CTF)比赛,以及寻找其他方法来感受进步并巩固自己在同行社区中的地位。网络安全可以说是唯一一个可以找到越来越多奖章、挑战币和其他奖励的私营行业。挑战币尤其是安全行业独有的。它们从古老的军事传统进入该行业,然后通过军事和黑客社区之间的密切联系,最终被安全行业所采用。由于挑战币以功勋和个人成就为基础,因此拥有挑战币是全球许多安全从业人员的骄傲。
Image Sources: tisiphone.net, Security Blue Team, Kevin DeLong/CyberSocialHub, Oneworldtreasures on Amazon, Thin Blue Line
这是一个很好的例子,说明网络安全社区为表彰优秀人才所做的努力不仅创造了一种奖励成就的好方法,还创造了一个同行网络,在这里人们可以分享知识、互相帮助学习新技能,并提供工作场所无法提供的支持。然而,虽然这些表彰形式本身都对安全社区产生了积极影响,但如果将它们结合在一起,竞争文化以及争先恐后、超越同行的动力就会强化前面讨论过的英雄文化。此外,人们经常讨论的“冒名顶替综合症”也是那些没有被社区认可为英雄的人每天不得不面对的问题。
恐惧感:生活中总是害怕失败,追求完美
网络安全从业人员一直在努力克服对失败的恐惧。由于对手24小时不间断地入侵公司环境,他们迟早会成功,这几乎是不可避免的。当这种情况发生时,无论安全团队的每个人在工作中投入了多少激情和努力,也无论团队在几周前经历了多少个不眠之夜:除了最新的事件,其他一切都会立即被遗忘。
所有这一切都使人们期望安全团队能够始终完美地处理所有事情。如果有任何疏漏,安全团队往往会因此受到指责,即使没有受到指责,他们通常也是加班加点处理危机的人。这就使得安全从业人员对自己所做的每一件事都保持高度警惕,并助长了不合逻辑的行为。其中一个例子是,软件工程师收到一份包含数千个漏洞的修复清单,因为每一个漏洞都有可能被利用,而人手不足的安全工程团队没有能力对所有漏洞进行全面分析,以消除误报。
公司的英雄文化情结也被强化
公司也可能有赌瘾,但在这种情况下,是公司高管和董事会在与风险对赌。由于风险是一个模棱两可的问题,因此人们总是希望公司能够再承受一个季度,而无需在安全方面进行投资。这里的问题在于激励机制的调整。当漏洞不可避免地发生时,拒绝CISO预算申请的高管不会丢掉饭碗,被取代的往往是CISO。
从商业角度来看,当公司的安全团队人手不足时,会产生什么后果,本财年会发生什么不好的事情?事实证明,公司并没有太多真正的动力去做不同的事情。例如:
如果我们同意英雄文化会导致糟糕的安全结果,但考虑到漏洞的后果是季度收益平均下降 7.5%,那么本季度增加安全投资的动力是什么?推迟一个季度能节省多少钱?两个季度?
如果安全团队要求每年投入400万美元的预算来防止理论上价值940万美元的漏洞,那么我是否会感到幸运,因为我赌漏洞至少在3年内不会发生?如果我赌对了,公司在迫不得已的情况下才进行安全投资,从而节省了资金,这些资金可以分配给增长计划或股东价值。
当安全领导者和从业人员每周工作60-80个小时来保护他们的组织时,他们通过提供免费劳动力来助长雇主的风险赌博瘾,进一步激励企业忽视安全问题,并保持较低的网络防御投资,直到发生事故迫使他们出手。在决定对安全投资多少时,公司高管基本上是在对风险和季度收益进行权衡。在这个等式中,没有考虑到人的因素——安全领导者和从业人员被迫双倍(或更多)工作,以应对安全事件。
英雄文化的终极影响
平心而论,我们今天所定义的英雄文化的许多特征,正是网络安全得以发展和成熟的原因。发展黑客技术、提高技术水平和战胜对手的愿望是黑客起源的关键部分,这使得安全从业人员的动手能力不断提高。使命感和为了社区的更大利益而牺牲个人利益的意愿使人们能够保护数字基础设施,即使在没有人理解这种保护的重要性时也是如此。
此外,它还为世界各地的人才打开了大门,让他们的技能和能力获得尊重和认可,而无论他们来自哪里,操着什么口音,也无论他们在培训上投入了多少资金。重要的是一个人愿意付出多少努力,以及他们的技艺有多高超。
另一个好处是,在实际的安全紧急情况下,拥有在危机中茁壮成长的人才是国防行动的巨大财富。
不幸的是,英雄文化也给员工和雇主带来了许多负面影响:
1.英雄文化使企业避免为其安全组织配备适当的人员(如果安全从业人员只需每周工作 70 小时而无需额外成本,那又何必花钱增加人手呢)。当企业的安全团队人手不足时,非被迫错误就会增加。在产品或 IT 安全保证方面,人手不足的团队可能没有时间对部署的每个新功能或应用程序进行威胁建模和安全测试,从而导致攻击面增加。这意味着安全响应团队需要处理的问题更多了。安全攻击是不可避免的,但如果团队资源不足、过度扩张,可能会错过关键问题领域并犯下错误,那么预防和恢复就更加困难;
2.英雄文化对公司的人员经济造成了严重破坏。英雄文化会造成人员不足,从而间接导致团队无力提升早期职业员工的能力,只能向能够 "立即上手 "的资深安全从业人员发出招聘请求。但是,经验丰富的安全人才在市场上供不应求,而且薪水很高,因此该职位可能几个月都无法填补,而团队仍然人手不足。招聘经理在招聘 "职业生涯初期 "的职位时,往往会抱有不切实际的期望,认为入门级求职者都是超人,完全沉迷于安全领域,拥有 25 项认证,简历上还列出了一系列技能、工具和技术,而不是聘用有潜力的人,帮助他们成长;
3.英雄文化在很大程度上造成了安全社区中倦怠、成瘾行为和药物滥用的流行。当人们用工作来定义自己的价值时,就会改变他们的认同感,降低他们应对现实生活挑战的能力。倦怠的员工会请更多的病假,表现出团队士气下降,并可能离开公司,到其他地方寻求更健康的工作环境;
4.英雄文化会在安全团队和其他员工之间造成 "我们与他们 "的心态,从而对建立有凝聚力的公司产生反作用。George Sandford在关于这一主题的演讲中,强调了英雄文化对安全造成破坏的另一个原因。英雄需要恶棍,这会导致安全团队与对手和他们受雇保护的对象拉开距离。将组织中的每个人都视为 "安全中最薄弱的环节",会产生 "我们与他们 "的心态,从而将安全视为一个特殊的业务职能部门,掌握着神圣的知识,有权批准其他部门的工具、工作流和流程;
5.英雄文化往往会强化安全团队对完美的不切实际的期望,防止工程组织可能犯下的每一个错误。于是,他们过度纠正,变成了 "拒绝之家"。没有人喜欢总是被拒绝,因此企业中的员工就会绕开安全限制,避开安全团队--导致更多的风险遗漏,使英雄文化危机长期存在;
6.最后,英雄文化会激励安全团队中的人囤积知识,并寻求以出色的形象展示自己,而不是作为一个团队一起工作。这就产生了所谓的 "天才混蛋"--他们无法与之共事,但却因为他们带来的知识和经验而得到容忍和奖励。
7.企业不是投资发展安全团队、改进实践和获得更好的工具,而是依赖安全团队的渴望,让他们长时间工作,失去工作与生活的平衡,以保护公司。殊不知,人们保卫企业和发现恶意行为迹象的动力会产生一种使命感,这种使命感会助长行业内的英雄文化。
未来
我不知道如何比较英雄文化的好处和它对人们和企业造成的深重损失。真正的数学计算无法在社区感情的层面上进行;等式会因研究这个问题的人以及他们的生活或他们所爱的人的生活如何受到这个问题的影响而有所不同。对于网络安全领域的英雄文化现象及其导致的职业倦怠对企业的影响还没有足够的研究,但我们可以从有关职业倦怠对急诊医学专业人员的影响的研究中汲取经验。
那么,我们何去何从?
展望未来,我首先希望能有更多数据驱动的研究和讨论,探讨英雄文化不仅对安全专业人员的健康,而且对公司保护客户数据能力的影响。到目前为止,我只找到了两个关于这个话题的演讲,都是George Sandford的演讲。我们还需要更多:更多的研究、更多的数据和更多关于这个问题的讨论。
其次,我们需要继续提高安全领域的成熟度以及衡量和沟通成本/价值的能力。这就好比建立一家公司:当有 20 个人时,他们会自我驱动,努力工作以实现理想的结果,即使工资很低,也没有人可以寻求帮助。但是,随着业务的增长,建立正确的系统和流程就变得非常重要,这样公司才能扩大规模。由于网络安全始于黑客社区,因此该领域的起源建立在早期从业者的使命感和目的感之上是合情合理的。现在,安全已经成为每家公司的业务需求,这个行业已经发展得太大,不能再把它当作业余爱好。
过去,当安全被视为一门神秘的职业时,公司雇佣安全专家并要求他们尽最大努力保护公司是有道理的。快进到今天,我们已经积累了丰富的知识库,形式化了许多实践方法,并发展了许多良好的知识共享途径,如行业会议、信息分享与分析中心以及网络安全与基础设施安全局等。我们应该继续建立招聘、培训和提升人才的系统和流程,衡量安全状况,将一个组织与另一个组织进行基准测试等。俗话说,过去的成就无法带领我们前进。就目前而言,英雄文化阻碍了我们推动行业进化,这就是为什么它需要被淘汰的原因。
第三,企业需要继续投资安全。在2024年,我们再也不能接受安全从业人员工作过度、超负荷工作,以及工作时间长、报酬低的情况。经常发生的情况是,公司削减本已资源不足的安全团队,期望留下来的人接替同事的工作,做同样多的事,但资源却更少。为了更容易证明在网络防御方面进行更多投资的合理性,业界需要继续从基于承诺的安全转向基于证据的安全。目前的挑战之一是,没有一种简单的方法可以实证证明,投入更多资金或购买额外工具会对企业的安全态势产生实质性影响。随着行业的成熟,我乐观地认为,传达安全价值将变得更加容易,越来越多的公司将把安全视为业务推动力、差异化竞争力和股东价值的保护者。
改变这种有毒的关系需要时间。安全专业人员需要得到支持,才能从工作瘾中解脱出来,发展可持续的、充实的职业生涯,而不是像黑洞一样消耗他们的全部精力。公司需要投入更多精力来预测风险赌博的成本。除了减少失误和增加业务连续性的能力外,增加安全团队的人员还能为企业提供喘息的空间,让企业雇佣一些初入职场的安全人员并对他们进行培训,经验丰富的安全专业人员供应量的增加将提高企业的应变能力,改变高素质安全专业人员的供需雇佣经济学,并降低安全人员的支出。
原文链接:
https://ventureinsecurity.net/p/hero-culture-in-cybersecurity-origins
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。