业内普遍认为,网络安全市场是“柠檬市场”,一方(即安全厂商)掌握的信息远远多于另一方(甲方)。

在这篇文章中,我们将与Notion公司安全工程主管Mayank Dhiman合作,共同探讨为什么安全不是柠檬市场,而是一个银弹市场。

这个想法不是我和Mayank独立提出的,本文围绕伊恩·格瑞格(Ian Grigg)在2008年撰写的一篇题为《银弹市场》的优秀文章展开分析。由于我们将自己的观点与伊恩文章中表达的观点联系在一起,因此请假设引文中未列出的内容均为我们的观点,而非伊恩的观点。

伊恩的这篇文章是深入了解网络安全动向的必读好文,我们希望本文能激励更多业内人士阅读《银弹市场》。

网络安全市场现状

安全的悲剧

"你想造一个盒子,上面装一盏灯。当你把盒子放进特定的房间时,灯就会熄灭。你怎么证明它能起作用?"-吉恩-斯帕福德,引自伊恩-格瑞格的《银弹市场》。

这句话很有趣,它凸显了测试安全解决方案的不可能性。这就是安全真正的悲剧--没有简单的方法来区分纯粹的无能和纯粹的运气。我们系统没被攻破,是因为我们的人员、流程和工具都很有效,都尽职尽责,还是只是我们运气好?

每天都会有数十家不同的厂商找到安全leader,声称他们已经开发出了"秘密武器"来防范有“危害重大”的新型攻击,其他厂商没办法像他们一样有效检测到这些攻击。厂商把自己的解决方案说的无所不能--就像一颗银弹,可以对付狼人、吸血鬼、女巫或其他超自然生物。

CISO们购买了这样的工具,将其部署到自己的环境中,然后就会产生这样的疑问:如果产品没有发出任何告警,这意味着没人使用这种新型高级攻击手段,还是这类工具根本就没用?

没有办法能可靠的测试安全解决方案

在《银弹市场》一文中,伊恩将防盗报警器测试与安全工具测试相提并论,认为"在安全业务中,攻击者并不是我们测试过程中的一环,但他是网络攻击中的积极参与方;他带有偏见,无视规则,蓄意破坏我们的安全,以造成我们的损失。他对我们的努力不以为然,并寻找其中的漏洞;我们输了,他就赢了。单个攻击者不可能发现所有的漏洞,所以即便是真正的攻击者,也不能很好地预测任何具有其他明显特征的事件"。

伊恩的文章发表至今已超过15年,但我们仍未找到测试网络安全产品的好方法。这并不是因为我们没有尝试,Venture in Security曾讨论过从基于承诺的安全向基于证据的安全转变的必要性,但事实是,这种转变比许多人希望的要慢得多。

值得称赞的是,行业提出了MITRE ATT&CK框架,并通过Atomic Red Team和Prelude等工具将其付诸实践。我们已经找到了比较不同工具的方法,尽管还不是很完善。但是这些进步大多并不持久,因为存在所谓的古德哈特定律(Goodhart"s law),即一旦你发布了一个指标,它就不再是一个好指标,因为现在大家都会试图优化这个指标(或玩弄该指标,取决于你怎么看待它)。安全厂商无需提高其工具的整体能力,仅需针对性的做一些优化,就可以在此类测试中表现更佳。

我们甚至设计了诸如入侵和攻击模拟(BAS)、对手仿真和持续渗透测试等产品类别,试图找到测试安全覆盖范围的方法。然而尽管做了这么多努力,还是没有找到可靠的方法来验证一家厂商的安全覆盖率是否优于另一家,因为根本没有办法模拟绕过企业防御系统的所有可能方式。从本质上讲,攻击者是有创造力的,他们有很强的动机去获得成功,并找到阻力最小的途径(比渗透测试人员和BAS工具要强得多)。

甲方缺乏信息,无法做出明智决定

伊恩在文章中列举的信息清楚地表明,甲方在做出购买决策时缺乏信息。其中一个人说,"......管理者们经常购买他们明知是次优或者次品,但却来自大牌厂商的产品和服务,因为这样做可以最大限度地减少出问题时被解雇的可能性。法务并不谴责这种做法是欺诈,而是称赞其为"尽职调查"。另一位律师说:"我参加安全会议时,大家都围坐在一起,苦苦思索用什么样的指标来衡量安全计划的成果"。多年前写下的这些话,至今仍然适用。尽管我们经历了种种挫折、讨论,并下定决心要找到答案,但事实却没有什么变化,这令人既困惑又悲伤。

我们不仅缺乏信息以做出明智的购买决策,而且还在努力建立可靠的指标来证明安全投资的合理性。一个工具产生更多的"发现"是好事还是坏事?刚刚采购新工具的公司是否比以前更安全?从概率或美元的角度来看,这意味着什么?感觉我们只是在猜测。量化网络风险的尝试是可信的,但就目前而言,这些科学尝试的终点在哪,玄学的起点又在哪,往往很难说清楚。

网络安全不是柠檬市场,而是银弹市场。

网络安全不是柠檬市场

卖方比买方更了解所售产品或服务质量的市场通常被称为"柠檬市场"。在乔治·阿克洛夫(George A. Akerlof)和约瑟夫·斯蒂格利茨(Joseph E. Stiglitz)因建立了信息不对称市场理论而获得诺贝尔经济学奖后,这一术语开始流行起来。2007年,布鲁斯·施奈尔(Bruce Schneier)写了一篇题为“A Security Market for Lemons”的文章,认为网络安全就是柠檬市场的完美范例。这一论点得到了广泛传播,自此以后,许多人也在集体思考中加入了自己的观点,其中包括奥梅尔·辛格(Omer Singer)在其博客"奥梅尔谈安全"(Omer on Security)中提出的观点。

我们很容易假定存在某种阴谋——安全厂商故意向安全leader和从业人员隐瞒信息,但事实可能并非如此。如果卖方比买方更不了解他们所销售的产品呢?

在《银弹市场》一文中,作者认为:"认为买方缺乏信息就意味着卖方掌握了信息,这是逻辑上的错误。如果卖家确实是出于更微妙和更具战略性的目的而销售被贴上安全标签的商品,那么他们就没有必要比甲方更了解安全”。伊恩的结论是,在网络安全领域不存在不对称,买卖双方都没有足够的信息可用,因为任何一方获取信息的成本都太高。“任何一方的努力都可能使他们比另一方知道得更多,但即使是合理的努力也会使双方没有足够的信息来做出理性的决定"。

尽管很多人不愿意接受这样的想法,即买卖双方都不知道如何解决安全漏洞问题,但这可能是唯一合理的解释。每个人都在尽力而为,因为他们知道无论如何努力,都不可能做到万无一失。

网络安全是银弹市场

如果安全不是柠檬市场,那它是什么?——银弹市场。正如伊恩在其发人深思的文章中解释的那样:"银弹是软件工程领域的一个术语,指的是在没有任何逻辑或理性手段支持的情况下,将产品或流程说成是有效的。银弹是在信息不充分的市场上交易的商品,它和柠檬、酸橙(信息不对称)一起,构成了信息不完善的市场"。他接着说,"买方没有很好的检验标准来确认卖方的真实性,因此无法事先低成本地确定商品是否满足需要;卖方也缺乏这种信息,因为他在攻击者面前没有优势"。

下图展示了根据信息获取情况划分的四类市场:

  • 高效商品市场。在这个市场上,买卖双方都能获得信息。想想购买一台新的Macbook:买方可以很容易地评估其性能,并就购买做出明智的决定。卖方和买方一样,都能获得有关产品的信息。

  • 柠檬市场。在这类市场中,卖方比买方掌握的信息多得多。二手车市场就是这种现象的最佳例证。

  • 酸橙市场。在这类市场中,买方掌握的信息比卖方多得多。保险就是这种现象的一个完美例子。例如,购买旅行保险的人比保险提供商更了解自己的计划和潜在风险。

  • 银弹市场。在这个市场上,买卖双方都没有关于所售商品的足够信息。安全产品就是这种现象的最佳例证,因为无论是安全厂商还是CISO,都无法保证他们比攻击者知道得更多,也无法保证产品能防止所谓的各种威胁。

Source: “The Market for Silver Bullets”

安全成为银弹市场的影响

由于甲方无法评估安全产品,因此他们会寻找其他因素

由于安全是一个银弹市场,买卖双方都无法自信地评估安全解决方案。行业参与者主要根据其他因素做出决定,这些因素可能与工具实现安全成果的能力密切相关,也可能不相关。以下是一些安全甲方和其他市场参与者经常使用的方式:

  • 公司背后的投资者。顶级风险投资公司投资的初创企业被视为更"有前途"的标志。

  • 被分析机构提及。分析机构在其报告中提及某创业公司,可以极大地促进该公司的发展,并为其带来新的需求。

  • 创始人的背景。通常有一种惯性思维——创始人的简历上如果有以色列国防军或美国三字母机构这样的大企业,他们的产品就可能更好。

  • 官网上的客户logo墙。这代表其他声誉良好的机构认可这家初创公司,这是甲方期望看到的。

  • 天使投资人和顾问。甲方希望了解公司是否得到了行业大V的支持。

  • 同行反馈。安全领导者经常在私人聚会中与同行接触,询问他们使用特定工具的经验。虽然这种反馈本身可能存在偏见和传闻,但总比什么都没有要好。

  • 用户体验和易用性。这包括技术文档、产品设计、上手使用所需的时间等。

  • 营销和公众形象。在我们看来,RSA大会展位的大小等因素在安全行业可能很重要,这也是安全厂商年复一年地不断投资于其公众形象的原因。

Venture in Security曾讨论过,在网络安全领域,信任因素和信任时间在购买过程中起着至关重要的作用。对于CISO和安全从业人员来说,公司是否可信、是否值得关注等间接信息比产品本身的营销更为重要。如果客户购买的是一种承诺,那么做出这种承诺的人(或公司)的声誉比其承诺的内容更重要。

行业分析机构就是一个很好的例子,由于双方都缺乏信息,它们在行业中拥有巨大的权力。分析机构利用信息进行套利:他们与客户和厂商交谈,收集市场上的其他信息,并向买卖双方出售他们的综合建议。特别有趣的是,分析师本身对安全的看法也很有限:他们看到的是趋势和类别,但没有任何一家公司会建议一家厂商比另一家厂商更能阻止漏洞。在缺乏安全相关信息的情况下,分析机构想出了自己的办法,将卖家分门别类。

Source: Gartner

Source: Forrester

就拿上面这些图表来说吧,如果我们将安全厂商放在上面对比,那么这两张图都不会提供任何有用的信息,让我们知道哪家厂商更有可能使公司更加安全。甚至他们都没想过这样做,而是专注于常规的、以市场为重点的特征。这就好比比较两颗银弹,说其中一颗更重,另一颗设计得更好:知道这一点很好,但对我们想知道谁更有可能阻止吸血鬼来说毫无用处。我们已经学会解读分析机构的信息,并将其用于购买决策,尽管他们用来评估安全工具的标准与安全没有多大关系。

房间里的银(大)弹(象)--人工智能

在一篇关于银弹安全的文章中,就不得不提到人工智能。

人工智能是一个非常热门的"银弹"。无论是自动化SOC、自动修复代码中的安全漏洞,还是提升云安全,它都被吹捧为提高任何安全工具有效性的秘方。现在的初创公司如果不提人工智能,就很难获得资金支持。

人工智能是银弹市场的一个完美例子,它突出了伊恩最初文章的关键主题。为这些初创企业提供资金的风险投资人并不真正了解人工智能是否在发挥作用,创始人要么在积极尝试利用人工智能,要么在投资者的鼓励下使用人工智能。客户没有有效的方法来验证"人工智能"安全厂商是否比"非人工智能"解决方案更有效。

在大多数情况下,人工智能现在只是一个流行词,实际上意义不大。很少有研究论文真正指出人工智能在解决安全问题方面的无效性(至少到目前为止是这样)。David Wagner等人最近发表了一篇《利用代码语言模型进行漏洞检测:我们还有多远?》,文章中作者对最先进的LLM(大语言模型,如GPT-4)能否有效检测代码中的漏洞进行了公正的分析。答案很简单--"很遗憾,不能"。结论指出,目前的LLM离有效解决这一问题还相差甚远,需要做大量的工作。遗憾的是,这种对各种解决方案进行公正客观评估的情况并不多见。

我们所熟知的"最佳厂商"很多都是"羊群效应"的体现

伊恩的研究论文得出的结论是:"安全措施选择的变化发生得很慢,而且一旦发生,往往会在整个行业迅速波及"。换句话说,安全团队需要很长时间才能适应新的解决方案,但一旦达到一定的门槛,市场上的其他产品就会开始转向该解决方案,因为它已成为众所周知的"赛道领导者"。对于厂商来说,这意味着成功孕育着成功。在2024年,甲方终端安全不用CrowdStrike、云计算不用Wiz、密码管理不用1Password等情况,甚至需要提供额外的理由才行。选择某种产品的行为本身就等同于为企业"做最好的事"。

论文接着讨论了这样一个观点,即哪些安全工具能幸存下来,哪些会消亡,在很大程度上是基于偶然性。“银弹[可以理解为安全厂商]的引入是建立在参与者在最初的几轮中被使用的随机机会,并且幸存下来没有被孤立和撤销。尽管这一最早的过程可能是出于安全考虑,但一旦选择了这一套,这种动机就会急剧减弱。偏离的代价是高昂的,变化更有可能与维护社区环境的成本和收益的间接影响有关,而不是与商品名义上的安全使命有关”。

实际的安全措施与厂商的选择如出一辙。当有足够多的人做事时,有趣的事情出现了——说它是"有效"的,然后这套行为就被称为"最佳实践"。尤其令人困惑的是,许多所谓的"最佳实践"并非基于证据。例如,虽然有足够的证据表明定期更改密码实际上可能弊大于利,但许多公司仍要求员工每90天更改一次密码;另一个例子是钓鱼演练,尽管有证据表明这种做法并没有什么实际作用,也有部分企业放弃了这种做法,但大多数安全团队仍在继续使用。

坚持所谓的最佳实践,即便最终会对安全态势造成损害,也是羊群效应的结果之一。正如伊恩所解释的,"偏离最佳实践是要付出代价的,包括朝着你以为的更高安全的方向偏离......由于破坏平衡的成本与社区成员的数量成正比,社区规模越大,放弃的安全机会就越多,脆弱性也就越大"。而且,"如果一个参与者选择了新的银弹,其他参与者就没有比坚持最佳实践更好的策略了,甚至改变策略的参与者的情况也会变得更糟,因为一旦发生漏洞,他们就会付出非同寻常的代价(因不坚持"最佳实践"而造成的声誉损失)"。

最佳实践战胜安全的另一个有趣的例子:合规。合规标准往往会鼓励遵守最佳实践,而这往往会损害这些最佳实践本应带来的安全性。例如,某些合规标准规定,即使公司采用了抗网络钓鱼的MFA/无密码解决方案,也必须针对凭证的网络钓鱼进行培训。

穿越银弹市场:走向未来

伊恩的文章不仅谈论了问题,还提出了一些解决建议。与文章的其他部分类似,关于“我们该去向何方”的想法,在十五年后的今天仍然适用。

买方和卖方的第一性原则思维

随着市场上充斥着各种"银弹",甲方利用第一性原则变得越来越重要。问一问自己,你要解决的核心问题是什么?什么更有可能导致漏洞--是牛逼哄哄的人工智能新模型,还是像网络钓鱼这样更常见的东西?根据这些答案,甲方应该为自己列出一份优先事项清单,然后努力寻找解决方案。其中一些解决方案可能确实会以新厂商的形式出现,但许多解决方案将以新流程、开源工具、简化IT流程等形式出现。

对于厂商来说,即使使用最新的人工智能炒作可能更容易筹集到资金,但同样的第一性原则也能带来很多价值。创始人在了解他们要解决的根本问题、目标市场是否足够大、他们要解决的问题领域是否被甲方视为"高优先级"时,应该诚实地面对自己。令人鼓舞的是,除了层出不穷的人工智能安全初创公司外,我们还看到一些公司正在用户身份和云安全等基础领域起步。

鼓励安全团队之间共享信息

伊恩认为"阳光是最好的消毒剂"。长期以来,所有的安全团队都依赖于所谓的"关起门来做安全",即隐藏安全工作的细节,以达到所谓的加强安全的目的。现实情况是,作为一个行业,我们他人分享的经验教训中获益匪浅。好消息是我们正在进步,越来越多安全团队正在开源他们自己使用的工具,越来越多的公司允许他们的团队在会议和活动中讨论他们的安全工作。坏消息是,我们的步伐还不够快,一般的CISO都受到严格的保密协议约束,而一般的安全从业人员则不能谈论他们所做的大部分工作。这就意味着,只有保险提供商才能了解行业内发生的真实情况,但他们不够成熟,无法理解这些情况,也没有动力公开这些数据。

另一方面,甲方也在积极交流对不同厂商的看法。在过去的十年中,同行社区的数量激增,安全领导者和安全从业人员在这些社区中分享他们使用不同安全工具的经验。这开始改变安全解决方案的购买方式。好消息是,安全厂商无法影响这些交流渠道。此外,越来越多的CISO开始成为行业信息共享和分析中心(ISAC)的成员。这些组织进一步使安全领导者能够与其他可信赖的合作伙伴分享重要的学习成果和威胁情报。

客观的第三方评估

有一些学术论文,如我们前面提到的《利用代码语言模型进行漏洞检测:我们还有多远?》等学术论文,在评估工具的有效性方面做得非常出色。我们应该鼓励在这一领域开展更多积极的研究,尤其是由学术界等不涉足这一领域的人员开展的研究。他们甚至可以"混淆"厂商的名称,但仍然可以比较厂商在某个问题领域的有效性并公布结果。有一些伟大的行业实践者希望填补这一空白,我们相信未来会有更多的人和组织参与进去。

PLG/POC

在安全领域,试用产品是一件非常困难的事情。这使得甲方无法快速测试新的解决方案,也无法验证厂商的说法。缺乏信息的不仅是甲方,还有厂商自己。厂商无法了解竞争对手的实际情况,因此他们只能在没有任何证据的情况下说自己的工具更好。

好消息是,越来越多的厂商开始允许客户自助试用产品。这对厂商和甲方来说都是一件好事。

  • 甲方可以在不完全部署的情况下快速试用这些工具,了解产品的功能、部署的难易程度和整体感觉。这些POC应允许客户引入自己的数据集进行快速评估。

  • 对于厂商来说,这种快速的POC是一种很好的方式来吸引潜在的客户,否则他们可能会更不情愿使用。此外,厂商还可以更快地获得有关其产品的反馈,而不必等待整个部署周期。

实用主义VS过度依赖最佳实践

伊恩还主张业界应杜绝使用最佳实践,而不是拥抱它们。他认为:"最好的办法是由机构(协会或监管机构)来做,这些机构应鼓励大胆的尝试和差异化,而不是一成不变和畏首畏尾。避免使用最佳实践,促进信息公开共享,并坚持让群体成员找到自己的道路,这样的机构才能发挥更好的作用"。

鉴于业界正在推动标准化,这种观点虽然有些反其道而行之,但确实有其价值。我们明确一点:对于正在寻找一种简单方法来开始安全工作的企业来说,最佳实践清单可以提供一个快速的操作指南。除此之外,必须强调的是,合规不等于安全,企业必须了解自身的风险状况,并据此做出决策,而不是盲目依赖"最佳实践"。

加强对安全厂商的问责制

美国政府持续推动安全事件披露,提高事件透明度。美国证券交易委员会新发布的安全披露规则要求公司分享有关如何管理网络风险的信息,并在措施不到位并导致重大事故时进行报告。

随着对这一领域的监管不断加强,我们也期待未来对厂商可以"宣传"的内容,以及他们可以在没有任何证据的情况下提出的主张,有更严格的要求。

何去何从?从评估安全性到建立弹性系统

文章指出,"原则上,我们可以用基本指标取代上述特征。在教育领域,难以捉摸的指标是生产率。在安全领域,这是一个开放的研究领域,因此,除了强调安全指标研究的重要性之外,我们几乎没有什么定论。这种方法将使每家代理机构的产品从最佳实践转向关注更精确的指标。其精确性将更明确地与每家代理机构的具体情况相关联,从而迫使更多的地方协调和更大的部门多样化"。

迄今为止,我们在评估安全性方面的尝试大多以失败告终。如果我们能够转变思维方式,将安全视为我们为实现弹性而购买的东西,会怎样呢?凭感觉是无法测试或验证的,它只能被当作表面价值。另一方面,弹性可以从统计学角度证明某样东西有多强大,可以抵御哪些类型的攻击?可以抵御多久?以及在什么样的情况下可以保持其特性?

最近有很多关于"默认安全"系统的讨论。谷歌专门就构建安全可靠的系统这一主题写了一整本书。Windows和macOS等主要操作系统以及Chrome等浏览器就是此类弹性系统的完美范例。Chrome浏览器本质上就是以一种安全可靠的方式在你的机器上运行任意Javascript/代码。在实现这种安全的过程中,我们采取了大量缓解措施,并不断努力跟上不断演变的攻击。但这是可能的,我们所依赖的这些基本平台就是最好的证明。

同样,如今我们已经不再谈论"缓冲区溢出"了。这是因为业界已经通过各种缓解解决方案的组合,如地址空间布局随机化(ASLR)、数据执行防护(DEP)、更好的模糊/错误查找工具,甚至是内存安全编程语言,使商业软件更能抵御漏洞利用。

我们认为这才是王道。试图量化安全将是一场失败的战斗。不过,作为一个行业,我们可以继续脚踏实地,继续建设更具弹性的系统。

原文链接:

https://ventureinsecurity.net/p/cybersecurity-is-not-a-market-for

声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。