前言

前几天各大厂家的半年财报发布,以及昨天行业内刚过完众所周知的春节,几件大事儿凑一起好不热闹。如果说演练行动是对个人技能水平、团队水平的一次大考,那么财报就是对一家公司、甚至网安行业的一次大考。怎么说呢,悲喜交加五味杂陈?不知道大伙们会用什么词儿来形容这俩大考(可以评论留言我帮你们置顶)。

我之前写过很多义愤填膺、抨击这、抨击那的文章,以及很多同行也多有犀利观点,想必大家也看爽了看腻了。现在看到财报和各种大公司裁员、降福利的消息,我个人更多的是无奈一笑,虽然行业亏损跟当下经济大环境不好也密切相关,但是终究内因是根本,外因只是触发条件,内因不改,等到外因变化的时候,估计也只有量变没有质变。当然,我也没能量影响整个行业内因,因此只是讲下自己的观察和思考,理性看待当下网安行业的特点,以便 身处行业的我们个人更好的安身立命罢了。

安全实在难以被证明

讲后面的特点都得以这个为前提,大家才能比较好的去理解,以及很多大家看到的各种乱象,深入想想均是来源于这个特点,扩展来说:好的安全建设难以被证明,差的安全建设也难以被证明

我们从安全的本质攻防出发,好的安全建设对企业的直接结果是什么?是不出安全事故,安全事故来源于攻击者发起攻击,这个行为按我们目前的观察可以分为不定向攻击、定向行业攻击、定向单位攻击,那么实际情况是有组织、无预谋的不定向攻击,占安全告警的绝大多数,这类攻击说白了就是碰运气,用工具全网扫,安全实在做的太差了可能才会中招,攻击者就是广撒网,捞到几条是几条,这种攻击占绝大多数。有组织有预谋的定向行业单位的这类攻击,可能只占所有告警的1%甚至还不到,很多企业好几年也不会碰到一起真正的定向APT攻击。所以不出安全事故的第一种情况是:根本没人有组织有预谋的定向打你,这也是大多数单位的情况

话分两头,我们国内比较重点的行业和企业,还是经常受到有组织有预谋的定向攻击的,这点毋庸置疑,这个比例也不是1%了可能更高,但是即使被高水平的APT定向攻击打了,我们也不一定知道,这类情况在有定向攻击里也占大多数。举个例子,小偷进家门,把你家重要的文件抄了一份走了,小偷走后会昭告天下吗?谁不是偷偷摸摸的发财呢?所以只要不是你主动发现了,你可能永远不知道自己被打了,当然现在也有点儿背的,数据被拿到暗网出售或者泄露出来了,不过那都是离偷东西那个时刻已经过去很久很久了。所以不出安全事故的第二种情况是:你实际上不知道已经出了安全事故,大家也不知道已经出了安全事故,只有攻击者自己知道任务完成了。这也解释了为什么差的安全建设也难以被证明,因为恶果只是静默而已。

最后一种情况呢,接着上面小偷的例子,你自己回家发现家里有被翻的痕迹,也发现重要文件有被翻过情况,但是你转头一想,这报告上去不仅自己这一家之主地位不保,整个家还要受罚,百害而无一利,于是你假装什么都没有发生,也确实什么都没有发生啊,文件还好好的在这里,外面有风言风语的时候再说喽,反正你啥也不知道。不过,我们现在很多政策里的网络安全责任制度、处罚制度,实际上是在防止这种情况。

所以大家能看到,好的安全建设和差的安全建设,对不定向攻击基本都能防(如果连批量捞鱼这种不定向攻击都防不住的,可以归类为很差很差的或者基本无安全建设),差别在于那1%的定向攻击里,这1%里再除去特别高水平我们发现不了的攻击,剩下的,好的安全建设能多防一点,差的安全建设少防一点,但是两眼一抹当没看见也不是不行。

所以,安全建设的效果要如何证明呢?实际上行业里现在有两个趋势是一定程度上解决了这个问题的,一方面是勒索病毒,因为勒索病毒入侵后不静默,立马造成巨大损失,但是很可惜勒索病毒大多是不定向攻击,安全非常非常差或者不做的可能才中招,定向投勒索病毒的情况是有的,但是很少。另一方面就是演练行动,但行动搞了这么多年,已经有一些躺平的声音了,有高高举起轻轻放下的趋势,是否把结果处罚从罚酒三杯改为廷杖三十,这就不是我能考虑的问题了。

下面可以简单讲几个这个根因导致的现象

安全结果难以被证明怎么办呢?不证明肯定不行啊,还是要证明我自己干的活有价值,才有源源不断的资源投给我啊,于是我们走向了另一条路,用政策合规来证明安全,过合规代表做的不错,不过代表做的不行,我们都知道国内的网安是九龙治水,很多人说了这样的问题,但是真的是监管机构一方的问题吗?合规证道、攻防证道,难道不是我们也都选择了前者吗?大概是因为一方面对国际形势预判,我们未来面临的攻击更严峻因此要加强监管,另一方面前者出问题还有改的机会,后者出问题代价太过于沉重,所以很少人愿意挤攻防证道这条路。

另一个现象,既然安全的结果难以用攻防证道、容易用合规证道,那么现在安全厂家产品在市场上售卖乱象,一切情况都有解释了。比如价格战、低价冲标,说白了买哪家都差不多,买好的只是在攻防方面多防一点,我刚刚也分析了,多防的这部分,事件发生的概率很小,这好产品比差产品更厉害的地方,在客户那放几年都不一定能发挥一次作用,所以为啥我不买大屏更炫酷,报表更易于汇报,更能体现工作量,使用更方便的产品呢?那些产品还可以低价呢,安全产品也是有边际效益的,在高水平的维度更多防一点、少一点误报,投入的是十倍百倍,这些投入导致产品成本高,但是在客户侧发挥效果的概率低呀。再比如招投标,招标参数都是功能参数,少有安全能力参数,根据我们以上的分析说明,是不是感觉这事儿挺正常的。

宁误不漏,责任在你

特点1主要是甲方安全建设的问题根因,特点2就是乙方安全产品的问题根因了,这个特点有个前提,就是安全产品做不到100%的精确,也无法给100%的承诺。其实我相信稍微懂一些技术的大家,都可以理解这个问题,安全产品无法做到100%无误报无漏报,厂家也不敢承诺说买了这个东西以后这方面安全就不用担心了。

但是问题出现在,误报和漏报总要选一条路,但大多数安全产品厂家选了误报,因为只要安全产品不漏报,那么出了安全事故后,责任就在客户没认真看告警。但是殊不知很多安全产品一天几万条告警,根本不是人能看的过来的,结果明明是为事中服务,发现威胁及时处置的安全产品,活生生做成了为事后服务,审计告警、调查溯源的东西。这么做有诸多好处啊,简直太多了,下面我给大家列举一下

第一,出了问题责任不在我,都是客户没好好用,甚至买了根本没用,我还可以喊冤,哎呀客户不懂安全啊,都不看不开机。

第二,客户想看根本看不过来,怎么办,我可以继续给你卖安全运营服务啊,现场运营、远程运营、帮你看帮你出报告,你不用管,就等我消息,等每周、每月出个报告就行,客户再买我的运营服务,按年按人天付费,实在完美

第三,这么多告警,不仅是看不过来,处置更处置不过来,真正的威胁还会被漏掉,咋整,这风险很大啊,别急,我们还有siem、soc、soar,帮你把这些告警做关联分析,降低误报,集中管理,自动处置,减少了巨多你的工作量,用大模型来帮你研判告警,安全平台化!安全自动化!安全智能化!买!

各位可以看到,只要坚守这个特点,不仅有源源不断的服务、还可以创造源源不断的新产品,不断在这个根因上打补丁,找方法,安全体系永远有新东西建设,永远可以申请新的预算。

IT架构和工具的发展从物理机、到虚拟机、到云和云原生,为了效率和便捷性一步步的演进。那安全架构和工具为安全的效率和便捷性演进的在哪里呢,是否有个产品可以说,我宁可漏报,决不误报,漏报了我厂家自己担责,我报告的都是要处理的。如果非审计类的安全产品都有这个气魄,可能做安全、建设安全,对甲方来说变成一件很轻松的事情了。

风险意识原因

最后其实还有一个特点是风险意识的问题,但是展开讲没什么好讲的,就在最后提一下,我们自古就是从实践里摸索道理的民族,祭拜神仙都是选能干活的、灵的,一切以实际出发,那么注定风险意识会略有欠缺,如果风险意识很强,也会意识到网络安全在未来防范风险上产生的价值,但是要我们这样面朝黄土背朝天的人普遍具备很强的风险意识,为“未来”“可能”发生的风险付出很多代价,是反人性的,这也是保险在国外比国内做的好的原因。

总结:市场小、竞争多

市场小,竞争厂家多是目前网安行业的现状,也是各家都比较惨淡的原因

市场小又是由安全本身难以被证明,边际效益严重,投入多少区别不明显,加上我们自带的风险意识不足决定的。

安全厂家多则是代表安全产品的门槛并不高,可以误报、不用精准、不用担责当然喽,而不漏报只是工作量堆人堆策略的问题,这门槛确实不够高。

目前这些网安的特点就是现状,根因也很难去改变,但是我们可以去思考在事物具备当前特点和发展规律的情况下,是否有自己比较好施展拳脚的机会,洞察特点、顺应趋势,总能找到的。

声明:本文来自安全产品人的赛博空间,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。