网络安全作为一个行业正面临许多问题,这不是什么秘密。

安全从业人员和CISO工作负担过重,薪水过低。安全领导者要为自己的本职工作承担个人责任。许多人感到焦头烂额,纷纷离开自己的全职岗位。入侵事件的数量持续上升,安全损失不断增加。我可以继续说下去,但我不会,因为这些问题对任何稍微熟悉我们行业状况的人来说都是众所周知的。

在这篇文章中,我不会讨论这些问题。相反,我将讨论我们作为一个行业应该引以为豪的成就、我们不善于庆祝成功的原因,以及为什么迫切需要网络安全乐观主义。在开始之前,我首先要承认,建议业内人士应该更加乐观的想法可能会在 Reddit 或 X 上引发一些不太建设性的内容。尽管有发生这种情况的风险,但我相信早就应该围绕这个话题进行讨论。

日常的安全现实让我们变得愤世嫉俗

维基百科将职业畸形(也称为工作条件反射)定义为 "倾向于从自己的专业或特殊专长的角度看问题,而不是从更广阔或人性化的角度看问题"。正是由于职业畸形,我们经常看到高中教师把自己的亲朋好友当成孩子,工程师和建筑师试图用逻辑解释每一个事实或行为,程序员则希望用技术解决每一个问题。

安全的本质决定了业内人士总是在寻找缺陷 - 漏洞、错误配置、软件错误、业务逻辑问题以及任何可以利用的东西。归根结底,无论安全从业人员每天投入多少精力来构建组织的防御系统、安装检测和响应工具、识别和解决错误配置、修补易受攻击的系统等,总难免会遗漏一些东西,一旦遗漏,安全团队的整个贡献将仅根据这一单一失误来判断。如果安全团队能够在攻击者之前发现重要的漏洞,就可以防止入侵并保护公司数据。挑战在于,安全工作条件的影响会蔓延到生活的其他领域。这就是为什么安全从业人员和领导者经常对他们的工作、职业、安全的未来、人性以及介于两者之间的一切都持怀疑态度的原因。当一个问题就能毁掉一个人的整个职业生涯时,很难批评这种弥漫在我们这个领域的悲观情绪。

安全并不是唯一一个遭受悲观主义和愤世嫉俗情绪困扰的职业。其他在压力下处理生死攸关问题的人——无论是医生、消防员、护士还是救援潜水员——都产生了某种形式的愤世嫉俗情绪。以医生为例:虽然在日常工作中,他们确实可以帮助患者克服重大挑战,但当人们无法实现日常目标时,很容易感到沮丧,尽管我们尽了最大努力,但癌症和艾滋病等问题似乎仍然存在。即使是阿尔茨海默氏症等疾病也无法治愈或逆转——这一事实对于任何一直尽其所能推动医学研究发展的人来说都是非常可悲的。

行业应该庆祝的 20 多项成就

尽管我们很容易变得悲观,但事实上,我们作为一个行业,应该为迄今为止取得的进步感到自豪,原因有很多。下面的一些例子就能说明这一点。

CISO 角色的崛起及其日益增长的影响力

CISO这一角色只有 29 年的历史。世界上第一位CISO是 Steve Katz (1942 - 2023),他于 1995 年被花旗集团任命担任这一新设立的职位。从第一天起,这个职位就危险而复杂。花旗集团之所以设立这个职位,并不是因为它意识到技术需要得到保护。相反,在 1994 年左右,有传言称花旗集团遭到了黑客攻击,但没有人知道这是真是假。事实证明,花旗集团的系统确实受到了攻击,俄罗斯黑客从银行窃取了超过 1000 万美元。

自 1995 年以来,CISO 的角色与行业一起发展。诚然,这个角色变得更加复杂,但与三十年前相比,它也更受认可和理解。我对 CISO 角色的未来以及它在未来几年将继续如何发展充满信心。

网络安全成为董事会关注的问题

网络安全已从少数业余爱好者的小众兴趣变成了对企业的真正威胁,无论是从监管合规性,还是业务连续性的角度来看,都是如此。因此,安全问题现已成为董事会成员议程上的重要项目。

政府现在希望上市公司的董事会成员了解安全问题,并能够监督公司的风险组合。这导致越来越多的安全领导者在上市公司董事会中任职(主要是在财富 1000 强公司拥有经验的 CISO),同时,旨在提高现有董事会成员网络安全技能的教育计划也在兴起。例如,由 24,000 多名董事会成员组成的全国企业董事协会 (NACD) 现在提供 网络安全监督 CERT 证书 和 网络风险报告服务 。

建立信息共享与合作的可信网络

过去几十年来,我们看到的最具影响力的安全发展之一,就是用于信息共享和协作的可信网络的出现。其中两个最重要的网络是信息共享与分析中心(ISAC)和Peer网络。

正如ISAC国家委员会所解释的那样,"信息共享和分析中心帮助关键基础设施所有者和运营商保护其设施、人员和客户免受网络和实体安全威胁及其他危害。ISAC 收集、分析并向其成员传播可操作的威胁信息,并为成员提供降低风险和提高恢复能力的工具。ISAC 深入其行业,广泛传播关键信息,并保持对整个行业态势的了解"。ISAC 解决了威胁情报共享与合作方面的信任问题。从历史上看,宣誓保密并受保密义务约束的安全领导人没有动力分享他们最敏感的发现。他们总是担心自己的帮助会适得其反,使自己承担个人和职业责任。由于 ISAC 得到了政府的支持,因此 CISO 可以与他们信任的同行敞开心扉,这是他们在其他任何地方都无法做到的。成立于 1999 年的 金融服务信息共享和分析中心(FS-ISAC) 长期以来一直是成功的典范,目前在其他领域也有数十个 ISAC 在积极开展活动。

在 CISO 和安全从业人员的同行网络中,还有许多其他形式的协作。通常,这些社区只接受邀请,聚集在 Slack、WhatsApp、Discord 或专有平台上,鼓励专业合作。虽然这些社区对外人来说是隐形的,无法进入,但它们在传播最佳实践、同行支持、汇集有关厂商的反馈意见、职业发展等方面发挥着重要作用。

以防御为重心的专业会议兴起

由于网络安全是在黑客社区中出现和发展起来的,因此,早期的安全活动和社区聚会(如 DEFCON)历来都侧重于进攻,涉及漏洞利用等领域,这并不奇怪。

随着行业的发展,网络安全活动的性质也在发生变化。现在,专注于网络防御的高质量会议越来越多。从 Blue Team Con 到 BSides,世界各地专注于蓝色和紫色团队的安全从业人员现在有了更多可以与同行联系和交流学习的地方。安全作为一种职业走向成熟的另一个标志是安全从业人员的日益专业化,随之而来的是应用安全工程师(LocoMocoSec )、检测工程师(DEATHCon )、研究人员(LABScon )等活动数量的增加。Black Hat 和 DEF CON 的规模逐年扩大,这再次表明对安全感兴趣的人数在不断增加。

网络安全朝着更加多元化和包容的方向发展

两周前,我在Black Hat Investors and Innovators Summit上发表了演讲。其中一场会议的主题是 "与 CISO 建立信任:创业公司的关键见解 ",由 Vanta 首席执行官 Christina Cacioppo 主持。会议邀请了两位安全领域的领军人物:谷歌 Deepmind 安全副总裁 John "Four" Flynn 和 Reddit 的 CISO Fredrick Lee。正如与会者自己指出的那样,二十多年前,在规模最大的行业活动之一的会议上由一位女性创始人主持并有一位黑人 CISO 参加小组讨论,还是一件难以想象的事情。我参加的所有会议都吸引了各种各样的听众--女性、有色人种、移民、退伍军人等;这并不是因为他们 "多元化",而是因为他们有宝贵的观点可以分享。

我并不想声称我们已经解决了多元性和包容性方面的所有问题--远非如此。尽管如此,我认为我们有必要庆祝已经取得的巨大成功。我们有许多会议和社区都以倡导多元性为唯一目标。其中包括 戴安娜倡议 、 网络安全中的女性 、 Black Girls in Cyber、Queercon 、 Blacks In Cybersecurity 、 Cyversity, VetSec, Vets in Cyber、 Sober in Cyber 等等,而所有这些还没有考虑同类范畴的一次性活动 。悲观主义者可能会说,我们有这些活动、社区和讨论这一事实本身就表明问题依然存在。他们的观点没有错,但在我看来,不承认我们已经取得了多大的进步是不负责任的。2024 年,我们拥有了来自各种背景的从业人员,而就在一二十年前,这个行业的包容性和欢迎程度还远远不够。

教育项目的数量不断增加

今天,如果有人想学习安全知识,他们很幸运可以获得各种不同的资源。从免费的在线工具和资源库到基于群组的课程、训练营、认证、文凭和学位课程,每个人都能找到适合自己的学习方法。此外,还有大量的夺旗 (CTF) 竞赛,人们可以在这些竞赛中亲身体验,包括 付费培训 也是由一些业内精英提供。

在教育项目方面也有很多选择,虽然有些项目比其他项目更好(更实惠),但关键是安全知识是免费提供的,人们不需要成为任何特殊社区的一员就能获得这些知识。悲观主义者可能会说,获取知识并不是我们所需要的全部, "专业经验门槛"仍然是阻碍年轻、有激情的人才进入这个行业的一个问题 。虽然有一些系统性问题导致在安全领域很难找到工作,但这是一个完全不同的话题。

漏洞赏金计划和负责任披露的兴起

大约 14 年前,微软高管表示,公司“不会效仿 Mozilla 和谷歌,向报告漏洞的研究人员支付报酬”。不到十五年后,微软不仅成为负责任披露的坚定支持者,而且很难找到一家不愿意参与漏洞赏金计划的大公司。

当然情况并非总是如此。第一个漏洞赏金计划由 Netscape于 1995 年 10 月 10 日推出。Mozilla 用了近十年时间才跟进这一计划,然后谷歌又花了五年时间加入这一行列。漏洞研究人员过去常常被他们试图帮助的公司起诉。我们花了许多人的大量努力——安全从业者、政策制定者、行业领袖、律师和创业企业家——才取得今天的成就。说我们已经解决了所有问题可能有些夸张,但事实是,曾经被视为犯罪的事情,今天已成为我们习以为常的事情。

对于那些希望深入了解漏洞悬赏历史的人,我强烈推荐 漏洞披露和漏洞悬赏简史 。

图片来源: 《漏洞悬赏计划的历史》,作者:Cobalt

对开源软件态度的转变

网络安全与开源世界一直有着有趣的联系。“在过去 20 年里,开源的性质发生了巨大变化。一个典型的例子是微软,它从 2001 年将开源称为“癌症”,到 2017 年以来成为全球领先的开源贡献者之一(以积极为开源做出贡献的员工人数衡量)。十年前,大多数开源项目都是由个人推动的,很少有公司进入该领域,能够从其开源产品中赚钱的公司就更少了(比如OpenNMS )。一些项目从小处做起,随着时间的推移发展成为大公司,Elastic就是一个很好的突出例子。”

并不是说安全领域以前没有开源;曾经有过,像Nessus这样的工具成为了我们现在所知的Tenable的基础构件,而 Snort 促成了Sourcefire 的成立,该公司被思科以 27 亿美元收购,就是很好的例子。

今天,我们看到人们对开源的热情达到了前所未有的高度。安全创始人开始将开源视为一种商业模式,而不仅仅是业余项目的工具。越来越多的大公司安全团队正在开源他们的安全工具——从 Facebook(现在是 Meta)的Osquery和Conceal到 Netflix 的Security Monkey 、Scumblr和10 多种其他工具,以及思科的OpenSOC ,大公司公开的项目帮助塑造了当前的安全状态。所有这些都使安全更加易用和开放。

行业最佳实践的规范化

在过去的几十年中,我们积累了足够的知识,开始将我们所知的安全措施规范化为行业最佳实践。从NIST到HIPAA 、CIS和其他标准、认证和框架,我们为那些希望开始安全之旅的用户、寻求成熟度的用户以及介于两者之间的任何人提供了大量资源。

怀疑论者可能会说,合规性并不等于安全性,他们是对的——仅仅因为有人勾选了他们要做的事情,并不意味着他们会采取适当的措施来保护其特定环境。我之前也写过关于采用安全第一思维方式的重要性以及为什么合规性不能替代安全性。尽管如此,我们对哪些方法有效、哪些方法无效有了一定的了解,这比二十年前要好得多。而且,我们更善于以行业最佳实践的形式传播这些知识。

另一个值得一提的因素是,作为一个行业,我们已经越来越善于测试我们的假设,在评估安全措施的有效性时也更加注重证据。例如,强制密码定期过期会降低安全性,网络钓鱼模拟可能弊大于利,这一点如今已广为人知。虽然我们还没有学会在获得新知识时迅速调整安全框架和合规标准,但我们无疑正在朝着正确的方向前进。

安全是政府的首要任务

网络安全已成为世界各国政府的首要任务,尤其是在美国。不仅是2023 年 3 月 2 日发布的国家网络安全战略,所有在幕后进行的工作都表明了政府的决心。除了CISA 、FBI 和其他组织的贡献外,美国证券交易委员会一直在提高上市公司及其安全工作的预期并加强监督。尤其令人耳目一新的是,网络安全是一个无党派问题,共和党和民主党领导人都同意其重要性。

国际合作

过去几年,我们开始看到非常有效的国际合作,以打击网络犯罪团伙和勒索软件团体。联邦调查局、国际刑警组织、英国国家犯罪局、美国特勤局以及加拿大、德国、法国、罗马尼亚、立陶宛、瑞典、挪威、葡萄牙、西班牙和爱尔兰等国的执法机构都表明,有效的跨境合作可以打击犯罪分子。就在几周前,另一项国际调查导致勒索软件团体“Radar/Dispossessor”被关闭。

十多年前,人们很难想象这种有效的合作会成为可能。如今,如果我们继续朝着这个方向前进,攻击者将更难隐藏和逃避对其行为的责任。

图片来源: 路透社

图片来源: 国家犯罪署

解决以前造成的问题

尽管互联网在设计时并未充分考虑安全性,但我们在升级其基本组件,或者完全替换为更安全组件方面取得了很大进展。鉴于 SSL 2.0 和 3.0 存在安全漏洞,我们已基本放弃使用 SSL,转而使用 TLS。我们从 FTP(文件传输协议)转向 SFTP(SSH 文件传输协议)或 FTPS(FTP 安全协议),从 Telnet 转向 SSH(安全外壳),从 WEP(有线等效保密)转向 WPA/WPA2/WPA3(Wi-Fi 保护访问),从 HTTP 转向 HTTPS,这个列表还可以继续列下去。

十几二十年前,许多曾经造成痛苦的漏洞如今已被遗忘,因为我们根本不必担心。当然,仍存在许多挑战,但值得肯定的是我们已经取得了进展。

避免经常预测的网络末日

我们不能忘记,如今的世界比十年或二十年前更加紧密相连。这无疑意味着我们需要解决的问题更多,但也意味着数百万(甚至数十亿)人现在可以享受这种连通性带来的好处。例如,

  • 代码中的漏洞确实比以往任何时候都多,但那是因为我们今天发布的代码比十年前多得多(这是一件好事)。

  • 确实,有更多的物联网设备需要保护,但这是因为有更多的物联网设备可以改善我们今天的生活质量(这是一件好事)。

尽管我们必须保护的基础设施数量和复杂性不断增加,但到目前为止,我们做得还不错。首先,我们避免了人们经常预测的网络末日,即整个国家或关键基础设施部分将完全瘫痪,造成混乱和大范围的破坏。其次,尽管一些媒体声称,但因安全事件而倒闭的公司非常少。第三,大多数人还没有遇到过(甚至从没有遇到过)因安全事件而改变人生的人。但癌症或其他致命疾病的情况并非如此。有些人可能会说这个标准太低了,但我认为,考虑到恶意行为者为实现其目标所投入的资金和精力,这种看法也算合理。

安全正在融入日常生活

尽管我们可能尚未从需求或设计上实现安全,但我们正在朝着正确的方向前进。越来越多的安全性被默认内置到产品中。对于消费者而言,这意味着现在有更多银行、社交媒体平台和其他网站需要 MFA,而 Google 和 Apple 等生态系统参与者正在将安全性融入其解决方案中,从密码管理器和建议的强密码组合到身份验证器应用程序和生物特征身份验证。对于企业而言,这意味着更多 SaaS 厂商开始支持单点登录 (SSO)、更精细的权限控制等。虽然这并不能解决所有问题,但它提高了企业和消费者的安全成熟度。

安全市场的增长

业内人士喜欢说“安全厂商太多了”。我曾在金融科技行业工作过,这个市场有 30,000 多家初创公司,也见证过其他技术领域,例如营销(超过 20,000 家公司)、人力资源技术(也超过 20,000 家公司)和气候技术(超过 50,000 家初创公司),但我不敢苟同。如果安全就像我们所说的是“每个人的问题”,那么我认为 5,000 家安全厂商并不算多。世界是一个竞争激烈的领域,安全根本无法绕过这一现实。

我以前讨论过为什么我们需要更多网络安全领域的初创企业和风险投资。简而言之就是:

  • 我们需要像对手一样快速创新,而唯一的办法就是设计一个系统,激励防御人员快速行动,并经常迭代确保基础设施安全。

  • 我们需要让市场了解新的问题领域,而人们会通过接触新的想法和初创企业的产品来了解这些领域。

  • 我们需要加快采用 MFA 等最佳实践,而让公司教育客户是通常的做法。

  • 初创企业是积累、提炼和传播领域知识的研发(R&D)中心,没有资本是不可能做到这一点的。

  • 由于存在多种想法和方法,而且最先尝试的人不一定能找到最好的方法,因此竞争会激励最优秀的选手获胜。

  • 大公司很难创新。这对于任何行业都是如此,但在安全领域,我们不仅要面对市场力量,还要面对恶意行为,这一点比其他行业更为重要。

尽管有人持怀疑态度,但网络安全市场的增长是个好消息。这主要是因为

  • 这表明企业更加重视安全问题,并愿意为此花钱。

  • 这就需要投入更多资金,对企业进行安全重要性的教育。

  • 这样就有更大的力量游说制定法规,提高攻击者的门槛,帮助公司变得更加安全(是的,购买更多的产品--但在我看来,这是一个合理的权衡)。

安全工程的兴起

关于软件工程原理、系统和流程如何改变我们所知的网络安全,在 Venture in Security 上已经有很多讨论。

对网络安全的未来持乐观态度的理由还有很多

这只是对网络安全未来持乐观态度的一小部分理由。还有更多的理由,例如

  • 安全产品正变得越来越用户友好、可互操作和 API 优先。整合不同厂商的工具变得越来越容易,而公司想要把客户留在自己的围墙内就很难了。

  • 从瀑布式向敏捷式的转变,以及云计算和 SaaS 的兴起,使得软件开发速度加快,这意味着我们现在可以更快地修复关键漏洞。无需再等待一年才能发布新版本,只需几秒钟就能为数百万客户打上补丁。

  • 用户数据处理的透明度大大提高,客户开始对自己的数据有了更多的控制权。GDPR 等法律让人们更容易要求以更符合自己偏好的方式处理自己的数据。

  • 安全对于行业外人士来说越来越容易理解。我们正在学习在不使用缩略词和行业术语的情况下解释问题和概念。要做得更好需要时间,但我们别无选择,因为安全领导者现在需要向不懂我们行业术语的其他企业高管传达风险。

  • 安全从业者开始在行业中拥有更强的发言权。越来越多的安全领导者开始授权团队成员做出决策,从负责评估新解决方案到建议公司下一步应解决哪些安全领域。

  • 围绕网络安全中心理健康的重要性的讨论越来越多。作为一个行业,我们在消除心理健康、神经多样性、冒名顶替综合症等污名方面取得了巨大进步。

主要信息是,虽然还有很多工作要做,但我们正在变得更好,好得多,并且进展速度比很多人意识到的要快。

尽管存在许多尚未解决的问题,但迫切需要网络安全乐观主义

人们很容易对网络安全状况产生怀疑。每天,我们都会听到越来越多的安全事件、勒索软件等消息。DEFCON 等安全会议表明,一切都是不安全的,零日漏洞的数量以及国家在攻击上花费的资金让我们觉得,无论我们做什么,我们都会输掉这场战斗。安全厂商有理由放大这种悲观情绪,因为这有助于他们销售更多产品。即使是 CISO,如果他们选择走这条路,也可以利用恐惧、不确定性和怀疑来主张增加安全预算。感觉这个行业的每个人都可以从所有的消极情绪中受益,而这些消极情绪又助长了永无止境的末日循环。

事实上,情况并没有那么糟糕。回顾过去几十年的行业历史,我们可以发现有很多值得庆祝的事情,我们有充分的理由对网络安全的未来感到乐观。

我们需要网络安全乐观主义者。我明白,与我撰写这篇文章时正在经历各种事件的 CISO 或安全从业人员相比,我们这些站在厂商一方的人更容易对安全的未来持乐观态度。我理解,当人们沉溺于看似永无止境的官僚主义时,很难保持乐观。虽然这是事实,但我认为我们至少应该愿意承认,在没有任何支持和求助对象的情况下,我们这个行业在大约三四十年的时间里取得了如此巨大的成就。如果我们能够做到这一切,那么以后只会更好。我们站在巨人的肩膀上,我们应该对行业的未来抱有一定程度的乐观。

原文链接:

https://ventureinsecurity.net/p/cyber-optimist-manifesto-why-we-have

声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。