"安全贫困线"这一术语最早由温迪·纳瑟 (Wendy Nather) 在她 2013 年 RSA 会议上的演讲《生活在安全贫困线以下:应对机制》中提出。其背后的理念是,在网络安全方面,存在着“富人”和“穷人”,而全球大多数个人和企业都属于后者。
我是从Chris Hughes 第一次听到这个词的,他是 Aquia 总裁,也是《弹性网络》 的作者。在这篇与Chris 共同撰写的文章中,我们将深入探讨网络安全贫困线问题,讨论其程度和范围,并提出我们作为一个社会可以解决这一问题的几种方法。
安全贫困线问题:基础知识
贫困的概念与贫困线密切相关,因为贫困线或国家认定的最低收入水平取决于该国的GDP和生活成本。安全问题也是如此:不同行业、不同国家、不同规模的公司对安全的需求也不尽相同。因此,一家公司为满足其基本需求而需要分配给安全的资源数量会有很大差异。网络安全贫困线远不止购买一篮子 "基本 "安全工具所需的花费,因为"基本 "安全需求取决于具体情况。
每天,我们都能看到有关网络安全市场持续增长、漏洞数量不断增加以及对安全解决方案的需求日益增长的报道。在这些纷杂的信号中,我们很容易忽略一个重要但却很少被提及的事实:在排名前 2500-5000 位的企业和上市公司之外,很少有企业拥有专门的网络安全预算。大多数公司通过保险获得网络安全专业知识、漏洞专家和事件响应。与此同时,绝大多数网络安全厂商,无论是产品还是服务,都在瞄准同样的数千家 "富人",而忽视了数百万的 "穷人"。中小型企业、学校、地方政府和其他资源有限的组织,都被排除在安全市场之外。尽管如此,一些咨询公司(如麦肯锡) 指出 中小企业市场代表着 "2 万亿美元的机遇,网络安全厂商可以转变其架构和销售模式,以满足中小企业的需求"。
网络安全贫困线的迹象还不止于此。我们在会议和安全活动中看到的绝大多数网络安全从业人员都受雇于少数富人,而穷人却无法获得安全人才。此外,在安全会议上的议题都围绕复杂的大型企业的问题,而不是小型企业的。
在过去十年中,许多大型企业发展了良好的网络安全能力。有些人可能会说,无论投资多少,入侵的数量都在增加,但事实上,攻击者的门槛一直在提高。而大多数(虽然不是全部)中小型企业、医院、学校、地方政府和其他企业则不然,它们缺乏对安全和安全卫生的基本了解,也无法获得易于理解、负担得起和采用的安全人才和工具。
网络安全贫困线问题是真实存在的,而且没有迹象表明它会很快消失。恰恰相反,这个问题似乎越来越严重。根据世界经济论坛与埃森哲合作发布的《2024 年全球网络安全展望报告》,"具备网络安全韧性的组织与不具备的组织之间的网络安全差距日益加剧。与此同时,保持最低水平网络安全复原能力的组织群体正在消失。中小型企业(SMEs)尽管在许多国家的生态系统中占大多数,但受到这种差距的影响却不成比例。保持最低可行网络安全复原能力的组织数量下降了 30%。虽然大型组织在网络安全韧性方面取得了显著进步,但中小型企业的网络韧性却大幅下降。中小型企业的数量是大型组织的两倍多,它们表示缺乏网络安全韧性,无法满足其关键业务要求。
我们之前提到的麦肯锡报告也讨论了影响中小企业和中型企业的价格错配问题。由于员工人数较少,网络安全工具的成本分摊到的员工人数也较少,基于这一现实,"他们面临着一个抉择:要么为每名员工支付过高的价格--根据工具类别的不同,比大公司高出三到五倍或更多--要么完全放弃某些安全控制"。
我们未能解决安全贫困线问题
作为一个行业,我们未能解决安全贫困线问题。出现这种情况有几个原因,阻碍我们有效解决安全贫困线问题的关键挑战之一是安全厂商市场的经济理论及其产生的激励机制。特别是
投资者往往对投资以中小企业为重点的安全公司犹豫不决,因为很难在SMB领域获得高增长的业务。中小企业并不是成熟的买家,他们的预算和部署规模有限,也无法获得合适的人才,即使他们有能力购买工具,也往往无法使其发挥效用。
由于部署规模较小,而且向单个公司销售需要花费大量时间,因此创始人在尝试启动以中小企业为重点的业务时往往会遇到困难。虽然已有一些个例开始为中小型企业和中型企业提供安全工具和托管服务,但在更广泛的网络安全市场中,他们仍然是非主流的。
由于中小型企业、非营利组织和地方政府缺乏安全专业知识,与安全服务提供商合作将使他们受益匪浅。另一方面,企业家们则对构建产品更感兴趣,因为产品的利润率和退出收益倍数更高。
发达国家的大多数厂商都是为美国大型企业买家定价的,这样一来,小型客户和发展中国家的客户就完全买不起软件了。
发达国家的大多数厂商不得不在美国和以色列等劳动力成本较高的市场上雇佣员工并支付工资,因此他们别无选择,只能这样定价。
发展中国家的风险资本较少,因此能够为国内市场构建安全解决方案的初创企业也较少。没有风险资金,它们就缺乏资源向市场宣传安全的重要性,如此循环往复。
妨碍我们有效解决安全贫困线问题的另一个重要因素是围绕安全人才的动态。具体来说
中小型企业和非营利性组织通常对安全问题以及何种安全措施适合其环境并不十分了解。此外,他们也没有足够的资金聘请具备开发、监控和完善全面安全计划所需技能的全职安全从业人员。
中小型企业和非营利组织遇到的问题通常不需要尖端、新颖的技术解决方案。反而需要有人帮助解决基本问题--打补丁、实施密码管理器和一些基本的安全工具。许多安全从业人员都在寻找复杂的技术挑战,因此他们并不愿意到这些组织求职。
由于中小型企业很少聘用技术安全人才,因此未来可能构建有影响力解决方案的创始人永远无法了解中小型企业遇到的问题。安全工程师接触到的问题都是大型企业的问题,因此当他们想到要构建创新解决方案时,自然而然就会针对企业遇到的问题构建解决方案。
另一个影响解决安全贫困线问题能力的因素是我们的心态。例如:
中小型企业和非营利性组织往往认为,他们不会面临安全漏洞的风险,因为他们是 "小鱼","不可能有人把他们当作目标"。这种心态源于对对手工作方式的完全误解,导致这些组织的领导者认为只有大公司才需要担心安全问题。我们有数据表明,攻击者是机会均等的利用者,他们也会毫不犹豫地将目标对准小型企业,尤其是在他们往往人手不足、缺乏专业知识和现代化工具来缓解威胁的情况下。
虽然在会议、活动和社交媒体上经常能看到安全领导者谈论网络安全贫困线,但作为一个行业,安全行业对那些选择帮助中小型企业和非营利组织的人仍然很不屑。我曾多次听到这样的言论:与中小企业合作的虚拟/兼职安全负责人(vCISOs)和顾问不是 "真正的 "安全从业人员,他们解决的问题也不是 "真正的 "安全问题。同样的不利因素是,大型企业组织的安全领导者往往对背景可能来自中小企业领域的同行安全从业人员和负责人不屑一顾。
生活在网络安全贫困线以下的组织
美国市场和发达国家
美国和其他发达国家的许多组织都属于网络安全 "无主 "组织。其中最重要的类别包括中小型企业、非营利组织、地方政府、市政机构、法院和学校等组织,以及那些大量使用OT技术的组织。
在美国,中小企业是最缺乏服务的细分市场之一。根据美国小型企业管理局 的数据,
美国有 33,185,550 家小型企业,占美国企业总数的 99.9%。
小企业雇用了 6170 万美国人,占私营部门雇员总数的 46.4%。
从 1995 年到 2021 年,小企业创造了 1730 万个新的净就业岗位,占 1995 年以来创造的净就业岗位的 62.7%。
小企业支付的工资占私营部门工资总额的 39.4%,创造的出口额占已知出口额的 32.6%。
许多中小型企业都是现代数字经济的一部分,它们或许不像大型企业那样在内部开发软件,但无疑都在使用软件和数字工具来帮助推动业务、服务客户并向市场提供价值,所有这些都需要确保其数字足迹的安全。
尽管中小企业市场非常重要,但我估计 90% 以上的网络安全初创公司都是作为企业优先解决方案建立的。这是有道理的,因为企业的运营受到严格的合规审查和监管监督,有专门的安全预算,会遇到独特且高度复杂的问题,需要大规模部署,这自然会转化为大额合同。然而,这种情况造成了我常说的网络安全市场严重失衡。
绝大多数中小型企业都生活在网络安全贫困线以下,因此他们..:
没有意识到为什么要考虑安全问题以及他们需要什么。
他们常常苦于找不到合适的专业建议来满足自己的安全需求。
无法获得良好的技术,在试图获得适合其问题规模的良好技术时举步维艰。
非营利组织的情况更糟。中小型企业虽然不重视安全问题,但多少能感觉到有风险需要防范,而非营利组织则不同,它们没有这种直觉。非营利组织的领导和团队通常都忙于筹款,而筹款已经分散了他们实现宏伟愿景的注意力,因此他们根本没有时间和技能去考虑安全问题。为什么会有人攻击可怜的非营利组织?"这种心态可能会损害组织的生存能力。
地方政府、市政机构以及法院和学校等组织也属于生活在网络安全贫困线以下的类别。他们缺乏预算来获取、实施或构建强大的安全防御系统,以保护政府和公民的数据。根据2022年全国网络安全备忘录,互联网安全中心对3600多个州、地方、部落和地区政府组织进行了网络安全准备情况调查,发现以下问题阻碍了政府实施强大的安全计划:资金不足、网络威胁日益复杂、缺乏有据可查的流程、新兴技术以及获得网络安全专业人员的机会有限。令人遗憾的是,根据同一份报告,这些问题也是调查参与者在过去八年中一直提到的问题,尽管地方政府遭受攻击的次数一直在稳步上升. 。
美国生活在网络安全贫困线以下的另一类重要组织是那些严重依赖OT技术的组织,其中包括那些在化工、通信、制造、大坝、国防工业基地、能源、水利和其他部门工作的组织。此前,我曾在题为"美国关键基础设施安全不是政策问题,而是市场问题"的深度报道中深入探讨了围绕运营技术 (OT) 和工业控制系统 (ICS) 安全的问题、导致 OT/ICS 安全市场难以竞争的因素及其未来。可悲的是,尽管有许多关于确保关键基础设施安全的讨论,但构成关键基础设施的一大部分组织却生活在网络安全贫困线以下. 。
全球市场上的新兴经济体
在 2024 年,我们应该清楚地看到,美国以外的公司也有安全需求,而且在美国以外,网络安全贫困线的问题要严重得多。一年多以前,我在一篇题为"确保发展中国家的安全不是慈善事业,而是我们的责任"的文章中写道:"一提到网络安全,我们就会想到美国、欧洲和以色列,而美国则受到过多的关注。这有很多很好的理由--那里的数据成本最高,经济最发达,公司可以支付高昂的保护费用。[......]在谷歌上搜索一下就会发现,虽然关于发展中国家网络安全问题的科学研究数量可观,但行业从业者之间的讨论却几乎不存在。这就是无法取得良好结果的差距"。
根据《2024 年全球网络安全展望报告》 ,"拉丁美洲和非洲自我报告的网络抵御能力最强的组织数量最少,而北美和欧洲的组织数量最多。同样,拉丁美洲和非洲报告的网络抵御能力不足的组织数量最多,而北美和欧洲报告的数量最少。新兴经济体在网络安全方面举步维艰的原因有很多。这些原因包括
快速数字化: 在过去几十年中,发展中国家经历了快速数字化,一跃进入数字时代。遗憾的是,网络安全实践的建立和安全从业人员数量的增长并未与之同步,这导致新兴数字化国家变得越来越脆弱。
软件可负担性:发展中国家的人们通常买不起最新版本的操作系统和定期打安全补丁的正版软件。相反,旧版本的操作系统、盗版软件和洪流下载在发展中国家非常普遍。这些类型的软件不会收到任何安全更新,而且有些软件(如充斥着恶意广告的 torrent 下载)可能更加危险。
安全意识淡薄:这是由于一种两难境地:缺乏意识导致缺乏适当的培训,而这又反过来导致安全专业人员的短缺。随后,安全从业人员的缺乏又导致了安全意识的缺失。
优先级低:高度的政治不稳定性和紧迫的经济挑战将政府制定网络安全立法和战略的工作推向了边缘。这造成了广泛的后果,包括政府和政府资助的服务提供商缺乏适当的网络卫生和控制,以及网络犯罪分子将新兴经济体视为完美的、毫无防御能力的受害者和绝佳的藏身之地。网络犯罪团伙往往将发展中国家作为沙盒环境和训练场,以便随后在发达国家发动出于经济和政治动机的攻击。
重要的是,在谈论那些生活在网络安全贫困线以下的人时,我们要牢记全球有数十亿个人和数百万组织受到这一问题的影响,而不是几乎只关注美国的中小企业。
"涓滴 "网络安全战略
有三大力量帮助我们完善网络安全防御:对手行为、保险要求和政府监管。
攻击者的行为极大地影响了成熟安全团队的关注点、优先级和资源投入。对手的战术、技术和程序 (TTP) 以及新攻击载体的出现,迫使安全组织不断提高对攻击者的要求。由于那些处于安全贫困线以下的企业缺乏针对对手行为定制防御措施所需的专业知识和资源,因此这一因素对他们的安全态势影响甚微。
由于保险提供商有动力减少索赔数量以及在发生索赔时需要支付的总金额,因此他们完全有能力成为建立可靠网络安全实践的倡导者。保险公司可以获得网络安全人才、在保单承保过程中获得的有关组织安全态势的详细信息,以及具有类似网络卫生习惯的企业的索赔信息。所有这些都使他们有能力向企业推荐改进计划,让企业从实施额外措施来加强安全态势中获益。此外,保险商还可以不断提高企业获得网络保险资格所需的标准,从而迫使不同行业和地区的安全实践趋于成熟。
政府监管在加速网络安全成熟方面发挥着特殊作用。正如我以前讨论过的 ,"由于私营部门关注的是股东价值最大化和利润增长,如果没有适当的监管和执行机制,它们通常会寻求实施最低限度的措施来实现这些目标。安全领导者、从业人员和政策制定者的共识是,我们需要在网络安全方面做得更好。各种规模的企业都需要确保自己实施的措施能够保护自己免受网络攻击。如今,政府是市场的缔造者:通过制定网络安全要求,政府产生了对新解决方案的需求。安全厂商乐于游说新的法规、框架和合规要求,因为它们有助于销售更多的产品。流程如下:漏洞导致对新法规的游说,这种游说转化为立法要求,而立法要求又反过来推动对网络安全的需求"。
虽然这三个因素都很重要,但对大众市场影响最大的是后两个因素,即保险要求和政府监管。总的来说,我们并没有承认我们正在做的事情,但我们基本上接受了这样的观点,即如果我们做得对,网络安全的成熟度将从最大的企业 "滴灌 "到中小型企业和其他市场参与者。政府没有监管整个市场的有效方法,但它已经为监督上市公司建立了一套可靠的游戏规则。通过执行要求上市公司更高的成熟度的规则,政府希望激励这些公司对其成千上万的厂商实施更严格的安全和合规要求,从而将安全 "滴灌 "到政府没有资源监督的市场其他部分。
解决网络安全贫困线问题,人人有责
通常,解决网络安全贫困线问题的建议如下:
注重打补丁和安全培训等基础工作
寻找具有成本效益的解决方案
与服务提供商合作
增加安保预算
尽管所有这些肯定都有道理,但我不认为我们向那些无法充分利用这些建议的人提供建议能解决多少问题。这就好比建议那些陷于财务困境的人 "进一步优化预算 "一样:虽然并没有完全错,但从实际情况来看,却毫无帮助。相反,我认为作为一个行业,我们可以做很多事情,为生活在网络安全贫困线以下的组织创造条件,提高他们的安全防御水平。
技术厂商的作用
要帮助克服网络安全贫困线问题,技术厂商可以做的第一件事就是构建默认安全的产品。无论是亚马逊、微软和谷歌这样的大型基础设施提供商,还是规模较小的 SaaS 公司和自助托管/部署软件,它们都有能力让那些没有大笔安全预算的人也能获得安全保障。科技公司还应强制执行安全默认设置,如要求用户启用多因素身份验证(MFA)、允许默认通用密码和禁用默认公共访问(如 AWS S3 Buckets)。
拥有成熟安全团队企业的作用
在过去的十年中,一小部分公司和组织的安全态势日趋成熟。如今,他们可以做很多事情来帮助那些不那么幸运的公司和组织实施正确的安全措施。
在公司内部建立自己的解决方案的公司,可以想办法将它们作为开源项目进行共享,而不会危及自身的安全状况。Netflix、Brex、Meta、微软和无数其他公司都做到了这一点,我希望更多的公司能够很快效仿。虽然那些处于网络安全贫困线以下的企业可能负担不起运行开源解决方案的专业知识,但回馈行业知识库很可能会加速知识共享,帮助那些需要帮助的人。
鼓励知识共享的另一种方法是让安全专业人员与同行分享他们的学习成果。很多公司都不允许其安全团队的员工在会议上与业内人士分享他们的学习成果。虽然这可能有合理的理由,而且这也很正常,并非所有东西都应该分享,但有很多例子表明,成熟的安全团队可以找到合适的粒度来分享他们的专业知识,同时保护他们的组织。Netflix 和 Coinbase 等公司已经展示了如何很好地做到这一点。此外,如果企业不允许高素质的安全人才建立个人品牌、参与社区活动并展示他们的学习和发展成果,那么他们就会望而却步。如果您在招聘和留住人才方面遇到困难,那么您需要消除这些挑战的障碍,而不是增加障碍。
安全从业人员的作用
安全从业人员可以通过多种方式帮助处于网络安全贫困线以下的组织。首先,他们可以为小型企业、慈善机构和非营利组织提供咨询,这些组织往往因为缺乏知识和充足的预算而在安全方面举步维艰。从成为兼职安全领导者、虚拟首席信息安全官(vCISO)或兼职安全顾问,到创办中小企业或以学校为重点的企业,再到参与慈善机构并免费提供帮助,拥有网络安全经验的人可以为社会带来巨大的改变。另一种帮助方式是指导在政府、非营利组织和小型企业工作的人员,或提供信息技术(IT)方面的安全服务。
安全厂商的作用
在过去几年中,我们开始看到大量安全厂商对网络安全贫困线表示担忧。虽然他们的担忧不无道理,但许多安全公司似乎忽略了自己在解决问题中的作用。
网络安全提供商可以通过以下一些方式来改变世界,并成为他们希望看到的变革者:
通过取消强制性最低标准、为小规模部署提供自助服务模式的产品等方式,使小型机构有可能获得一流的解决方案。
根据地理位置为产品定价,使美国以外的客户也能获得这些产品。
为培训下一代网络安全专业人员的慈善机构、非营利组织和教育机构提供免费或大量补贴的安全解决方案。
投资者的作用
风险投资公司的职责不是拯救地球,而是为其有限合伙人(LP)创造经济回报。因此,很难提出一揽子建议,说他们 "应该 "开始投资中小企业或关键基础设施的安全解决方案。如果有赚钱的机会,风险投资公司就会下注,反之亦然,如果他们看不到这样的机会,就不会下注。也就是说,这有点像 "先有鸡还是先有蛋 "的问题:分配给某个领域的资金越多,公司就越能将其营销预算用于教育潜在买家,该细分行业也就越快成熟起来。
我希望在未来几年里,我们能看到更多雄心勃勃的创始人提出新的市场推广方法,以解决服务不足的组织问题,也能看到更多的风险投资人愿意保持开放的心态,发现以前没有的机会,并支持创业者实现他们的愿景。
结束语:网络安全民主化
业内人士喜欢玩数字游戏来估算当今的安全市场有多大,增长速度有多快。然而,当我们仔细观察这个行业时就会发现,安全行业的顶级买家和卖家之间的比例几乎是 1:1,大约有 5000 家厂商试图向同样的大约 5000 家企业销售产品。这是一种帕累托原则:80% 的初创企业向 20% 的客户销售产品,而 20% 的客户负责 80% 的安全市场收入。现在想想,90/10 可能比 80/20 更有可能。
尽管情况并不乐观,要确保人人都能获得安全,而不是少数人的奢侈品,还有很多工作要做,但承认我们所取得的进展同样重要。这要归功于Common Good Cyber by Global Cyber Alliance, CyberPeace Institute 等倡议、Hackers Without Borders 和 Cyber Poverty Line Institute 等机构,人们对这一重要问题的呼声越来越高,潜在的解决方案也越来越清晰。每个人似乎都是一致的:从大型厂商(如 Cisco )到智囊团(如 the Atlantic Council 和国际非政府组织,如 世界经济论坛、每个人都在反复强调克服网络安全贫困差距的重要性。
现在,剩下的就是将这些对话的成果付诸行动。
原文链接:
https://ventureinsecurity.net/p/lifting-the-world-out-of-the-cybersecurity
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。