多年来,我目睹了网络安全领域的许多趋势和模式。有些趋势和模式是乐观的,让我对安全的未来充满希望,而有些则不那么乐观。

在所有这些模式中,有两种模式最为突出,我称之为网络安全的大忌:

  1. 网络安全领域的从业人员常常认为,我们行业今天遇到的每一个挑战都是新的,其他领域的从业人员从未遇到过。这种想法让我们浪费精力,试图重新发明轮子,而不是首先借鉴比我们更成熟的行业的知识,如软件工程、质量保证、信息技术、心理学等。

  2. 从事网络安全工作的人常常认为,我们自己今天遇到的每一个挑战都是新的,在我们这个行业中还没有遇到过。这种想法让我们在了解过去是否曾遇到过同样的问题,并记下上一代安全从业者、创始人和行业领导者是如何解决这个问题的之前,就急于寻找解决方案。

我在以前的许多文章中讨论过前者,例如"将软件工程原理、系统和流程引入网络安全" 和" 五重测试如何反映质量保证的演变" 。在这篇文章中,我将介绍后者。

Adi Shamir和他的商业安全十诫

1995年,在有300多名与会者参加的Crypto "95会议(当时被认为是规模较大的网络安全活动)上, Adi Shamir发表了题为 "密码学--神话与现实" 的演讲。正是在那次演讲中,他提出了著名的商业安全十诫。

Adi Shamir并不为新一代安全创始人和实践者所熟知,但他应该为人熟知。1977 年,在麻省理工学院工作期间,Shamir、Rivest和Adleman开发了 RSA,一种用于保护互联网安全的加密算法(RSA 是他们姓氏的首字母缩写)。今天的 RSA 会议(RSAC)就是以他的名字命名的。后来,Shamir与Ronald L. Rivest和Leonard M. Adleman一起被授予图灵奖,被称为计算机科学家的诺贝尔奖。

近 30 年后的今天, Shamir的 10 条戒律 仍像当时一样有效。

商业安全十诫:近观

1.不要追求完美的安全性

"因此,要实事求是,量力而行。粗略地说,你应该把安全支出增加一倍,把风险降低一半"。- Adi Shamir

三十年前,人们就知道不存在完美的安全。安全团队总是可以做得更多,但到了一定程度,新投资的回报就会越来越低。安全领域最不快乐的人是理想主义者,因为他们总觉得企业不够关心。务实者明白,在安全方面不仅仅是要赢取更多的安全预算,每一分钱的分配都必须能为整个公司带来最高的回报。有时,如果根本没有安全计划,那很可能就是安全问题。但在其他时候,投资于国际扩张、市场营销、研发或其他能产生最高回报的领域更有意义。

网络安全是一项业务支持部门,因此安全团队必须习惯于非线性扩展,这一点与人力资源或 IT 等其他部门类似。这也意味着很难明确计算安全投资回报率(ROI)。比方说,如果我们在安全项目上再投入一百万美元,我们的安全性会提高多少 ?1%?10%?60%? 这很难衡量,更难衡量是否真的取得了成功。与此同时,我们通常可以更确定投资回报率,比如说,在销售上投资一百万美元。安全领导者绝对应该继续倡导安全需求,同时也要认识到,他们需要利用现有资源尽最大努力。

这一原则同样适用于初创安全公司。无论他们如何努力,都不可能阻止所有的安全漏洞、消除所有的零日、检测所有的高级持续性威胁(APT)。任何提出相反建议的人都会立即失去信誉,因为安全根本不是这样运作的。网络安全厂商不应追求或承诺完美的安全性,而应脚踏实地,专注于提供可能和可行的服务。

2.不要解决错误的问题

"例如,美国银行每年因支票欺诈损失 100 亿美元,但网上欺诈仅损失 500 万美元"。- Adi Shamir

概括地说,安全需求有三个驱动因素:

  • 对手的活动。坏人每天都在寻找新的方法来实现他们的目标,其中包括寻找新的漏洞和新的攻击载体。

  • 监管变化。政府和其他监管机构不断评估哪些安全措施应强制执行,哪些应作为最佳实践推荐,并制定新的指导方针、标准和要求。

  • 技术变化。技术在不断发展,采用新技术就必须采用新方法来确保其安全。

安全团队一直在监控正在发生的事情,并决定他们应该如何应对。新情况总是层出不穷,因此,既要跟踪所有这些情况,又不能失去重点,这需要大量的纪律。安全领导者和从业人员必须确保在任何时候都能专注于解决企业最重要的问题。要集中精力解决最重要的问题,就需要有第一原则的思维,找出对特定组织影响最大的问题的根源,然后对症下药。要做到这一点并不容易,因为安全需求的三个驱动因素--对手活动、监管变化和技术变化--都会促进新创公司、新方法和解决老问题的新途径的出现。初创企业从投资者那里筹集到资金后,会努力向买家宣传他们正在解决的问题。如果听取创始人的意见,不需要太长时间就会发现,无论他们的公司在做什么,都必须成为 CISO 的头等大事。正是这一点导致了 90% 以上的漏洞(如果不是这样,明天肯定也会这样,所以安全领导者最好未雨绸缪)。

在所有这些噪音中,安全领导者必须始终关注他们受雇保护的组织的利益。很多时候,这意味着他们要抑制对新技术的兴奋,回归基本面。虽然一些新的人工智能生成的威胁或新的民族国家 APT 明天可能确实会成为一个问题,但今天他们主要关注的可能仍然是 MFA 执行和电子邮件安全。同样的道理也适用于初创企业。创始人往往会对新技术感到兴奋,却忽略了一些最 "棘手 "的问题是那些已经存在了一二十年、已被充分理解但仍未解决的问题。

3.不要自下而上地销售安全产品

"(在人事等级方面)"。- Adi Shamir

三十年前,人们对市场的了解足以表明,自下而上的销售方式在网络安全领域行不通。更令人难以置信的是,这一点几乎没有改变,而这并不是因为缺乏尝试。

几十年来,我们一直在努力寻找一种方法,让安全从业人员支持他们喜欢的解决方案,但在大多数情况下,我们都没有成功。但也有一些例外,每个例外都有很多注脚。例如,

  • Auth0 在产品导向型增长(PLG)方面取得了令人难以置信的成功,但如果我们仔细观察,就会发现他们并没有向安全团队销售安全产品。相反,他们销售的是一种将实施身份验证的复杂性抽象化的工具。我们已经充分了解到,由于种种原因,除了云原生风险投资初创公司的安全工程师之外,安全从业人员没有足够的能力让厂商完成销售流程。软件工程师、IT 团队和其他人员也不认为安全是他们需要担心的事情,因此他们不会购买安全工具。

  • Sourcefire 在自下而上的销售方面取得了成功,但这是因为它是建立在 Snort 的基础上的,而 Snort 是一个开源项目,当时已经获得了巨大的影响力。值得注意的是,虽然有几个开源项目随着时间的推移发展成了非常成功的公司,但它们都是在维护者看到了扩展社区喜爱和采用的东西的机会时有机地发生的。另一方面,据我所知,试图通过首先设计一个开源版本,然后将其作为商业产品的 "特洛伊木马 "来构建商业安全产品的做法从未产生过令人难以置信的结果。

我有几篇关于自下而上地销售安全产品的文章,我通常不鼓励初创企业的创始人试图将产品主导的采用作为增长的主要手段。

4.不要过度使用加密技术

"即使是糟糕的加密技术,通常也是系统的强项"- Adi Shamir

这一点在我看来是一个很好的提醒,即安全团队应该寻求利用他人已经构建的系统,这样他们就可以专注于针对其环境的未解决的问题,而不是不必要地重新发明轮子。虽然最初的观点是关于密码学的,但我认为它几乎适用于任何其他领域,在这些领域中,人们可能会受到诱惑去做所谓的"无差别的繁重工作". 。

我注意到,许多安全人员都有一种强烈的倾向,那就是专注于自己最热衷的领域,而忽略了最需要关注的领域。这并不是安全领域独有的现象,例如,软件工程师也喜欢这样做。不同的是,在软件工程等领域,我们已经建立了坚实的系统和实践(如产品管理),力求在任何时候都将团队的工作与业务的最高优先级保持一致。由于种种原因,安全领域仍然缺乏这种思维模式,在许多公司,安全从业人员将时间和精力投入到了对处于成熟阶段的组织来说并不是最有价值的领域。

解决非关键问题的模式在网络安全初创企业的创始人身上重演。他们中的许多人创办的公司本质上都是激情项目,与行业的实际需求相去甚远。尤其是安全纯粹主义者,他们经常花费数年时间,试图将某项工作做到 99.9%,而 80% 就足够了。当然,追求令人兴奋的问题并没有错,但当这些公司筹集资金时,他们往往会陷入困境,因为客户满足于 "足够好 "的解决方案。

5.不要把问题复杂化

"这提供了更多攻击系统的机会,并鼓励用户想方设法绕过安全系统"。- Adi Shamir

今天,我们经常谈论这样一个事实:安全工具无序扩张是危险的,因为它扩大了公司的攻击面,使坏人更容易发现和利用漏洞。尽管至少从 1995 年起,我们就已经知道了潜在的风险,但最终还是出现了厂商无序扩张的问题,这实在令人费解!‍

控制措施越复杂,安全团队就需要花费越多的时间将其整合到一个有凝聚力的计划中,长期维护起来就越麻烦,安全领导者也就越难了解哪些方面有良好的覆盖,哪些方面有欠缺。毫无疑问,不必要的复杂性会增加安全团队的工作难度,但真正的危险在于它对员工的影响。控制越复杂,对用户体验的影响越大,人们就越有可能找到规避控制的方法。这完全合情合理,因为用户总是会寻找摩擦最少的方式来完成他们的工作(即使这也意味着最不安全)。

在网络安全领域,我们经常重复安全团队需要少花钱多办事的口号。偶尔,我也会想--也许我们应该努力做到......更少?也许,减少控制,但专注于影响最大的项目,可以带来更强大的安全保护。在安全方面,最好的方法是通过设计来构建安全的系统;其次是将安全分层,使安全行为成为最无摩擦的行为。与安全地做事相比,当人们不得不付出额外的努力去做不安全的事情时,我们就会知道我们做事的方法是正确的。

同样的原则--"不要把事情搞复杂"--也适用于厂商构建和营销安全解决方案的方式:

  • 很多时候,创始人推销公司的方式让人无法理解他们的工具究竟能解决什么问题。他们爱上了技术,却忽略了对买家来说什么才是最重要的。

  • 安全领导者和从业人员能够理解公司推销产品的方式是极为罕见的。人们可以花几个小时阅读营销材料和面向公众的文档,但仍然不知道解决方案(或问题)是什么。我们的营销过于复杂。

  • 大多数安全产品的构建方式不仅忽视了用户体验方面的最佳实践,也忽视了这些工具的构建者与软件本身的交互方式。我们习惯于使用界面混乱的笨重工具,需要花几个小时阅读文档、参加培训和学习新术语。围绕用户体验的问题不仅增加了安全工具的总拥有量,还使安全从业人员更有可能错误配置这些工具,无法维护安全覆盖范围,或完全利用厂商提供的服务。人们在部署了安全工具并支付了订阅费用之后,却发现该产品本应提供的 50% 的覆盖范围被禁用. 这种情况并不少见。

6.不要让它变得昂贵

网络安全成本高昂,作为一个行业,我们已经习以为常。不仅如此,我们还认为必须如此。由于安全采购的主要驱动力是合规性,而大型上市公司往往受到最严格的监管,因此厂商主要针对资金雄厚的大型企业构建产品。这样做的后果之一是,大多数安全工具对于无法为安全分配数百万甚至数十亿美元的企业来说根本负担不起,这导致了网络安全贫困线. 。

习惯于为新功能支付高昂费用的安全领导者,每当某些厂商的收费低于其竞争对手时,就会产生难以置信的怀疑。我听说过好几个故事,说的都是一个优秀的解决方案如何在与竞争对手的竞争中败下阵来,因为 CISO 认为他们的要价低得可疑,因此他们的产品在覆盖范围和可靠性方面肯定更差。安全领导者更倾向于购买更昂贵的工具并通过谈判获得一些折扣,而不是一开始就考虑价格更低的替代品。这种悖论并不是安全领域独有的,它只是我们学会了如何看待价格与质量之间的关系。这些心理因素也是我们认为购买 "打五折"、折扣后最终售价为 100 美元的产品比购买一开始售价就为 100 美元的产品更好的原因。

不仅仅是网络安全买家和卖家将 "安全是昂贵的 "这一事实常态化,整个技术行业也是如此。安全从业人员对所谓的 SSO 税 和 审计日志税 非常不满。各种规模的技术公司都学会了让客户支付高昂的费用,以便获得基本的安全功能。这无异于允许汽车行业因提供安全带而额外收取 50%-1000%的费用。然而,由于这种情况已经常态化,我们不太可能看到任何改变。正如我以前解释过的, 这些问题源于技术行业产品管理实践的低成熟度 ,以及安全需求是 SaaS 公司在产品定价时可以依赖的一个非常方便的捷径。

7.不要使用单一防线

"有几个层次,这样就可以保持安全,无需昂贵地更换主线路"。- Adi Shamir

"不要使用单一防线 "是我们这个行业一直全心全意奉行的原则之一,同时也是我们完全忽视的原则之一。

从积极的方面看,公司依靠防火墙或防病毒软件等单一安全工具来防范一切可能出现的问题的时代已经一去不复返了。这一方面是因为我们作为一个行业已经成熟,所以我们明白没有万能药,另一方面是因为潜在攻击载体的数量已经激增。现在,人们通过框架和合规性标准更加牢固地认识到,整体安全计划需要涵盖许多领域--从网络到端点、身份、云和应用程序安全,再到电子邮件安全、API 安全、SaaS 安全、数据安全等等。

不那么积极的一面是,在我们希望将所有安全工具整合到 "单层玻璃 "下时,我们正满怀信心地迈向这样一个世界:几个大型厂商同时变成了一道防线和一个故障点。正如我在 之前的一篇文章 中解释的那样,"......任何单体平台的安全性都会随着其规模的扩大而降低。有机会使用过 SAP、Salesforce 或 Workday 等大型传统平台的人都知道,平台越大,效率就越低。而且,

  • 大型平台淹没在技术债务中。

  • 大型平台的支持渠道不畅。

  • 大型平台变得异常难以实施,尤其是在需要定制的领域。

  • 大型平台之所以昂贵,是因为大多数客户要为他们永远用不上的众多功能付费。

  • 大型平台之所以昂贵,是因为它们嵌入客户工作流程的程度越深,覆盖的领域越多,就越难更换,平台厂商对买方的控制力也就越强。

最后但同样重要的是,平台越大,其表面积就越大,最终引入的漏洞也就越多。更重要的是,坏人更容易集中精力在一个能打开所有门的工具上打洞,从而导致最大的安全产品也可能成为最不安全的单一故障点。

作为一个行业,我们在试图减少厂商数量时必须注意不要走得太远。这不是一个容易解决的问题,因为一方面我们需要简化我们的堆栈,另一方面我们必须避免组装安全怪物。我最近意识到,整合工具并不一定会导致简化。事实往往恰恰相反。我们必须关注两个方面:技术和预算。从采购和预算的角度来看,将多种功能整合到一个厂商那里几乎总是会带来简化。这是有道理的,因为 CISO 可以只与一家厂商打交道(一家厂商、一份合同、捆绑价格、一个支持团队等),而不是与比如说五家厂商打交道,谈判五份独立的合同,这些合同都有各自的定价、续约周期等。问题是,通常情况下,转向单一厂商会使技术方面变得复杂。许多所谓的平台实质上是由数十个互不关联的工具拼凑而成的一个解决方案。有些公司可能投入了大量的时间和精力来整合这些单独的工具,其中大部分可能是收购而来,而不是内部构建的,但有些公司却没有这样做。这些工具都有各自的数据标准、应用程序接口规范、架构差异等,处理这些拼凑起来的工具可能会耗费巨大的成本。这就是说,合并合同可能会简化采购,但却会使技术环境复杂化,增加总体拥有成本。

8.别忘了 "神秘攻击"

"即使在不知道出了什么问题的情况下,也能重新生成安全性。例如,智能卡是可以攻击的,但却可以快速廉价地恢复。- Adi Shamir

尽管我们拥有成千上万种工具,专注于检测用户、网络、端点、应用程序和数据等不同资产类别,但我们不能指望能够预防、检测和修复每一个威胁。难免会有漏网之鱼,而这些漏网之鱼可能完全出乎我们的意料,难以解释,甚至根本无法解释。因此,我们的重点应放在恢复能力上,而不仅仅是预防、检测和响应。

对于不同的人来说,复原力意味着不同的东西。从根本上说,它是指确保公司能够抵御攻击并从中恢复。在过去的十年中,我们在灾难恢复和复原力方面取得了一些进步。然而,许多想法仍然只是想法,许多最佳实践在很大程度上仍然被忽视。例如,关于自愈 API、自愈网络和其他能够抵御威胁和意外变化(无论是由坏人还是系统故障引起)的自愈系统的讨论不绝于耳,但到目前为止,这些大多还只是想法。

安全厂商应打造能够应对神秘攻击的产品,并为客户提供更易于预防、检测和恢复的工具。这可能包括追溯威胁的遥测存储、超越静态规则、实施异常检测的机器学习等。

9.不要信任系统

2024 年,"零信任 "无疑已成为我们行业的流行语。越来越多的公司开始接受 "系统不可信 "的理念,实施微分段、设备信任、持续验证、工作负载监控、安全访问服务边缘(SASE)解决方案以及其他看似新颖的方法。然而,读一读早在 1995 年就被列为安全核心支柱之一的 "不要信任系统 "就会明白,零信任并不是什么新鲜事物。

在网络安全领域,需要对每个人和每件事进行持续验证的理念已经存在了几十年,我们花了这么长时间才开始在行业层面将其付诸实施。这里的 "开始 "一词很关键:虽然61% 的公司声称正在实施零信任计划,但零信任的实际采用深度仍不清楚。这是因为零信任首先是一种架构系统的方法,而不是公司为实现 "安全 "而购买的工具。真正的零信任需要大量的用心,需要从根本上重建公司授予、验证和撤销系统访问权限的方式。要做好这一点并不容易,如果十年后,人们再次推动零信任的迭代,我也不会感到惊讶。

不信任系统的另一个层面是确保我们不盲目信任所依赖的第三方。这无疑是一个痛苦的话题,因为第三方风险已经变成了用 ChatGPT 填写调查问卷的游戏,而投资供应链安全的梦想仍然只是一个梦想。安全厂商尤其要谨慎对待自己的第三方依赖关系:由于网络安全产品获得了大量的访问权限和高度敏感的权限,初创企业有责任确保它们不会变成攻击者的 "特洛伊木马"。

10.不要信任人

很多时候,我们会觉得如果有一件事是业界完全同意的,那就是我们不应该相信人这一要素。然而,当我们仔细研究这方面的问题时,事情很快就开始变得扑朔迷离。

安全从业人员在对他们要保护的公司员工建立零信任心态方面一直很有一套。然而,这种心态往往会在财务、销售、市场营销和客户支持部门终结,而这些部门是 "众所周知 "的在安全方面最严重的违规者。要保护开发人员的安全,更要保护公司高管和董事会成员的安全,事情就变得复杂了。因为首席执行官或董事会成员(具有讽刺意味的是,这些人有很多权限访问高度敏感的文档)不愿意处理额外的摩擦,所以公司在 MFA 方面创建例外情况或规避其他一些常识性控制措施的情况并非没有发生过。

虽然作为一个行业,我们已经学会了不信任公司员工,但令人着迷的是,我们在其他情况下仍然信任别人。例如,

  • 虽然我们并不缺乏持续合规监控的工具,但在大多数情况下,我们仍然依赖截图和书面证明等时间点证据。这些 "证据 "并不能证明公司在任何时候都是合规的,而只能证明公司在接受审核时是合规的。

  • 网络保险承保仍然侧重于高层次的问题,即使这些问题变得越来越细化。我们不是想方设法收集证据来证明买方确实在做他们声称在做的事情,而是继续询问 "您是否启用了 MFA?有还是没有?

  • 第三方风险的整个领域都建立在合规性的自我证明上。虽然在大多数情况下,实际的第三方风险是通过合同和厂商协议转移的,但我们仍在继续玩这种申请和回复安全问卷的游戏。如今,随着人工智能和 ChatGPT 的发展,市场上充斥着各种工具,一方面可以帮助填写这些问卷,另一方面可以让买家 "总结 "厂商的答复。

  • 在购买过程中,业界仍然依赖专家的评论和认可。行业分析师的意见、CISO 社区的认可、客户的评价以及其他类型的信任因素在很大程度上影响着初创企业获得早期发展的可能性。

  • 在评估控制措施的有效性时,我们仍然依赖于传闻证据。Daniel Geer、Kevin Soo Hoo 和 Andrew Jaquith 所描述的 "神谕和占卜者" 现象继续存在,而且几乎没有证据表明这种现象会很快改变。

作为人类,我们不能一直生活在零信任的状态中。归根结底,我们需要信任他人,与他人合作,并与周围的人建立有意义的关系。重要的是,我们要明智地选择信任的对象,并了解在任何情况下都有哪些激励因素在起作用。我们在这方面已经取得了很多进展,例如 出现了安全领导者私人社区和 ISAC 等 ,但我们还可以做得更多。

结束语

自 Adi Shamir 发表著名演讲并提出商业安全十诫以来,已经过去了近 30 年。对于我们的行业来说,30 年是一个很长的时间(这也是 CISO 角色存在的时间),但对于法律、医学或会计等其他成熟的知识领域来说,这不过是沧海一粟。

年轻一代的安全从业人员一直被误导,认为我们行业如今面临的问题都是些新问题。正如本文所要强调的,这些问题并不新鲜。三十年前,我们曾有人警告我们不要自下而上地推销安全,不要浪费时间去解决那些对我们的安全没有意义的问题领域,不要让我们的基础设施过于复杂。三十年前,有人警告我们系统和人都不可信。这是否意味着整个行业又回到了从前?当然不是。这意味着我们必须继续关注基本要素。安全领导者、安全从业者和安全创始人都必须牢记什么是真正的优先事项,以及大多数攻击的源头在哪里。具有讽刺意味的是,这一点也没有太大的改变(尽管不可否认我们已经取得了很大的进步)。

在我们展望未来安全的时候,让我们都记住Adi Shamir和我们的前辈留给我们的十条戒律。

原文链接:

https://ventureinsecurity.net/p/10-principles-for-building-cybersecurity

声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。