激蕩三十年:網絡安全商業十誡
責編:gltian |2024-11-15 14:19:19多年來,我目睹了網絡安全領域的許多趨勢和模式。有些趨勢和模式是樂觀的,讓我對安全的未來充滿希望,而有些則不那么樂觀。
在所有這些模式中,有兩種模式最為突出,我稱之為網絡安全的大忌:
- 網絡安全領域的從業人員常常認為,我們行業今天遇到的每一個挑戰都是新的,其他領域的從業人員從未遇到過。這種想法讓我們浪費精力,試圖重新發明輪子,而不是首先借鑒比我們更成熟的行業的知識,如軟件工程、質量保證、信息技術、心理學等。
- 從事網絡安全工作的人常常認為,我們自己今天遇到的每一個挑戰都是新的,在我們這個行業中還沒有遇到過。這種想法讓我們在了解過去是否曾遇到過同樣的問題,并記下上一代安全從業者、創始人和行業領導者是如何解決這個問題的之前,就急于尋找解決方案。
我在以前的許多文章中討論過前者,例如”將軟件工程原理、系統和流程引入網絡安全” 和” 五重測試如何反映質量保證的演變” 。在這篇文章中,我將介紹后者。
Adi Shamir和他的商業安全十誡
1995年,在有300多名與會者參加的Crypto “95會議(當時被認為是規模較大的網絡安全活動)上, Adi Shamir發表了題為 “密碼學–神話與現實” 的演講。正是在那次演講中,他提出了著名的商業安全十誡。
Adi Shamir并不為新一代安全創始人和實踐者所熟知,但他應該為人熟知。1977 年,在麻省理工學院工作期間,Shamir、Rivest和Adleman開發了 RSA,一種用于保護互聯網安全的加密算法(RSA 是他們姓氏的首字母縮寫)。今天的 RSA 會議(RSAC)就是以他的名字命名的。后來,Shamir與Ronald L. Rivest和Leonard M. Adleman一起被授予圖靈獎,被稱為計算機科學家的諾貝爾獎。
近 30 年后的今天, Shamir的 10 條戒律 仍像當時一樣有效。
商業安全十誡:近觀
1.不要追求完美的安全性
“因此,要實事求是,量力而行。粗略地說,你應該把安全支出增加一倍,把風險降低一半”。- Adi Shamir
三十年前,人們就知道不存在完美的安全。安全團隊總是可以做得更多,但到了一定程度,新投資的回報就會越來越低。安全領域最不快樂的人是理想主義者,因為他們總覺得企業不夠關心。務實者明白,在安全方面不僅僅是要贏取更多的安全預算,每一分錢的分配都必須能為整個公司帶來最高的回報。有時,如果根本沒有安全計劃,那很可能就是安全問題。但在其他時候,投資于國際擴張、市場營銷、研發或其他能產生最高回報的領域更有意義。
網絡安全是一項業務支持部門,因此安全團隊必須習慣于非線性擴展,這一點與人力資源或 IT 等其他部門類似。這也意味著很難明確計算安全投資回報率(ROI)。比方說,如果我們在安全項目上再投入一百萬美元,我們的安全性會提高多少 ?1%?10%?60%? 這很難衡量,更難衡量是否真的取得了成功。與此同時,我們通常可以更確定投資回報率,比如說,在銷售上投資一百萬美元。安全領導者絕對應該繼續倡導安全需求,同時也要認識到,他們需要利用現有資源盡最大努力。
這一原則同樣適用于初創安全公司。無論他們如何努力,都不可能阻止所有的安全漏洞、消除所有的零日、檢測所有的高級持續性威脅(APT)。任何提出相反建議的人都會立即失去信譽,因為安全根本不是這樣運作的。網絡安全廠商不應追求或承諾完美的安全性,而應腳踏實地,專注于提供可能和可行的服務。
2.不要解決錯誤的問題
“例如,美國銀行每年因支票欺詐損失 100 億美元,但網上欺詐僅損失 500 萬美元”。- Adi Shamir
概括地說,安全需求有三個驅動因素:
- 對手的活動。壞人每天都在尋找新的方法來實現他們的目標,其中包括尋找新的漏洞和新的攻擊載體。
- 監管變化。政府和其他監管機構不斷評估哪些安全措施應強制執行,哪些應作為最佳實踐推薦,并制定新的指導方針、標準和要求。
- 技術變化。技術在不斷發展,采用新技術就必須采用新方法來確保其安全。
安全團隊一直在監控正在發生的事情,并決定他們應該如何應對。新情況總是層出不窮,因此,既要跟蹤所有這些情況,又不能失去重點,這需要大量的紀律。安全領導者和從業人員必須確保在任何時候都能專注于解決企業最重要的問題。要集中精力解決最重要的問題,就需要有第一原則的思維,找出對特定組織影響最大的問題的根源,然后對癥下藥。要做到這一點并不容易,因為安全需求的三個驅動因素–對手活動、監管變化和技術變化–都會促進新創公司、新方法和解決老問題的新途徑的出現。初創企業從投資者那里籌集到資金后,會努力向買家宣傳他們正在解決的問題。如果聽取創始人的意見,不需要太長時間就會發現,無論他們的公司在做什么,都必須成為 CISO 的頭等大事。正是這一點導致了 90% 以上的漏洞(如果不是這樣,明天肯定也會這樣,所以安全領導者最好未雨綢繆)。
在所有這些噪音中,安全領導者必須始終關注他們受雇保護的組織的利益。很多時候,這意味著他們要抑制對新技術的興奮,回歸基本面。雖然一些新的人工智能生成的威脅或新的民族國家 APT 明天可能確實會成為一個問題,但今天他們主要關注的可能仍然是 MFA 執行和電子郵件安全。同樣的道理也適用于初創企業。創始人往往會對新技術感到興奮,卻忽略了一些最 “棘手 “的問題是那些已經存在了一二十年、已被充分理解但仍未解決的問題。
3.不要自下而上地銷售安全產品
“(在人事等級方面)”。- Adi Shamir
三十年前,人們對市場的了解足以表明,自下而上的銷售方式在網絡安全領域行不通。更令人難以置信的是,這一點幾乎沒有改變,而這并不是因為缺乏嘗試。
幾十年來,我們一直在努力尋找一種方法,讓安全從業人員支持他們喜歡的解決方案,但在大多數情況下,我們都沒有成功。但也有一些例外,每個例外都有很多注腳。例如,
- Auth0 在產品導向型增長(PLG)方面取得了令人難以置信的成功,但如果我們仔細觀察,就會發現他們并沒有向安全團隊銷售安全產品。相反,他們銷售的是一種將實施身份驗證的復雜性抽象化的工具。我們已經充分了解到,由于種種原因,除了云原生風險投資初創公司的安全工程師之外,安全從業人員沒有足夠的能力讓廠商完成銷售流程。軟件工程師、IT 團隊和其他人員也不認為安全是他們需要擔心的事情,因此他們不會購買安全工具。
- Sourcefire 在自下而上的銷售方面取得了成功,但這是因為它是建立在 Snort 的基礎上的,而 Snort 是一個開源項目,當時已經獲得了巨大的影響力。值得注意的是,雖然有幾個開源項目隨著時間的推移發展成了非常成功的公司,但它們都是在維護者看到了擴展社區喜愛和采用的東西的機會時有機地發生的。另一方面,據我所知,試圖通過首先設計一個開源版本,然后將其作為商業產品的 “特洛伊木馬 “來構建商業安全產品的做法從未產生過令人難以置信的結果。
我有幾篇關于自下而上地銷售安全產品的文章,我通常不鼓勵初創企業的創始人試圖將產品主導的采用作為增長的主要手段。
4.不要過度使用加密技術
“即使是糟糕的加密技術,通常也是系統的強項”- Adi Shamir
這一點在我看來是一個很好的提醒,即安全團隊應該尋求利用他人已經構建的系統,這樣他們就可以專注于針對其環境的未解決的問題,而不是不必要地重新發明輪子。雖然最初的觀點是關于密碼學的,但我認為它幾乎適用于任何其他領域,在這些領域中,人們可能會受到誘惑去做所謂的”無差別的繁重工作”. 。
我注意到,許多安全人員都有一種強烈的傾向,那就是專注于自己最熱衷的領域,而忽略了最需要關注的領域。這并不是安全領域獨有的現象,例如,軟件工程師也喜歡這樣做。不同的是,在軟件工程等領域,我們已經建立了堅實的系統和實踐(如產品管理),力求在任何時候都將團隊的工作與業務的最高優先級保持一致。由于種種原因,安全領域仍然缺乏這種思維模式,在許多公司,安全從業人員將時間和精力投入到了對處于成熟階段的組織來說并不是最有價值的領域。
解決非關鍵問題的模式在網絡安全初創企業的創始人身上重演。他們中的許多人創辦的公司本質上都是激情項目,與行業的實際需求相去甚遠。尤其是安全純粹主義者,他們經常花費數年時間,試圖將某項工作做到 99.9%,而 80% 就足夠了。當然,追求令人興奮的問題并沒有錯,但當這些公司籌集資金時,他們往往會陷入困境,因為客戶滿足于 “足夠好 “的解決方案。
5.不要把問題復雜化
“這提供了更多攻擊系統的機會,并鼓勵用戶想方設法繞過安全系統”。- Adi Shamir
今天,我們經常談論這樣一個事實:安全工具無序擴張是危險的,因為它擴大了公司的攻擊面,使壞人更容易發現和利用漏洞。盡管至少從 1995 年起,我們就已經知道了潛在的風險,但最終還是出現了廠商無序擴張的問題,這實在令人費解!?
控制措施越復雜,安全團隊就需要花費越多的時間將其整合到一個有凝聚力的計劃中,長期維護起來就越麻煩,安全領導者也就越難了解哪些方面有良好的覆蓋,哪些方面有欠缺。毫無疑問,不必要的復雜性會增加安全團隊的工作難度,但真正的危險在于它對員工的影響。控制越復雜,對用戶體驗的影響越大,人們就越有可能找到規避控制的方法。這完全合情合理,因為用戶總是會尋找摩擦最少的方式來完成他們的工作(即使這也意味著最不安全)。
在網絡安全領域,我們經常重復安全團隊需要少花錢多辦事的口號。偶爾,我也會想–也許我們應該努力做到……更少?也許,減少控制,但專注于影響最大的項目,可以帶來更強大的安全保護。在安全方面,最好的方法是通過設計來構建安全的系統;其次是將安全分層,使安全行為成為最無摩擦的行為。與安全地做事相比,當人們不得不付出額外的努力去做不安全的事情時,我們就會知道我們做事的方法是正確的。
同樣的原則–“不要把事情搞復雜”–也適用于廠商構建和營銷安全解決方案的方式:
- 很多時候,創始人推銷公司的方式讓人無法理解他們的工具究竟能解決什么問題。他們愛上了技術,卻忽略了對買家來說什么才是最重要的。
- 安全領導者和從業人員能夠理解公司推銷產品的方式是極為罕見的。人們可以花幾個小時閱讀營銷材料和面向公眾的文檔,但仍然不知道解決方案(或問題)是什么。我們的營銷過于復雜。
- 大多數安全產品的構建方式不僅忽視了用戶體驗方面的最佳實踐,也忽視了這些工具的構建者與軟件本身的交互方式。我們習慣于使用界面混亂的笨重工具,需要花幾個小時閱讀文檔、參加培訓和學習新術語。圍繞用戶體驗的問題不僅增加了安全工具的總擁有量,還使安全從業人員更有可能錯誤配置這些工具,無法維護安全覆蓋范圍,或完全利用廠商提供的服務。人們在部署了安全工具并支付了訂閱費用之后,卻發現該產品本應提供的 50% 的覆蓋范圍被禁用. 這種情況并不少見。
6.不要讓它變得昂貴
網絡安全成本高昂,作為一個行業,我們已經習以為常。不僅如此,我們還認為必須如此。由于安全采購的主要驅動力是合規性,而大型上市公司往往受到最嚴格的監管,因此廠商主要針對資金雄厚的大型企業構建產品。這樣做的后果之一是,大多數安全工具對于無法為安全分配數百萬甚至數十億美元的企業來說根本負擔不起,這導致了網絡安全貧困線. 。
習慣于為新功能支付高昂費用的安全領導者,每當某些廠商的收費低于其競爭對手時,就會產生難以置信的懷疑。我聽說過好幾個故事,說的都是一個優秀的解決方案如何在與競爭對手的競爭中敗下陣來,因為 CISO 認為他們的要價低得可疑,因此他們的產品在覆蓋范圍和可靠性方面肯定更差。安全領導者更傾向于購買更昂貴的工具并通過談判獲得一些折扣,而不是一開始就考慮價格更低的替代品。這種悖論并不是安全領域獨有的,它只是我們學會了如何看待價格與質量之間的關系。這些心理因素也是我們認為購買 “打五折”、折扣后最終售價為 100 美元的產品比購買一開始售價就為 100 美元的產品更好的原因。
不僅僅是網絡安全買家和賣家將 “安全是昂貴的 “這一事實常態化,整個技術行業也是如此。安全從業人員對所謂的 SSO 稅 和 審計日志稅 非常不滿。各種規模的技術公司都學會了讓客戶支付高昂的費用,以便獲得基本的安全功能。這無異于允許汽車行業因提供安全帶而額外收取 50%-1000%的費用。然而,由于這種情況已經常態化,我們不太可能看到任何改變。正如我以前解釋過的, 這些問題源于技術行業產品管理實踐的低成熟度 ,以及安全需求是 SaaS 公司在產品定價時可以依賴的一個非常方便的捷徑。
7.不要使用單一防線
“有幾個層次,這樣就可以保持安全,無需昂貴地更換主線路”。- Adi Shamir
“不要使用單一防線 “是我們這個行業一直全心全意奉行的原則之一,同時也是我們完全忽視的原則之一。
從積極的方面看,公司依靠防火墻或防病毒軟件等單一安全工具來防范一切可能出現的問題的時代已經一去不復返了。這一方面是因為我們作為一個行業已經成熟,所以我們明白沒有萬能藥,另一方面是因為潛在攻擊載體的數量已經激增。現在,人們通過框架和合規性標準更加牢固地認識到,整體安全計劃需要涵蓋許多領域–從網絡到端點、身份、云和應用程序安全,再到電子郵件安全、API 安全、SaaS 安全、數據安全等等。
不那么積極的一面是,在我們希望將所有安全工具整合到 “單層玻璃 “下時,我們正滿懷信心地邁向這樣一個世界:幾個大型廠商同時變成了一道防線和一個故障點。正如我在 之前的一篇文章 中解釋的那樣,”……任何單體平臺的安全性都會隨著其規模的擴大而降低。有機會使用過 SAP、Salesforce 或 Workday 等大型傳統平臺的人都知道,平臺越大,效率就越低。而且,
- 大型平臺淹沒在技術債務中。
- 大型平臺的支持渠道不暢。
- 大型平臺變得異常難以實施,尤其是在需要定制的領域。
- 大型平臺之所以昂貴,是因為大多數客戶要為他們永遠用不上的眾多功能付費。
- 大型平臺之所以昂貴,是因為它們嵌入客戶工作流程的程度越深,覆蓋的領域越多,就越難更換,平臺廠商對買方的控制力也就越強。
最后但同樣重要的是,平臺越大,其表面積就越大,最終引入的漏洞也就越多。更重要的是,壞人更容易集中精力在一個能打開所有門的工具上打洞,從而導致最大的安全產品也可能成為最不安全的單一故障點。
作為一個行業,我們在試圖減少廠商數量時必須注意不要走得太遠。這不是一個容易解決的問題,因為一方面我們需要簡化我們的堆棧,另一方面我們必須避免組裝安全怪物。我最近意識到,整合工具并不一定會導致簡化。事實往往恰恰相反。我們必須關注兩個方面:技術和預算。從采購和預算的角度來看,將多種功能整合到一個廠商那里幾乎總是會帶來簡化。這是有道理的,因為 CISO 可以只與一家廠商打交道(一家廠商、一份合同、捆綁價格、一個支持團隊等),而不是與比如說五家廠商打交道,談判五份獨立的合同,這些合同都有各自的定價、續約周期等。問題是,通常情況下,轉向單一廠商會使技術方面變得復雜。許多所謂的平臺實質上是由數十個互不關聯的工具拼湊而成的一個解決方案。有些公司可能投入了大量的時間和精力來整合這些單獨的工具,其中大部分可能是收購而來,而不是內部構建的,但有些公司卻沒有這樣做。這些工具都有各自的數據標準、應用程序接口規范、架構差異等,處理這些拼湊起來的工具可能會耗費巨大的成本。這就是說,合并合同可能會簡化采購,但卻會使技術環境復雜化,增加總體擁有成本。
8.別忘了 “神秘攻擊”
“即使在不知道出了什么問題的情況下,也能重新生成安全性。例如,智能卡是可以攻擊的,但卻可以快速廉價地恢復。- Adi Shamir
盡管我們擁有成千上萬種工具,專注于檢測用戶、網絡、端點、應用程序和數據等不同資產類別,但我們不能指望能夠預防、檢測和修復每一個威脅。難免會有漏網之魚,而這些漏網之魚可能完全出乎我們的意料,難以解釋,甚至根本無法解釋。因此,我們的重點應放在恢復能力上,而不僅僅是預防、檢測和響應。
對于不同的人來說,復原力意味著不同的東西。從根本上說,它是指確保公司能夠抵御攻擊并從中恢復。在過去的十年中,我們在災難恢復和復原力方面取得了一些進步。然而,許多想法仍然只是想法,許多最佳實踐在很大程度上仍然被忽視。例如,關于自愈 API、自愈網絡和其他能夠抵御威脅和意外變化(無論是由壞人還是系統故障引起)的自愈系統的討論不絕于耳,但到目前為止,這些大多還只是想法。
安全廠商應打造能夠應對神秘攻擊的產品,并為客戶提供更易于預防、檢測和恢復的工具。這可能包括追溯威脅的遙測存儲、超越靜態規則、實施異常檢測的機器學習等。
9.不要信任系統
2024 年,”零信任 “無疑已成為我們行業的流行語。越來越多的公司開始接受 “系統不可信 “的理念,實施微分段、設備信任、持續驗證、工作負載監控、安全訪問服務邊緣(SASE)解決方案以及其他看似新穎的方法。然而,讀一讀早在 1995 年就被列為安全核心支柱之一的 “不要信任系統 “就會明白,零信任并不是什么新鮮事物。
在網絡安全領域,需要對每個人和每件事進行持續驗證的理念已經存在了幾十年,我們花了這么長時間才開始在行業層面將其付諸實施。這里的 “開始 “一詞很關鍵:雖然61% 的公司聲稱正在實施零信任計劃,但零信任的實際采用深度仍不清楚。這是因為零信任首先是一種架構系統的方法,而不是公司為實現 “安全 “而購買的工具。真正的零信任需要大量的用心,需要從根本上重建公司授予、驗證和撤銷系統訪問權限的方式。要做好這一點并不容易,如果十年后,人們再次推動零信任的迭代,我也不會感到驚訝。
不信任系統的另一個層面是確保我們不盲目信任所依賴的第三方。這無疑是一個痛苦的話題,因為第三方風險已經變成了用 ChatGPT 填寫調查問卷的游戲,而投資供應鏈安全的夢想仍然只是一個夢想。安全廠商尤其要謹慎對待自己的第三方依賴關系:由于網絡安全產品獲得了大量的訪問權限和高度敏感的權限,初創企業有責任確保它們不會變成攻擊者的 “特洛伊木馬”。
10.不要信任人
很多時候,我們會覺得如果有一件事是業界完全同意的,那就是我們不應該相信人這一要素。然而,當我們仔細研究這方面的問題時,事情很快就開始變得撲朔迷離。
安全從業人員在對他們要保護的公司員工建立零信任心態方面一直很有一套。然而,這種心態往往會在財務、銷售、市場營銷和客戶支持部門終結,而這些部門是 “眾所周知 “的在安全方面最嚴重的違規者。要保護開發人員的安全,更要保護公司高管和董事會成員的安全,事情就變得復雜了。因為首席執行官或董事會成員(具有諷刺意味的是,這些人有很多權限訪問高度敏感的文檔)不愿意處理額外的摩擦,所以公司在 MFA 方面創建例外情況或規避其他一些常識性控制措施的情況并非沒有發生過。
雖然作為一個行業,我們已經學會了不信任公司員工,但令人著迷的是,我們在其他情況下仍然信任別人。例如,
- 雖然我們并不缺乏持續合規監控的工具,但在大多數情況下,我們仍然依賴截圖和書面證明等時間點證據。這些 “證據 “并不能證明公司在任何時候都是合規的,而只能證明公司在接受審核時是合規的。
- 網絡保險承保仍然側重于高層次的問題,即使這些問題變得越來越細化。我們不是想方設法收集證據來證明買方確實在做他們聲稱在做的事情,而是繼續詢問 “您是否啟用了 MFA?有還是沒有?
- 第三方風險的整個領域都建立在合規性的自我證明上。雖然在大多數情況下,實際的第三方風險是通過合同和廠商協議轉移的,但我們仍在繼續玩這種申請和回復安全問卷的游戲。如今,隨著人工智能和 ChatGPT 的發展,市場上充斥著各種工具,一方面可以幫助填寫這些問卷,另一方面可以讓買家 “總結 “廠商的答復。
- 在購買過程中,業界仍然依賴專家的評論和認可。行業分析師的意見、CISO 社區的認可、客戶的評價以及其他類型的信任因素在很大程度上影響著初創企業獲得早期發展的可能性。
- 在評估控制措施的有效性時,我們仍然依賴于傳聞證據。Daniel Geer、Kevin Soo Hoo 和 Andrew Jaquith 所描述的 “神諭和占卜者” 現象繼續存在,而且幾乎沒有證據表明這種現象會很快改變。
作為人類,我們不能一直生活在零信任的狀態中。歸根結底,我們需要信任他人,與他人合作,并與周圍的人建立有意義的關系。重要的是,我們要明智地選擇信任的對象,并了解在任何情況下都有哪些激勵因素在起作用。我們在這方面已經取得了很多進展,例如 出現了安全領導者私人社區和 ISAC 等 ,但我們還可以做得更多。
結束語
自 Adi Shamir 發表著名演講并提出商業安全十誡以來,已經過去了近 30 年。對于我們的行業來說,30 年是一個很長的時間(這也是 CISO 角色存在的時間),但對于法律、醫學或會計等其他成熟的知識領域來說,這不過是滄海一粟。
年輕一代的安全從業人員一直被誤導,認為我們行業如今面臨的問題都是些新問題。正如本文所要強調的,這些問題并不新鮮。三十年前,我們曾有人警告我們不要自下而上地推銷安全,不要浪費時間去解決那些對我們的安全沒有意義的問題領域,不要讓我們的基礎設施過于復雜。三十年前,有人警告我們系統和人都不可信。這是否意味著整個行業又回到了從前?當然不是。這意味著我們必須繼續關注基本要素。安全領導者、安全從業者和安全創始人都必須牢記什么是真正的優先事項,以及大多數攻擊的源頭在哪里。具有諷刺意味的是,這一點也沒有太大的改變(盡管不可否認我們已經取得了很大的進步)。
在我們展望未來安全的時候,讓我們都記住Adi Shamir和我們的前輩留給我們的十條戒律。
原文鏈接:
https://ventureinsecurity.net/p/10-principles-for-building-cybersecurity