網絡安全不是檸檬市場,而是銀彈市場
責編:gltian |2024-07-19 15:01:11業內普遍認為,網絡安全市場是“檸檬市場”,一方(即安全廠商)掌握的信息遠遠多于另一方(甲方)。
在這篇文章中,我們將與Notion公司安全工程主管Mayank Dhiman合作,共同探討為什么安全不是檸檬市場,而是一個銀彈市場。
這個想法不是我和Mayank獨立提出的,本文圍繞伊恩·格瑞格(Ian Grigg)在2008年撰寫的一篇題為《銀彈市場》的優秀文章展開分析。由于我們將自己的觀點與伊恩文章中表達的觀點聯系在一起,因此請假設引文中未列出的內容均為我們的觀點,而非伊恩的觀點。
伊恩的這篇文章是深入了解網絡安全動向的必讀好文,我們希望本文能激勵更多業內人士閱讀《銀彈市場》。
網絡安全市場現狀
安全的悲劇
“你想造一個盒子,上面裝一盞燈。當你把盒子放進特定的房間時,燈就會熄滅。你怎么證明它能起作用?”-吉恩-斯帕福德,引自伊恩-格瑞格的《銀彈市場》。
這句話很有趣,它凸顯了測試安全解決方案的不可能性。這就是安全真正的悲劇–沒有簡單的方法來區分純粹的無能和純粹的運氣。我們系統沒被攻破,是因為我們的人員、流程和工具都很有效,都盡職盡責,還是只是我們運氣好?
每天都會有數十家不同的廠商找到安全leader,聲稱他們已經開發出了”秘密武器”來防范有“危害重大”的新型攻擊,其他廠商沒辦法像他們一樣有效檢測到這些攻擊。廠商把自己的解決方案說的無所不能–就像一顆銀彈,可以對付狼人、吸血鬼、女巫或其他超自然生物。
CISO們購買了這樣的工具,將其部署到自己的環境中,然后就會產生這樣的疑問:如果產品沒有發出任何告警,這意味著沒人使用這種新型高級攻擊手段,還是這類工具根本就沒用?
沒有辦法能可靠的測試安全解決方案
在《銀彈市場》一文中,伊恩將防盜報警器測試與安全工具測試相提并論,認為”在安全業務中,攻擊者并不是我們測試過程中的一環,但他是網絡攻擊中的積極參與方;他帶有偏見,無視規則,蓄意破壞我們的安全,以造成我們的損失。他對我們的努力不以為然,并尋找其中的漏洞;我們輸了,他就贏了。單個攻擊者不可能發現所有的漏洞,所以即便是真正的攻擊者,也不能很好地預測任何具有其他明顯特征的事件”。
伊恩的文章發表至今已超過15年,但我們仍未找到測試網絡安全產品的好方法。這并不是因為我們沒有嘗試,Venture in Security曾討論過從基于承諾的安全向基于證據的安全轉變的必要性,但事實是,這種轉變比許多人希望的要慢得多。
值得稱贊的是,行業提出了MITRE ATT&CK框架,并通過Atomic Red Team和Prelude等工具將其付諸實踐。我們已經找到了比較不同工具的方法,盡管還不是很完善。但是這些進步大多并不持久,因為存在所謂的古德哈特定律(Goodhart”s law),即一旦你發布了一個指標,它就不再是一個好指標,因為現在大家都會試圖優化這個指標(或玩弄該指標,取決于你怎么看待它)。安全廠商無需提高其工具的整體能力,僅需針對性的做一些優化,就可以在此類測試中表現更佳。
我們甚至設計了諸如入侵和攻擊模擬(BAS)、對手仿真和持續滲透測試等產品類別,試圖找到測試安全覆蓋范圍的方法。然而盡管做了這么多努力,還是沒有找到可靠的方法來驗證一家廠商的安全覆蓋率是否優于另一家,因為根本沒有辦法模擬繞過企業防御系統的所有可能方式。從本質上講,攻擊者是有創造力的,他們有很強的動機去獲得成功,并找到阻力最小的途徑(比滲透測試人員和BAS工具要強得多)。
甲方缺乏信息,無法做出明智決定
伊恩在文章中列舉的信息清楚地表明,甲方在做出購買決策時缺乏信息。其中一個人說,”……管理者們經常購買他們明知是次優或者次品,但卻來自大牌廠商的產品和服務,因為這樣做可以最大限度地減少出問題時被解雇的可能性。法務并不譴責這種做法是欺詐,而是稱贊其為”盡職調查”。另一位律師說:”我參加安全會議時,大家都圍坐在一起,苦苦思索用什么樣的指標來衡量安全計劃的成果”。多年前寫下的這些話,至今仍然適用。盡管我們經歷了種種挫折、討論,并下定決心要找到答案,但事實卻沒有什么變化,這令人既困惑又悲傷。
我們不僅缺乏信息以做出明智的購買決策,而且還在努力建立可靠的指標來證明安全投資的合理性。一個工具產生更多的”發現”是好事還是壞事?剛剛采購新工具的公司是否比以前更安全?從概率或美元的角度來看,這意味著什么?感覺我們只是在猜測。量化網絡風險的嘗試是可信的,但就目前而言,這些科學嘗試的終點在哪,玄學的起點又在哪,往往很難說清楚。
網絡安全不是檸檬市場,而是銀彈市場。
網絡安全不是檸檬市場
賣方比買方更了解所售產品或服務質量的市場通常被稱為”檸檬市場”。在喬治·阿克洛夫(George A. Akerlof)和約瑟夫·斯蒂格利茨(Joseph E. Stiglitz)因建立了信息不對稱市場理論而獲得諾貝爾經濟學獎后,這一術語開始流行起來。2007年,布魯斯·施奈爾(Bruce Schneier)寫了一篇題為“A Security Market for Lemons”的文章,認為網絡安全就是檸檬市場的完美范例。這一論點得到了廣泛傳播,自此以后,許多人也在集體思考中加入了自己的觀點,其中包括奧梅爾·辛格(Omer Singer)在其博客”奧梅爾談安全”(Omer on Security)中提出的觀點。
我們很容易假定存在某種陰謀——安全廠商故意向安全leader和從業人員隱瞞信息,但事實可能并非如此。如果賣方比買方更不了解他們所銷售的產品呢?
在《銀彈市場》一文中,作者認為:”認為買方缺乏信息就意味著賣方掌握了信息,這是邏輯上的錯誤。如果賣家確實是出于更微妙和更具戰略性的目的而銷售被貼上安全標簽的商品,那么他們就沒有必要比甲方更了解安全”。伊恩的結論是,在網絡安全領域不存在不對稱,買賣雙方都沒有足夠的信息可用,因為任何一方獲取信息的成本都太高。“任何一方的努力都可能使他們比另一方知道得更多,但即使是合理的努力也會使雙方沒有足夠的信息來做出理性的決定”。
盡管很多人不愿意接受這樣的想法,即買賣雙方都不知道如何解決安全漏洞問題,但這可能是唯一合理的解釋。每個人都在盡力而為,因為他們知道無論如何努力,都不可能做到萬無一失。
網絡安全是銀彈市場
如果安全不是檸檬市場,那它是什么?——銀彈市場。正如伊恩在其發人深思的文章中解釋的那樣:”銀彈是軟件工程領域的一個術語,指的是在沒有任何邏輯或理性手段支持的情況下,將產品或流程說成是有效的。銀彈是在信息不充分的市場上交易的商品,它和檸檬、酸橙(信息不對稱)一起,構成了信息不完善的市場”。他接著說,”買方沒有很好的檢驗標準來確認賣方的真實性,因此無法事先低成本地確定商品是否滿足需要;賣方也缺乏這種信息,因為他在攻擊者面前沒有優勢”。
下圖展示了根據信息獲取情況劃分的四類市場:
- 高效商品市場。在這個市場上,買賣雙方都能獲得信息。想想購買一臺新的Macbook:買方可以很容易地評估其性能,并就購買做出明智的決定。賣方和買方一樣,都能獲得有關產品的信息。
- 檸檬市場。在這類市場中,賣方比買方掌握的信息多得多。二手車市場就是這種現象的最佳例證。
- 酸橙市場。在這類市場中,買方掌握的信息比賣方多得多。保險就是這種現象的一個完美例子。例如,購買旅行保險的人比保險提供商更了解自己的計劃和潛在風險。
- 銀彈市場。在這個市場上,買賣雙方都沒有關于所售商品的足夠信息。安全產品就是這種現象的最佳例證,因為無論是安全廠商還是CISO,都無法保證他們比攻擊者知道得更多,也無法保證產品能防止所謂的各種威脅。
Source: “The Market for Silver Bullets”
安全成為銀彈市場的影響
由于甲方無法評估安全產品,因此他們會尋找其他因素
由于安全是一個銀彈市場,買賣雙方都無法自信地評估安全解決方案。行業參與者主要根據其他因素做出決定,這些因素可能與工具實現安全成果的能力密切相關,也可能不相關。以下是一些安全甲方和其他市場參與者經常使用的方式:
- 公司背后的投資者。頂級風險投資公司投資的初創企業被視為更”有前途”的標志。
- 被分析機構提及。分析機構在其報告中提及某創業公司,可以極大地促進該公司的發展,并為其帶來新的需求。
- 創始人的背景。通常有一種慣性思維——創始人的簡歷上如果有以色列國防軍或美國三字母機構這樣的大企業,他們的產品就可能更好。
- 官網上的客戶logo墻。這代表其他聲譽良好的機構認可這家初創公司,這是甲方期望看到的。
- 天使投資人和顧問。甲方希望了解公司是否得到了行業大V的支持。
- 同行反饋。安全領導者經常在私人聚會中與同行接觸,詢問他們使用特定工具的經驗。雖然這種反饋本身可能存在偏見和傳聞,但總比什么都沒有要好。
- 用戶體驗和易用性。這包括技術文檔、產品設計、上手使用所需的時間等。
- 營銷和公眾形象。在我們看來,RSA大會展位的大小等因素在安全行業可能很重要,這也是安全廠商年復一年地不斷投資于其公眾形象的原因。
Venture in Security曾討論過,在網絡安全領域,信任因素和信任時間在購買過程中起著至關重要的作用。對于CISO和安全從業人員來說,公司是否可信、是否值得關注等間接信息比產品本身的營銷更為重要。如果客戶購買的是一種承諾,那么做出這種承諾的人(或公司)的聲譽比其承諾的內容更重要。
行業分析機構就是一個很好的例子,由于雙方都缺乏信息,它們在行業中擁有巨大的權力。分析機構利用信息進行套利:他們與客戶和廠商交談,收集市場上的其他信息,并向買賣雙方出售他們的綜合建議。特別有趣的是,分析師本身對安全的看法也很有限:他們看到的是趨勢和類別,但沒有任何一家公司會建議一家廠商比另一家廠商更能阻止漏洞。在缺乏安全相關信息的情況下,分析機構想出了自己的辦法,將賣家分門別類。
Source: Gartner
Source: Forrester
就拿上面這些圖表來說吧,如果我們將安全廠商放在上面對比,那么這兩張圖都不會提供任何有用的信息,讓我們知道哪家廠商更有可能使公司更加安全。甚至他們都沒想過這樣做,而是專注于常規的、以市場為重點的特征。這就好比比較兩顆銀彈,說其中一顆更重,另一顆設計得更好:知道這一點很好,但對我們想知道誰更有可能阻止吸血鬼來說毫無用處。我們已經學會解讀分析機構的信息,并將其用于購買決策,盡管他們用來評估安全工具的標準與安全沒有多大關系。
房間里的銀(大)彈(象)–人工智能
在一篇關于銀彈安全的文章中,就不得不提到人工智能。
人工智能是一個非常熱門的”銀彈”。無論是自動化SOC、自動修復代碼中的安全漏洞,還是提升云安全,它都被吹捧為提高任何安全工具有效性的秘方。現在的初創公司如果不提人工智能,就很難獲得資金支持。
人工智能是銀彈市場的一個完美例子,它突出了伊恩最初文章的關鍵主題。為這些初創企業提供資金的風險投資人并不真正了解人工智能是否在發揮作用,創始人要么在積極嘗試利用人工智能,要么在投資者的鼓勵下使用人工智能。客戶沒有有效的方法來驗證”人工智能”安全廠商是否比”非人工智能”解決方案更有效。
在大多數情況下,人工智能現在只是一個流行詞,實際上意義不大。很少有研究論文真正指出人工智能在解決安全問題方面的無效性(至少到目前為止是這樣)。David Wagner等人最近發表了一篇《利用代碼語言模型進行漏洞檢測:我們還有多遠?》,文章中作者對最先進的LLM(大語言模型,如GPT-4)能否有效檢測代碼中的漏洞進行了公正的分析。答案很簡單–“很遺憾,不能”。結論指出,目前的LLM離有效解決這一問題還相差甚遠,需要做大量的工作。遺憾的是,這種對各種解決方案進行公正客觀評估的情況并不多見。
我們所熟知的”最佳廠商”很多都是”羊群效應”的體現
伊恩的研究論文得出的結論是:”安全措施選擇的變化發生得很慢,而且一旦發生,往往會在整個行業迅速波及”。換句話說,安全團隊需要很長時間才能適應新的解決方案,但一旦達到一定的門檻,市場上的其他產品就會開始轉向該解決方案,因為它已成為眾所周知的”賽道領導者”。對于廠商來說,這意味著成功孕育著成功。在2024年,甲方終端安全不用CrowdStrike、云計算不用Wiz、密碼管理不用1Password等情況,甚至需要提供額外的理由才行。選擇某種產品的行為本身就等同于為企業”做最好的事”。
論文接著討論了這樣一個觀點,即哪些安全工具能幸存下來,哪些會消亡,在很大程度上是基于偶然性。“銀彈[可以理解為安全廠商]的引入是建立在參與者在最初的幾輪中被使用的隨機機會,并且幸存下來沒有被孤立和撤銷。盡管這一最早的過程可能是出于安全考慮,但一旦選擇了這一套,這種動機就會急劇減弱。偏離的代價是高昂的,變化更有可能與維護社區環境的成本和收益的間接影響有關,而不是與商品名義上的安全使命有關”。
實際的安全措施與廠商的選擇如出一轍。當有足夠多的人做事時,有趣的事情出現了——說它是”有效”的,然后這套行為就被稱為”最佳實踐”。尤其令人困惑的是,許多所謂的”最佳實踐”并非基于證據。例如,雖然有足夠的證據表明定期更改密碼實際上可能弊大于利,但許多公司仍要求員工每90天更改一次密碼;另一個例子是釣魚演練,盡管有證據表明這種做法并沒有什么實際作用,也有部分企業放棄了這種做法,但大多數安全團隊仍在繼續使用。
堅持所謂的最佳實踐,即便最終會對安全態勢造成損害,也是羊群效應的結果之一。正如伊恩所解釋的,”偏離最佳實踐是要付出代價的,包括朝著你以為的更高安全的方向偏離……由于破壞平衡的成本與社區成員的數量成正比,社區規模越大,放棄的安全機會就越多,脆弱性也就越大”。而且,”如果一個參與者選擇了新的銀彈,其他參與者就沒有比堅持最佳實踐更好的策略了,甚至改變策略的參與者的情況也會變得更糟,因為一旦發生漏洞,他們就會付出非同尋常的代價(因不堅持”最佳實踐”而造成的聲譽損失)”。
最佳實踐戰勝安全的另一個有趣的例子:合規。合規標準往往會鼓勵遵守最佳實踐,而這往往會損害這些最佳實踐本應帶來的安全性。例如,某些合規標準規定,即使公司采用了抗網絡釣魚的MFA/無密碼解決方案,也必須針對憑證的網絡釣魚進行培訓。
穿越銀彈市場:走向未來
伊恩的文章不僅談論了問題,還提出了一些解決建議。與文章的其他部分類似,關于“我們該去向何方”的想法,在十五年后的今天仍然適用。
買方和賣方的第一性原則思維
隨著市場上充斥著各種”銀彈”,甲方利用第一性原則變得越來越重要。問一問自己,你要解決的核心問題是什么?什么更有可能導致漏洞–是牛逼哄哄的人工智能新模型,還是像網絡釣魚這樣更常見的東西?根據這些答案,甲方應該為自己列出一份優先事項清單,然后努力尋找解決方案。其中一些解決方案可能確實會以新廠商的形式出現,但許多解決方案將以新流程、開源工具、簡化IT流程等形式出現。
對于廠商來說,即使使用最新的人工智能炒作可能更容易籌集到資金,但同樣的第一性原則也能帶來很多價值。創始人在了解他們要解決的根本問題、目標市場是否足夠大、他們要解決的問題領域是否被甲方視為”高優先級”時,應該誠實地面對自己。令人鼓舞的是,除了層出不窮的人工智能安全初創公司外,我們還看到一些公司正在用戶身份和云安全等基礎領域起步。
鼓勵安全團隊之間共享信息
伊恩認為”陽光是最好的消毒劑”。長期以來,所有的安全團隊都依賴于所謂的”關起門來做安全”,即隱藏安全工作的細節,以達到所謂的加強安全的目的。現實情況是,作為一個行業,我們他人分享的經驗教訓中獲益匪淺。好消息是我們正在進步,越來越多安全團隊正在開源他們自己使用的工具,越來越多的公司允許他們的團隊在會議和活動中討論他們的安全工作。壞消息是,我們的步伐還不夠快,一般的CISO都受到嚴格的保密協議約束,而一般的安全從業人員則不能談論他們所做的大部分工作。這就意味著,只有保險提供商才能了解行業內發生的真實情況,但他們不夠成熟,無法理解這些情況,也沒有動力公開這些數據。
另一方面,甲方也在積極交流對不同廠商的看法。在過去的十年中,同行社區的數量激增,安全領導者和安全從業人員在這些社區中分享他們使用不同安全工具的經驗。這開始改變安全解決方案的購買方式。好消息是,安全廠商無法影響這些交流渠道。此外,越來越多的CISO開始成為行業信息共享和分析中心(ISAC)的成員。這些組織進一步使安全領導者能夠與其他可信賴的合作伙伴分享重要的學習成果和威脅情報。
客觀的第三方評估
有一些學術論文,如我們前面提到的《利用代碼語言模型進行漏洞檢測:我們還有多遠?》等學術論文,在評估工具的有效性方面做得非常出色。我們應該鼓勵在這一領域開展更多積極的研究,尤其是由學術界等不涉足這一領域的人員開展的研究。他們甚至可以”混淆”廠商的名稱,但仍然可以比較廠商在某個問題領域的有效性并公布結果。有一些偉大的行業實踐者希望填補這一空白,我們相信未來會有更多的人和組織參與進去。
PLG/POC
在安全領域,試用產品是一件非常困難的事情。這使得甲方無法快速測試新的解決方案,也無法驗證廠商的說法。缺乏信息的不僅是甲方,還有廠商自己。廠商無法了解競爭對手的實際情況,因此他們只能在沒有任何證據的情況下說自己的工具更好。
好消息是,越來越多的廠商開始允許客戶自助試用產品。這對廠商和甲方來說都是一件好事。
- 甲方可以在不完全部署的情況下快速試用這些工具,了解產品的功能、部署的難易程度和整體感覺。這些POC應允許客戶引入自己的數據集進行快速評估。
- 對于廠商來說,這種快速的POC是一種很好的方式來吸引潛在的客戶,否則他們可能會更不情愿使用。此外,廠商還可以更快地獲得有關其產品的反饋,而不必等待整個部署周期。
實用主義VS過度依賴最佳實踐
伊恩還主張業界應杜絕使用最佳實踐,而不是擁抱它們。他認為:”最好的辦法是由機構(協會或監管機構)來做,這些機構應鼓勵大膽的嘗試和差異化,而不是一成不變和畏首畏尾。避免使用最佳實踐,促進信息公開共享,并堅持讓群體成員找到自己的道路,這樣的機構才能發揮更好的作用”。
鑒于業界正在推動標準化,這種觀點雖然有些反其道而行之,但確實有其價值。我們明確一點:對于正在尋找一種簡單方法來開始安全工作的企業來說,最佳實踐清單可以提供一個快速的操作指南。除此之外,必須強調的是,合規不等于安全,企業必須了解自身的風險狀況,并據此做出決策,而不是盲目依賴”最佳實踐”。
加強對安全廠商的問責制
美國政府持續推動安全事件披露,提高事件透明度。美國證券交易委員會新發布的安全披露規則要求公司分享有關如何管理網絡風險的信息,并在措施不到位并導致重大事故時進行報告。
隨著對這一領域的監管不斷加強,我們也期待未來對廠商可以”宣傳”的內容,以及他們可以在沒有任何證據的情況下提出的主張,有更嚴格的要求。
何去何從?從評估安全性到建立彈性系統
文章指出,”原則上,我們可以用基本指標取代上述特征。在教育領域,難以捉摸的指標是生產率。在安全領域,這是一個開放的研究領域,因此,除了強調安全指標研究的重要性之外,我們幾乎沒有什么定論。這種方法將使每家代理機構的產品從最佳實踐轉向關注更精確的指標。其精確性將更明確地與每家代理機構的具體情況相關聯,從而迫使更多的地方協調和更大的部門多樣化”。
迄今為止,我們在評估安全性方面的嘗試大多以失敗告終。如果我們能夠轉變思維方式,將安全視為我們為實現彈性而購買的東西,會怎樣呢?憑感覺是無法測試或驗證的,它只能被當作表面價值。另一方面,彈性可以從統計學角度證明某樣東西有多強大,可以抵御哪些類型的攻擊?可以抵御多久?以及在什么樣的情況下可以保持其特性?
最近有很多關于”默認安全”系統的討論。谷歌專門就構建安全可靠的系統這一主題寫了一整本書。Windows和macOS等主要操作系統以及Chrome等瀏覽器就是此類彈性系統的完美范例。Chrome瀏覽器本質上就是以一種安全可靠的方式在你的機器上運行任意Javascript/代碼。在實現這種安全的過程中,我們采取了大量緩解措施,并不斷努力跟上不斷演變的攻擊。但這是可能的,我們所依賴的這些基本平臺就是最好的證明。
同樣,如今我們已經不再談論”緩沖區溢出”了。這是因為業界已經通過各種緩解解決方案的組合,如地址空間布局隨機化(ASLR)、數據執行防護(DEP)、更好的模糊/錯誤查找工具,甚至是內存安全編程語言,使商業軟件更能抵御漏洞利用。
我們認為這才是王道。試圖量化安全將是一場失敗的戰斗。不過,作為一個行業,我們可以繼續腳踏實地,繼續建設更具彈性的系統。
原文鏈接:
https://ventureinsecurity.net/p/cybersecurity-is-not-a-market-for
來源:安全喵喵站