多年來��,見證了網(wǎng)絡(luò)安全領(lǐng)域的許多趨勢和模式。有些人很樂觀����,這讓我對安全的未來充滿希望����,而另一些人則不那么樂觀����。在所有這些模式中,有兩種模式最突出�,我稱之為網(wǎng)絡(luò)安全的主要罪過:
很多時候,網(wǎng)絡(luò)安全從業(yè)人員認為我們行業(yè)今天遇到的每一個挑戰(zhàn)都是新的�����,其他領(lǐng)域的人從未面臨過�����。這種信念使我們浪費精力試圖重新發(fā)明輪子�����,而不是首先求助于比我們更成熟的行業(yè)的知識����,例如軟件工程��、質(zhì)量保證���、信息技術(shù)、心理學(xué)等����。
很多時候,網(wǎng)絡(luò)安全從業(yè)人員認為我們今天遇到的每一個挑戰(zhàn)都是新的��,在我們自己的行業(yè)中以前從未處理過��。這種信念促使我們在了解過去是否觀察到相同的問題之前�,先開始尋找解決方案,并記錄上一代安全從業(yè)者����、創(chuàng)始人和行業(yè)領(lǐng)導(dǎo)者以前是如何解決的��。
在以前的許多文章中都討論了前者���,例如“將軟件工程原則�����、系統(tǒng)和流程引入網(wǎng)絡(luò)安全”和“滲透測試如何反映質(zhì)量保證的演變”���。在這篇文章中����,我將介紹后者���。
1995年����,在有300多名參與者參加的Crypto'95會議上����,當時被認為是一場規(guī)模宏大的網(wǎng)絡(luò)安全活動,AdiShamir發(fā)表了題為“密碼學(xué)—神話與現(xiàn)實”的演講���。正是在那次演講中���,他提出了現(xiàn)在著名的商業(yè)安全10誡。
AdiShamir并不為新一代安全創(chuàng)始人和從業(yè)者所熟知����,但他應(yīng)該為人所知�����。1977年在麻省理工學(xué)院工作時�,Shamir�����、Rivest和Adleman開發(fā)了RSA���,這是一種用于保護互聯(lián)網(wǎng)的加密算法(RSA是他們姓氏的首字母縮寫詞)��。今天的RSAConference(RSAC)以他的名字命名�。Shamir后來與RonaldL.Rivest和LeonardM.Adleman一起獲得了圖靈獎����,該獎被稱為計算機科學(xué)家的諾貝爾獎。
近30年后的今天���,沙米爾的10條誡命仍然和當時一樣有效。
01����、不要以完美的安全性為目標
所以��,要現(xiàn)實一點�����,在你的能力范圍內(nèi)盡你所能�。粗略地說��,你應(yīng)該將安全支出翻倍�����,以將風(fēng)險減半��。
不存在完美安全性的事實在三十年前就已經(jīng)為人所知�����。安全團隊總是可以做得更多����,但到了某個時候,新投資的回報率開始越來越低�����。安全領(lǐng)域最不滿意的人是理想主義者,因為他們總是覺得企業(yè)不夠關(guān)心���。實用主義者明白�����,這不僅僅是試圖在安全方面贏得更多的錢�;每一美元都必須以能夠為整個公司產(chǎn)生最高回報的方式分配���。有時���,當根本沒有安全程序時,那很可能就是安全����。盡管如此,在其他時候�,投資于國際擴張、營銷����、研發(fā)或其他產(chǎn)生最高回報的領(lǐng)域更有意義�����。
網(wǎng)絡(luò)安全是一項業(yè)務(wù)支持職能,因此安全團隊必須習(xí)慣于非線性擴展��,類似于人力資源或IT等其他部門�����。這也意味著��,明確計算安全投資回報(ROI)很困難��。比如說��,如果我們在我們的安全計劃中再投資100萬美元�����,我們將獲得多少安全性�?1%?10%?60%?這很難衡量,如果真的取得了成功�,就更難衡量了。同時��,我們通常可以更確定投資100萬美元的銷售投資回報率���。安全領(lǐng)導(dǎo)者絕對應(yīng)該繼續(xù)倡導(dǎo)安全需求�����,同時也要認識到他們需要利用所擁有的資源做到最好�����。
同樣的原則也適用于安全初創(chuàng)公司��。無論他們多么努力���,他們都永遠無法阻止所有安全漏洞,消除所有零日漏洞����,并檢測所有高級持續(xù)威脅(APT)。任何提出相反建議的人都會立即失去可信度��,因為這不是安全工作的運作方式�����。網(wǎng)絡(luò)安全供應(yīng)商不應(yīng)該以完美的安全性為目標或承諾完美的安全性,而應(yīng)該現(xiàn)實一點����,專注于提供可能和可行的東西。
02���、不要解決錯誤的問題
“例如,請注意���,美國銀行每年因支票欺詐而損失100億美元�,但只有500萬美元因在線欺詐而損失�。”
從廣義上講,安全需求有三個驅(qū)動因素:攻擊者活動�。每天,不良行為者都在尋找新的方法來實現(xiàn)他們的目標����,其中包括尋找新的漏洞和新的攻擊媒介。監(jiān)管變化����。政府和其他監(jiān)管機構(gòu)不斷評估哪些安全措施應(yīng)該是強制性的,哪些應(yīng)該推薦為最佳實踐�����,并制定新的指南、標準和要求���。技術(shù)變化�����。技術(shù)在不斷發(fā)展����,新技術(shù)的采用需要新的方法來保護它�����。安全團隊一直在監(jiān)控正在發(fā)生的事情���,并決定他們應(yīng)該如何應(yīng)對����?�?偸怯袩o數(shù)的新發(fā)展,因此跟蹤所有這些并且不失去焦點需要大量的紀律�。安全領(lǐng)導(dǎo)者和從業(yè)者必須確保他們始終專注于解決業(yè)務(wù)中最重要的問題。專注于重要的事情需要第一原則思考���,確定導(dǎo)致特定組織中最具影響力的問題的原因��,并追究這些問題�����。做到這一點并不容易,因為安全需求的所有三個驅(qū)動因素(攻擊者活動��、監(jiān)管變化和技術(shù)變化)都推動了新初創(chuàng)公司���、新方法和解決舊問題的新方法的出現(xiàn)�。初創(chuàng)公司從投資者那里籌集了資金���,努力讓買家了解他們正在解決的問題��。如果您傾聽創(chuàng)始人的意見���,很快就會注意到,無論他們公司做什么,都必須是CISO的首要任務(wù)���。正是這一點導(dǎo)致了超過90%的漏洞(如果不是�,明天肯定會這樣做���,因此安全領(lǐng)導(dǎo)者最好積極主動)����。
在所有這些噪音中�,安全領(lǐng)導(dǎo)者必須始終關(guān)注他們受雇保護的組織的利益。通常��,這意味著要調(diào)整他們對新技術(shù)的興奮節(jié)奏��,并回歸基本面����。雖然一些新的AI生成的威脅或新的民族國家APT明天可能確實會成為一個問題,但今天它們的主要關(guān)注點可能仍然是MFA執(zhí)行和電子郵件安全�����。同樣的事情也適用于初創(chuàng)公司�����。創(chuàng)始人經(jīng)常對新技術(shù)感到興奮,而忽略了一些最“實質(zhì)性”的問題是那些已經(jīng)存在了十年或二十年��、被很好地理解但仍未解決的問題�����。
03��、不要自下而上出售安全
“(就人員等級而言)����。”
令人著迷的是,三十年前�����,人們對市場有足夠的了解表明����,自下而上的銷售在網(wǎng)絡(luò)安全中行不通�。更令人難以置信的是,這幾乎沒有什么變化�,這并不是因為缺乏嘗試。
幾十年來,我們一直在努力尋找一種方法�����,讓安全從業(yè)人員支持他們喜歡的解決方案�����,但在大多數(shù)情況下�����,我們都沒有成功���。有一些例外����,每個例外都帶有很多腳注���。例如Auth0在產(chǎn)品主導(dǎo)型增長(PLG)方面取得了令人難以置信的成功�,但如果我們仔細觀察��,我們會意識到他們并沒有向安全團隊銷售安全產(chǎn)品��。相反,他們出售的是一種工具��,可以抽象出實施身份驗證的復(fù)雜性�。我們已經(jīng)學(xué)到了足夠的知識,知道由于多種原因�����,除了云原生風(fēng)險投資支持的初創(chuàng)公司的安全工程師之外����,安全從業(yè)者沒有足夠的權(quán)力讓供應(yīng)商完成銷售流程。軟件工程師����、IT團隊和其他人也不認為安全是他們需要擔(dān)心的事情,因此他們不購買安全工具��。
Sourcefire成功地通過自下而上的方式進行銷售�,但那是因為它建立在Snort之上�����,而Snort是一個開源項目�����,當時獲得了巨大的吸引力。值得注意的是����,雖然有幾個開源項目隨著時間的推移演變成非常成功的公司,但它們都是在維護者看到擴展社區(qū)廣泛喜愛和采用的東西的機會時自然發(fā)生的���。另一方面�����,據(jù)我所知�����,嘗試通過首先設(shè)計開源版本并嘗試將其用作商業(yè)產(chǎn)品的“特洛伊木馬”來構(gòu)建商業(yè)安全產(chǎn)品�,但從未產(chǎn)生過令人難以置信的結(jié)果�。
04、不要過度使用加密
在我看來��,“即使是糟糕的加密貨幣通常是系統(tǒng)的強大部分”是一個很好的提醒���,安全團隊應(yīng)該尋求利用其他人已經(jīng)構(gòu)建的東西�����,這樣他們就可以專注于特定于其環(huán)境的未解決的問題��,而不是不必要地重新發(fā)明輪子��。雖然最初的觀點是關(guān)于密碼學(xué)的����,但我認為它幾乎適用于人們可能試圖做所謂的“無差別繁重的工作”的任何其他領(lǐng)域。
許多安全人員有一種強烈的傾向�����,即專注于他們最熱衷的領(lǐng)域�,而忽略了最需要關(guān)注的領(lǐng)域。這并不是安全部門獨有的�,例如,軟件工程師也喜歡這樣做����。不同之處在于,在軟件工程等領(lǐng)域�,我們建立了堅實的系統(tǒng)和實踐(例如產(chǎn)品管理)����,這些系統(tǒng)和實踐始終力求使團隊的工作與業(yè)務(wù)的最高優(yōu)先級保持一致���。由于各種原因,安全仍然缺乏這種思維方式�,在許多公司中,安全從業(yè)人員將時間和精力投入到對處于成熟階段的組織來說不是最有價值的領(lǐng)域����。
解決非關(guān)鍵問題的相同模式也被網(wǎng)絡(luò)安全初創(chuàng)公司的創(chuàng)始人重復(fù)。他們中的許多人創(chuàng)辦的公司本質(zhì)上是與行業(yè)真正需求相去甚遠的激情項目��。尤其是安全純粹主義者���,他們經(jīng)?�;ㄙM數(shù)年時間試圖將某些東西提高到99.9%����,而80%就足夠了�。雖然追求某人樂于解決的問題肯定沒有錯,但當這些公司籌集資金時��,他們往往會陷入困境�����,因為客戶對“足夠好”的解決方案感到滿意。
05�、供不要讓它復(fù)雜化
“這會產(chǎn)生更多攻擊系統(tǒng)的地方,并鼓勵用戶尋找繞過安全的方法���。”
今天����,我們經(jīng)常談?wù)撨@樣一個事實�����,即安全工具蔓延是危險的�����,因為它擴大了公司的攻擊面�,使不良行為者更容易發(fā)現(xiàn)和利用漏洞。想想我們最終遇到了供應(yīng)商蔓延的問題��,盡管至少從1995年開始就知道潛在的風(fēng)險�����,這真是令人著迷!
控制措施越復(fù)雜��,安全團隊需要花費更多時間將它們整合到一個有凝聚力的計劃中��,長期維護起來就越麻煩����,安全領(lǐng)導(dǎo)者就越難了解哪些區(qū)域覆蓋良好��,哪些區(qū)域缺乏���。毫無疑問��,不必要的復(fù)雜性會讓安全團隊的工作變得更加困難��,但真正的危險在于它如何影響員工�?����?刂拼胧┰綇?fù)雜�,對用戶體驗的影響越大,人們就越有可能找到規(guī)避它們的方法。這是完全有道理的����,因為用戶總是會尋求摩擦最少的方式來完成他們的工作(即使這也意味著最不安全的方式)。
在網(wǎng)絡(luò)安全領(lǐng)域���,我們經(jīng)常重復(fù)安全團隊需要事半功倍的口頭禪��。偶爾�,我在想����,也許我們應(yīng)該努力去做......少?也許���,控制措施較少但專注于影響最大的項目可能會導(dǎo)致更強大的安全覆蓋范圍����。在安全方面做事的最佳方式是通過設(shè)計構(gòu)建安全的系統(tǒng)����;第二種最佳方法是以使安全行為成為最順暢的行為的方式對安全性進行分層。當人們不得不加倍努力去做不安全的事情����,而不是安全地做事時���,那時我們就會知道我們是在以正確的方式做事。
相同的原則—“不要讓它變得復(fù)雜”����,適用于供應(yīng)商構(gòu)建和營銷安全解決方案的方式:通常���,創(chuàng)始人推銷公司的方式讓人無法理解他們的工具實際上解決了什么問題�����。他們愛上了技術(shù)���,而忽視了對買家來說重要的事情。
安全領(lǐng)導(dǎo)者和從業(yè)者能夠理解公司營銷其產(chǎn)品的方式極為罕見���。人們可以花費數(shù)小時閱讀營銷材料和面向公眾的文檔�,但仍然不知道解決方案(或問題)是什么��。我們的營銷過于復(fù)雜����。
大多數(shù)安全產(chǎn)品的構(gòu)建方式不僅忽視了用戶體驗的最佳實踐�,還忽視了這些工具的構(gòu)建者與軟件本身交互的方式�。我們已經(jīng)習(xí)慣了笨重的工具,界面令人困惑��,需要花費數(shù)小時閱讀文檔�����、參加培訓(xùn)課程和學(xué)習(xí)新術(shù)語�����。圍繞用戶體驗的問題不僅增加了安全工具的所有權(quán)��,而且還使安全從業(yè)人員更有可能錯誤配置它們���,無法維護安全覆蓋范圍或完全利用供應(yīng)商提供的產(chǎn)品��。人們部署安全工具并支付訂閱費用后�,才意識到該產(chǎn)品本應(yīng)提供的大約50%的覆蓋范圍已被禁用����,這種情況并不少見�。
06���、不要讓它變得昂貴
網(wǎng)絡(luò)安全成本高昂���,我們作為一個行業(yè)已經(jīng)習(xí)慣了它。不僅如此�����,我們還開始相信它必須如此�����。由于安全購買的主要驅(qū)動力是合規(guī)性��,而大型上市公司往往受到最嚴格的監(jiān)管�����,因此供應(yīng)商主要針對財力雄厚的大型企業(yè)構(gòu)建產(chǎn)品��。其后果之一是�����,大多數(shù)安全工具對于無法為安全分配數(shù)百萬甚至數(shù)十億美元的組織來說根本負擔(dān)不起����,這導(dǎo)致了網(wǎng)絡(luò)安全貧困線。
每當某些供應(yīng)商的收費低于其競爭對手時�����,習(xí)慣于為新功能支付高昂費用的安全領(lǐng)導(dǎo)者就會變得非常懷疑���。我聽說過幾個故事��,說一個好的解決方案會輸給競爭對手���,因為CISO認為他們要求的價格低得可疑,因此他們的產(chǎn)品在覆蓋范圍和可靠性方面肯定更差��。安全領(lǐng)導(dǎo)者更有可能購買更昂貴的工具并協(xié)商一些折扣���,而不是考慮一開始就更便宜的替代方案���。這個悖論并非安全所獨有,它只是我們學(xué)會感知價格和質(zhì)量之間關(guān)系的方式����。這些心理黑客也是我們認為最好以50%的折扣“打折”的東西�,折扣后最終價格為100美元的東西���,而不是從一開始就定價為100美元的東西���。
不僅網(wǎng)絡(luò)安全買家和賣家將安全成本高昂的事實正常化����,整個科技行業(yè)也是如此。安全從業(yè)者對所謂的SSO稅和審計日志稅有很多不滿�。各種規(guī)模的科技公司已經(jīng)學(xué)會了讓客戶支付高昂的錢,只是為了獲得基本的安全功能�����。這與允許汽車行業(yè)對提供安全帶額外收取50%-1000%的費用沒有什么不同�����。然而��,由于這是正常的���,我們不太可能看到任何變化��。正如我之前解釋的那樣���,這些問題源于科技行業(yè)產(chǎn)品管理實踐的不成熟度,以及安全需求是SaaS公司在為其產(chǎn)品定價時可以依賴的非常方便的捷徑這一事實�����。
07���、不要使用單一的防線
“具有多層�����,因此無需更換昂貴的主線即可保持安全性����。”
“不使用單道防線”是我們作為一個行業(yè)一直全心全意擁護但同時完全忽視的原則之一�。
從積極的一面來看,公司依靠防火墻或防病毒軟件等單一安全工具來保護他們免受一切可能出錯的日子已經(jīng)一去不復(fù)返了����。這部分是因為作為一個行業(yè)已經(jīng)成熟�,因此我們明白沒有靈丹妙藥����,部分原因是潛在攻擊媒介的數(shù)量呈爆炸式增長。現(xiàn)在���,框架和合規(guī)性標準加強了對整體安全計劃需要涵蓋許多領(lǐng)域的深刻理解��,從網(wǎng)絡(luò)到端點����、身份���、云和應(yīng)用程序安全�,再到電子郵件安全�����、API安全�����、SaaS安全����、數(shù)據(jù)安全等。
從不太積極的一面來看�,我們希望將所有安全工具整合到“單一管理平臺”下,我們正自信地邁向幾個大型供應(yīng)商同時轉(zhuǎn)變?yōu)閱我环谰€和單一故障點的世界�。正如我在之前的一篇文章中解釋的那樣,“......任何整體式平臺都會隨著規(guī)模的增長而變得不那么安全��。有機會使用大型傳統(tǒng)平臺(無論是SAP��、Salesforce還是Workday)的人都知道�,平臺越大,效率就越低��。此外
• 大型平臺淹沒在技術(shù)債務(wù)中�。
• 大型平臺的支持渠道較差。
• 大型平臺變得非常難以實現(xiàn)���,尤其是在需要定制的領(lǐng)域�。
• 大型平臺很昂貴���,因為大多數(shù)客戶都為他們永遠不會使用的大量功能付費�。
• 大型平臺成本高昂,因為它們嵌入客戶工作流程的深度越深�,覆蓋的領(lǐng)域越多,切換就越困難����,平臺供應(yīng)商對買方的權(quán)力就越大。
最后但并非最不重要的一點是�����,平臺越大�,其表面積就越大,最終引入的漏洞就越多�。最重要的是,不良行為者發(fā)現(xiàn)��,將精力集中在一個可以打開所有門的單一工具上挖漏洞更容易����,從而導(dǎo)致最大的安全產(chǎn)品也可能成為最不安全的單一故障點。
作為一個行業(yè)����,我們必須注意在嘗試減少供應(yīng)商數(shù)量時走得太遠。這不是一個容易解決的問題��,因為一方面��,我們需要簡化我們的堆棧�,另一方面,我們必須避免組裝安全怪物��。我最近意識到�����,整合工具并不一定會導(dǎo)致簡化���。很多時候���,情況恰恰相反。我們必須關(guān)注兩個維度:技術(shù)和預(yù)算���。從采購和預(yù)算的角度來看��,將多種能力整合到一個供應(yīng)商確實幾乎總是會導(dǎo)致簡化�����。這是有道理的���,因為CISO可以與一個(一個供應(yīng)商�����、一個合同���、捆綁價格、一個支持團隊等)打交道���,而不是與五個供應(yīng)商打交道�����,用他們自己的定價����、續(xù)訂節(jié)奏等談判五個單獨的合同���。問題在于����,通常�,轉(zhuǎn)向單一供應(yīng)商會使技術(shù)方面復(fù)雜化����。許多所謂的平臺本質(zhì)上是數(shù)十個不相交的工具拼湊成一個解決方案的集合體���。有些人可能投入了大量時間和精力來集成這些單獨的工具,其中大多數(shù)可能是購買的����,而不是內(nèi)部構(gòu)建的,但其他人則沒有����。處理各種鵝卵石工具,這些工具都有自己的數(shù)據(jù)標準�����、API規(guī)范����、架構(gòu)差異等,成本可能非常高���。也就是說��,合并合同可能會簡化采購��,但會使技術(shù)環(huán)境復(fù)雜化并增加總擁有成本�����。
08���、不要忘記“神秘攻擊”
“即使您不知道出了什么問題���,也能夠重新生成安全性。例如��,智能卡是可攻擊的��,但非常適合快速廉價的恢復(fù)��。”
盡管我們有數(shù)千種工具專注于檢測不同資產(chǎn)類別(如用戶��、網(wǎng)絡(luò)�����、端點����、應(yīng)用程序和數(shù)據(jù))��,但我們不能指望能夠預(yù)防��、檢測和修復(fù)每一個威脅��。有些事情不可避免地會溜走�����,而有些事情可能是完全出乎意料的,而且很難或完全無法解釋�����。因此����,我們的重點應(yīng)該放在韌性上,而不僅僅是預(yù)防�、檢測和響應(yīng)。
韌性對不同的人意味著不同的事情�����。從根本上講,這是為了確保公司能夠抵御攻擊并從中恢復(fù)����。在過去十年中,我們在災(zāi)難恢復(fù)和彈性方面有所改進���。然而���,許多想法仍然只是那樣,想法和許多最佳實踐在很大程度上仍然被忽視���。例如�����,已經(jīng)有很多關(guān)于自我修復(fù)API���、自我修復(fù)網(wǎng)絡(luò)和其他能夠承受威脅和意外變化的自我修復(fù)系統(tǒng)的討論,無論是由不良行為者還是系統(tǒng)故障引起的����,但到目前為止,這些大多只是想法。
安全供應(yīng)商應(yīng)該構(gòu)建能夠應(yīng)對神秘攻擊的產(chǎn)品�����,并為客戶提供更容易預(yù)防�����、檢測和恢復(fù)攻擊的工具����。這可能包括用于追溯性威脅搜尋的遙測存儲、超越靜態(tài)規(guī)則���、實施用于異常檢測的機器學(xué)習(xí)等。
09�、不要信任系統(tǒng)
到2024年,零信任無疑已成為我們行業(yè)的一個流行語�����。越來越多的公司開始接受系統(tǒng)不可信的想法����,實施微分段、設(shè)備信任���、持續(xù)驗證�����、工作負載監(jiān)控��、安全訪問服務(wù)邊緣(SASE)解決方案和其他看似新的方法����。然而,閱讀1995年被捕獲為安全核心支柱之一的內(nèi)容—“不要信任系統(tǒng)”���,可以清楚地看到ZeroTrust并不是什么新鮮事物�����。
每個人和每件事都需要不斷驗證的想法在網(wǎng)絡(luò)安全領(lǐng)域已經(jīng)存在了幾十年�����,我們花了這么長時間才開始在行業(yè)層面實施它�。“開始”這個詞在這里很關(guān)鍵:雖然61%的公司聲稱正在實施ZeroTrust計劃�����,但目前尚不清楚ZeroTrust采用的實際深度。這是因為ZeroTrust首先是構(gòu)建系統(tǒng)的一種方式�����,而不是公司可以購買來變得“安全”的工具�。真正的ZeroTrust需要大量的意圖,并且需要從根本上重建公司授予�、驗證和撤銷對其系統(tǒng)的訪問權(quán)限的方式。做好這件事是很困難的����,如果十年后會再次推動ZeroTrust的另一次迭代,我不會感到驚訝����。
不信任系統(tǒng)的另一個方面是確保我們不會盲目信任我們依賴的第三方。鑒于第三方風(fēng)險已經(jīng)變成了使用ChatGPT填寫問卷的游戲����,而投資供應(yīng)鏈安全的夢想仍然只是一個夢想��,這無疑是一個痛苦的話題��。安全供應(yīng)商尤其必須小心他們的第三方依賴項:由于網(wǎng)絡(luò)安全產(chǎn)品獲得大量訪問權(quán)限和高度敏感的權(quán)限,初創(chuàng)公司有責(zé)任確保它們不會成為攻擊者的“特洛伊木馬”�����。
10���、不要相信人
很多時候����,如果行業(yè)完全同意一件事���,那就是建議我們不應(yīng)該相信人的原則����。然而���,當我們仔細研究這方面時����,事情很快就開始瓦解了����。
安全從業(yè)者非常擅長在他們旨在保護的公司中建立零信任心態(tài)�����。然而����,這種心態(tài)通常以財務(wù)����、銷售、營銷和客戶支持為終點�,這些“已知”是安全環(huán)境中最嚴重的違規(guī)者。在保護開發(fā)人員���,尤其是公司高管和董事會成員方面�����,這就是事情變得復(fù)雜的地方��。公司圍繞MFA創(chuàng)建例外或規(guī)避其他一些常識性控制并非聞所未聞��,因為CEO或董事會成員(具有諷刺意味的是,他們有很多訪問高度敏感文檔的人)只是不想處理額外的摩擦�。
雖然我們作為一個行業(yè)已經(jīng)學(xué)會了不信任我們公司的員工�,但令人著迷的是�,我們在其他情況下繼續(xù)信任人們。例如
• 雖然我們并不缺乏持續(xù)合規(guī)監(jiān)控的工具����,但我們在很大程度上仍然依賴于屏幕截圖和書面證明等時間點證據(jù)。這個“證據(jù)”并不能證明公司在任何時候都是合規(guī)的��,而是證明它在接受審計時是合規(guī)的���。
• 網(wǎng)絡(luò)保險承保仍然專注于高層次的問題����,即使它們變得越來越細化�。我們沒有尋找方法來收集證據(jù)證明買家確實在做他們聲稱正在做的事情,而是繼續(xù)詢問諸如“您是否啟用了MFA���?是還是不是�����?
• 整個第三方風(fēng)險領(lǐng)域都建立在合規(guī)性的自我證明之上�����。雖然在大多數(shù)情況下�,實際的第三方風(fēng)險是通過合同和供應(yīng)商協(xié)議轉(zhuǎn)移的,但我們?nèi)栽诶^續(xù)玩這種請求和回答安全問卷的游戲�����。如今��,隨著人工智能和ChatGPT的進步�����,市場上充斥著工具�����,這些工具一方面幫助填寫這些問卷���,另一方面允許買家“總結(jié)”供應(yīng)商的回答��。
• 該行業(yè)繼續(xù)依賴專家評論和認可作為購買過程的一部分���。行業(yè)分析師的意見、CISO社區(qū)的認可�����、客戶推薦和其他類型的信任因素會極大地影響初創(chuàng)公司獲得早期關(guān)注的可能性���。
• 在評估對照的有效性時�����,我們繼續(xù)依賴軼事證據(jù)��。DanielGeer��、KevinSooHoo和AndrewJaquith描述為“神諭和占卜師”的現(xiàn)象繼續(xù)存在����,幾乎沒有證據(jù)表明它會在短期內(nèi)改變��。
作為人類�,我們不能生活在持續(xù)的零信任狀態(tài)中。歸根結(jié)底�����,我們需要信任他人�����,與他人合作,并與周圍的人建立有意義的關(guān)系�����。重要的是����,我們明智地選擇信任誰,并了解在任何特定情況下有哪些激勵措施在起作用�����。我們在這方面取得了很大進展�����,為安全領(lǐng)導(dǎo)者和ISAC等建立了私人社區(qū)���,但我們可以做的還有很多�����。
自從AdiShamir發(fā)表他的著名演講并揭開商業(yè)安全的10條誡命以來�,已經(jīng)過去了近30年。30年對我們行業(yè)來說是一段非常長的時間(也差不多是CISO角色存在的時間)�����,但對于其他成熟知識領(lǐng)域(如法律�����、醫(yī)學(xué)或會計)來說����,這只是滄海一粟�。
年輕一代的安全從業(yè)者被引導(dǎo)相信,我們行業(yè)今天面臨的問題在某種程度上是新的�。正如本文旨在強調(diào)的那樣,他們并非如此��。三十年前���,有人警告我們不要自下而上地銷售安全性���,不要浪費時間解決對我們的安全沒有意義貢獻的問題領(lǐng)域,也不要使我們的基礎(chǔ)設(shè)施過于復(fù)雜。三十年前��,有人警告我們���,系統(tǒng)和人員不可信�。這是否意味著該行業(yè)已經(jīng)回到了以前的位置���?當然不是��。這意味著我們必須繼續(xù)關(guān)注基本面�。安全領(lǐng)導(dǎo)者���、安全從業(yè)人員和安全創(chuàng)始人都必須牢記真正的優(yōu)先事項是什么以及大多數(shù)攻擊的來源�。具有諷刺意味的是���,這種情況也沒有太大改變(盡管我們無疑取得了很大進展)��。
當我們尋求構(gòu)建安全的未來時�,讓我們都記住AdiShamir和我們之前的一代人留給我們的10條誡命��。
來源:https://ventureinsecurity.net/p/10-principles-for-building-cybersecurity
來源:安全光年
在線咨詢
在線咨詢
0371-63319761