多年来,见证了网络安全领域的许多趋势和模式。有些人很乐观,这让我对安全的未来充满希望,而另一些人则不那么乐观。在所有这些模式中,有两种模式最突出,我称之为网络安全的主要罪过:
很多时候,网络安全从业人员认为我们行业今天遇到的每一个挑战都是新的,其他领域的人从未面临过。这种信念使我们浪费精力试图重新发明轮子,而不是首先求助于比我们更成熟的行业的知识,例如软件工程、质量保证、信息技术、心理学等。
很多时候,网络安全从业人员认为我们今天遇到的每一个挑战都是新的,在我们自己的行业中以前从未处理过。这种信念促使我们在了解过去是否观察到相同的问题之前,先开始寻找解决方案,并记录上一代安全从业者、创始人和行业领导者以前是如何解决的。
在以前的许多文章中都讨论了前者,例如“将软件工程原则、系统和流程引入网络安全”和“渗透测试如何反映质量保证的演变”。在这篇文章中,我将介绍后者。
1995年,在有300多名参与者参加的Crypto'95会议上,当时被认为是一场规模宏大的网络安全活动,AdiShamir发表了题为“密码学—神话与现实”的演讲。正是在那次演讲中,他提出了现在著名的商业安全10诫。
AdiShamir并不为新一代安全创始人和从业者所熟知,但他应该为人所知。1977年在麻省理工学院工作时,Shamir、Rivest和Adleman开发了RSA,这是一种用于保护互联网的加密算法(RSA是他们姓氏的首字母缩写词)。今天的RSAConference(RSAC)以他的名字命名。Shamir后来与RonaldL.Rivest和LeonardM.Adleman一起获得了图灵奖,该奖被称为计算机科学家的诺贝尔奖。
近30年后的今天,沙米尔的10条诫命仍然和当时一样有效。
01、不要以完美的安全性为目标
所以,要现实一点,在你的能力范围内尽你所能。粗略地说,你应该将安全支出翻倍,以将风险减半。
不存在完美安全性的事实在三十年前就已经为人所知。安全团队总是可以做得更多,但到了某个时候,新投资的回报率开始越来越低。安全领域最不满意的人是理想主义者,因为他们总是觉得企业不够关心。实用主义者明白,这不仅仅是试图在安全方面赢得更多的钱;每一美元都必须以能够为整个公司产生最高回报的方式分配。有时,当根本没有安全程序时,那很可能就是安全。尽管如此,在其他时候,投资于国际扩张、营销、研发或其他产生最高回报的领域更有意义。
网络安全是一项业务支持职能,因此安全团队必须习惯于非线性扩展,类似于人力资源或IT等其他部门。这也意味着,明确计算安全投资回报(ROI)很困难。比如说,如果我们在我们的安全计划中再投资100万美元,我们将获得多少安全性?1%?10%?60%?这很难衡量,如果真的取得了成功,就更难衡量了。同时,我们通常可以更确定投资100万美元的销售投资回报率。安全领导者绝对应该继续倡导安全需求,同时也要认识到他们需要利用所拥有的资源做到最好。
同样的原则也适用于安全初创公司。无论他们多么努力,他们都永远无法阻止所有安全漏洞,消除所有零日漏洞,并检测所有高级持续威胁(APT)。任何提出相反建议的人都会立即失去可信度,因为这不是安全工作的运作方式。网络安全供应商不应该以完美的安全性为目标或承诺完美的安全性,而应该现实一点,专注于提供可能和可行的东西。
02、不要解决错误的问题
“例如,请注意,美国银行每年因支票欺诈而损失100亿美元,但只有500万美元因在线欺诈而损失。”
从广义上讲,安全需求有三个驱动因素:攻击者活动。每天,不良行为者都在寻找新的方法来实现他们的目标,其中包括寻找新的漏洞和新的攻击媒介。监管变化。政府和其他监管机构不断评估哪些安全措施应该是强制性的,哪些应该推荐为最佳实践,并制定新的指南、标准和要求。技术变化。技术在不断发展,新技术的采用需要新的方法来保护它。安全团队一直在监控正在发生的事情,并决定他们应该如何应对。总是有无数的新发展,因此跟踪所有这些并且不失去焦点需要大量的纪律。安全领导者和从业者必须确保他们始终专注于解决业务中最重要的问题。专注于重要的事情需要第一原则思考,确定导致特定组织中最具影响力的问题的原因,并追究这些问题。做到这一点并不容易,因为安全需求的所有三个驱动因素(攻击者活动、监管变化和技术变化)都推动了新初创公司、新方法和解决旧问题的新方法的出现。初创公司从投资者那里筹集了资金,努力让买家了解他们正在解决的问题。如果您倾听创始人的意见,很快就会注意到,无论他们公司做什么,都必须是CISO的首要任务。正是这一点导致了超过90%的漏洞(如果不是,明天肯定会这样做,因此安全领导者最好积极主动)。
在所有这些噪音中,安全领导者必须始终关注他们受雇保护的组织的利益。通常,这意味着要调整他们对新技术的兴奋节奏,并回归基本面。虽然一些新的AI生成的威胁或新的民族国家APT明天可能确实会成为一个问题,但今天它们的主要关注点可能仍然是MFA执行和电子邮件安全。同样的事情也适用于初创公司。创始人经常对新技术感到兴奋,而忽略了一些最“实质性”的问题是那些已经存在了十年或二十年、被很好地理解但仍未解决的问题。
03、不要自下而上出售安全
“(就人员等级而言)。”
令人着迷的是,三十年前,人们对市场有足够的了解表明,自下而上的销售在网络安全中行不通。更令人难以置信的是,这几乎没有什么变化,这并不是因为缺乏尝试。
几十年来,我们一直在努力寻找一种方法,让安全从业人员支持他们喜欢的解决方案,但在大多数情况下,我们都没有成功。有一些例外,每个例外都带有很多脚注。例如Auth0在产品主导型增长(PLG)方面取得了令人难以置信的成功,但如果我们仔细观察,我们会意识到他们并没有向安全团队销售安全产品。相反,他们出售的是一种工具,可以抽象出实施身份验证的复杂性。我们已经学到了足够的知识,知道由于多种原因,除了云原生风险投资支持的初创公司的安全工程师之外,安全从业者没有足够的权力让供应商完成销售流程。软件工程师、IT团队和其他人也不认为安全是他们需要担心的事情,因此他们不购买安全工具。
Sourcefire成功地通过自下而上的方式进行销售,但那是因为它建立在Snort之上,而Snort是一个开源项目,当时获得了巨大的吸引力。值得注意的是,虽然有几个开源项目随着时间的推移演变成非常成功的公司,但它们都是在维护者看到扩展社区广泛喜爱和采用的东西的机会时自然发生的。另一方面,据我所知,尝试通过首先设计开源版本并尝试将其用作商业产品的“特洛伊木马”来构建商业安全产品,但从未产生过令人难以置信的结果。
04、不要过度使用加密
在我看来,“即使是糟糕的加密货币通常是系统的强大部分”是一个很好的提醒,安全团队应该寻求利用其他人已经构建的东西,这样他们就可以专注于特定于其环境的未解决的问题,而不是不必要地重新发明轮子。虽然最初的观点是关于密码学的,但我认为它几乎适用于人们可能试图做所谓的“无差别繁重的工作”的任何其他领域。
许多安全人员有一种强烈的倾向,即专注于他们最热衷的领域,而忽略了最需要关注的领域。这并不是安全部门独有的,例如,软件工程师也喜欢这样做。不同之处在于,在软件工程等领域,我们建立了坚实的系统和实践(例如产品管理),这些系统和实践始终力求使团队的工作与业务的最高优先级保持一致。由于各种原因,安全仍然缺乏这种思维方式,在许多公司中,安全从业人员将时间和精力投入到对处于成熟阶段的组织来说不是最有价值的领域。
解决非关键问题的相同模式也被网络安全初创公司的创始人重复。他们中的许多人创办的公司本质上是与行业真正需求相去甚远的激情项目。尤其是安全纯粹主义者,他们经常花费数年时间试图将某些东西提高到99.9%,而80%就足够了。虽然追求某人乐于解决的问题肯定没有错,但当这些公司筹集资金时,他们往往会陷入困境,因为客户对“足够好”的解决方案感到满意。
05、供不要让它复杂化
“这会产生更多攻击系统的地方,并鼓励用户寻找绕过安全的方法。”
今天,我们经常谈论这样一个事实,即安全工具蔓延是危险的,因为它扩大了公司的攻击面,使不良行为者更容易发现和利用漏洞。想想我们最终遇到了供应商蔓延的问题,尽管至少从1995年开始就知道潜在的风险,这真是令人着迷!
控制措施越复杂,安全团队需要花费更多时间将它们整合到一个有凝聚力的计划中,长期维护起来就越麻烦,安全领导者就越难了解哪些区域覆盖良好,哪些区域缺乏。毫无疑问,不必要的复杂性会让安全团队的工作变得更加困难,但真正的危险在于它如何影响员工。控制措施越复杂,对用户体验的影响越大,人们就越有可能找到规避它们的方法。这是完全有道理的,因为用户总是会寻求摩擦最少的方式来完成他们的工作(即使这也意味着最不安全的方式)。
在网络安全领域,我们经常重复安全团队需要事半功倍的口头禅。偶尔,我在想,也许我们应该努力去做......少?也许,控制措施较少但专注于影响最大的项目可能会导致更强大的安全覆盖范围。在安全方面做事的最佳方式是通过设计构建安全的系统;第二种最佳方法是以使安全行为成为最顺畅的行为的方式对安全性进行分层。当人们不得不加倍努力去做不安全的事情,而不是安全地做事时,那时我们就会知道我们是在以正确的方式做事。
相同的原则—“不要让它变得复杂”,适用于供应商构建和营销安全解决方案的方式:通常,创始人推销公司的方式让人无法理解他们的工具实际上解决了什么问题。他们爱上了技术,而忽视了对买家来说重要的事情。
安全领导者和从业者能够理解公司营销其产品的方式极为罕见。人们可以花费数小时阅读营销材料和面向公众的文档,但仍然不知道解决方案(或问题)是什么。我们的营销过于复杂。
大多数安全产品的构建方式不仅忽视了用户体验的最佳实践,还忽视了这些工具的构建者与软件本身交互的方式。我们已经习惯了笨重的工具,界面令人困惑,需要花费数小时阅读文档、参加培训课程和学习新术语。围绕用户体验的问题不仅增加了安全工具的所有权,而且还使安全从业人员更有可能错误配置它们,无法维护安全覆盖范围或完全利用供应商提供的产品。人们部署安全工具并支付订阅费用后,才意识到该产品本应提供的大约50%的覆盖范围已被禁用,这种情况并不少见。
06、不要让它变得昂贵
网络安全成本高昂,我们作为一个行业已经习惯了它。不仅如此,我们还开始相信它必须如此。由于安全购买的主要驱动力是合规性,而大型上市公司往往受到最严格的监管,因此供应商主要针对财力雄厚的大型企业构建产品。其后果之一是,大多数安全工具对于无法为安全分配数百万甚至数十亿美元的组织来说根本负担不起,这导致了网络安全贫困线。
每当某些供应商的收费低于其竞争对手时,习惯于为新功能支付高昂费用的安全领导者就会变得非常怀疑。我听说过几个故事,说一个好的解决方案会输给竞争对手,因为CISO认为他们要求的价格低得可疑,因此他们的产品在覆盖范围和可靠性方面肯定更差。安全领导者更有可能购买更昂贵的工具并协商一些折扣,而不是考虑一开始就更便宜的替代方案。这个悖论并非安全所独有,它只是我们学会感知价格和质量之间关系的方式。这些心理黑客也是我们认为最好以50%的折扣“打折”的东西,折扣后最终价格为100美元的东西,而不是从一开始就定价为100美元的东西。
不仅网络安全买家和卖家将安全成本高昂的事实正常化,整个科技行业也是如此。安全从业者对所谓的SSO税和审计日志税有很多不满。各种规模的科技公司已经学会了让客户支付高昂的钱,只是为了获得基本的安全功能。这与允许汽车行业对提供安全带额外收取50%-1000%的费用没有什么不同。然而,由于这是正常的,我们不太可能看到任何变化。正如我之前解释的那样,这些问题源于科技行业产品管理实践的不成熟度,以及安全需求是SaaS公司在为其产品定价时可以依赖的非常方便的捷径这一事实。
07、不要使用单一的防线
“具有多层,因此无需更换昂贵的主线即可保持安全性。”
“不使用单道防线”是我们作为一个行业一直全心全意拥护但同时完全忽视的原则之一。
从积极的一面来看,公司依靠防火墙或防病毒软件等单一安全工具来保护他们免受一切可能出错的日子已经一去不复返了。这部分是因为作为一个行业已经成熟,因此我们明白没有灵丹妙药,部分原因是潜在攻击媒介的数量呈爆炸式增长。现在,框架和合规性标准加强了对整体安全计划需要涵盖许多领域的深刻理解,从网络到端点、身份、云和应用程序安全,再到电子邮件安全、API安全、SaaS安全、数据安全等。
从不太积极的一面来看,我们希望将所有安全工具整合到“单一管理平台”下,我们正自信地迈向几个大型供应商同时转变为单一防线和单一故障点的世界。正如我在之前的一篇文章中解释的那样,“......任何整体式平台都会随着规模的增长而变得不那么安全。有机会使用大型传统平台(无论是SAP、Salesforce还是Workday)的人都知道,平台越大,效率就越低。此外
• 大型平台淹没在技术债务中。
• 大型平台的支持渠道较差。
• 大型平台变得非常难以实现,尤其是在需要定制的领域。
• 大型平台很昂贵,因为大多数客户都为他们永远不会使用的大量功能付费。
• 大型平台成本高昂,因为它们嵌入客户工作流程的深度越深,覆盖的领域越多,切换就越困难,平台供应商对买方的权力就越大。
最后但并非最不重要的一点是,平台越大,其表面积就越大,最终引入的漏洞就越多。最重要的是,不良行为者发现,将精力集中在一个可以打开所有门的单一工具上挖漏洞更容易,从而导致最大的安全产品也可能成为最不安全的单一故障点。
作为一个行业,我们必须注意在尝试减少供应商数量时走得太远。这不是一个容易解决的问题,因为一方面,我们需要简化我们的堆栈,另一方面,我们必须避免组装安全怪物。我最近意识到,整合工具并不一定会导致简化。很多时候,情况恰恰相反。我们必须关注两个维度:技术和预算。从采购和预算的角度来看,将多种能力整合到一个供应商确实几乎总是会导致简化。这是有道理的,因为CISO可以与一个(一个供应商、一个合同、捆绑价格、一个支持团队等)打交道,而不是与五个供应商打交道,用他们自己的定价、续订节奏等谈判五个单独的合同。问题在于,通常,转向单一供应商会使技术方面复杂化。许多所谓的平台本质上是数十个不相交的工具拼凑成一个解决方案的集合体。有些人可能投入了大量时间和精力来集成这些单独的工具,其中大多数可能是购买的,而不是内部构建的,但其他人则没有。处理各种鹅卵石工具,这些工具都有自己的数据标准、API规范、架构差异等,成本可能非常高。也就是说,合并合同可能会简化采购,但会使技术环境复杂化并增加总拥有成本。
08、不要忘记“神秘攻击”
“即使您不知道出了什么问题,也能够重新生成安全性。例如,智能卡是可攻击的,但非常适合快速廉价的恢复。”
尽管我们有数千种工具专注于检测不同资产类别(如用户、网络、端点、应用程序和数据),但我们不能指望能够预防、检测和修复每一个威胁。有些事情不可避免地会溜走,而有些事情可能是完全出乎意料的,而且很难或完全无法解释。因此,我们的重点应该放在韧性上,而不仅仅是预防、检测和响应。
韧性对不同的人意味着不同的事情。从根本上讲,这是为了确保公司能够抵御攻击并从中恢复。在过去十年中,我们在灾难恢复和弹性方面有所改进。然而,许多想法仍然只是那样,想法和许多最佳实践在很大程度上仍然被忽视。例如,已经有很多关于自我修复API、自我修复网络和其他能够承受威胁和意外变化的自我修复系统的讨论,无论是由不良行为者还是系统故障引起的,但到目前为止,这些大多只是想法。
安全供应商应该构建能够应对神秘攻击的产品,并为客户提供更容易预防、检测和恢复攻击的工具。这可能包括用于追溯性威胁搜寻的遥测存储、超越静态规则、实施用于异常检测的机器学习等。
09、不要信任系统
到2024年,零信任无疑已成为我们行业的一个流行语。越来越多的公司开始接受系统不可信的想法,实施微分段、设备信任、持续验证、工作负载监控、安全访问服务边缘(SASE)解决方案和其他看似新的方法。然而,阅读1995年被捕获为安全核心支柱之一的内容—“不要信任系统”,可以清楚地看到ZeroTrust并不是什么新鲜事物。
每个人和每件事都需要不断验证的想法在网络安全领域已经存在了几十年,我们花了这么长时间才开始在行业层面实施它。“开始”这个词在这里很关键:虽然61%的公司声称正在实施ZeroTrust计划,但目前尚不清楚ZeroTrust采用的实际深度。这是因为ZeroTrust首先是构建系统的一种方式,而不是公司可以购买来变得“安全”的工具。真正的ZeroTrust需要大量的意图,并且需要从根本上重建公司授予、验证和撤销对其系统的访问权限的方式。做好这件事是很困难的,如果十年后会再次推动ZeroTrust的另一次迭代,我不会感到惊讶。
不信任系统的另一个方面是确保我们不会盲目信任我们依赖的第三方。鉴于第三方风险已经变成了使用ChatGPT填写问卷的游戏,而投资供应链安全的梦想仍然只是一个梦想,这无疑是一个痛苦的话题。安全供应商尤其必须小心他们的第三方依赖项:由于网络安全产品获得大量访问权限和高度敏感的权限,初创公司有责任确保它们不会成为攻击者的“特洛伊木马”。
10、不要相信人
很多时候,如果行业完全同意一件事,那就是建议我们不应该相信人的原则。然而,当我们仔细研究这方面时,事情很快就开始瓦解了。
安全从业者非常擅长在他们旨在保护的公司中建立零信任心态。然而,这种心态通常以财务、销售、营销和客户支持为终点,这些“已知”是安全环境中最严重的违规者。在保护开发人员,尤其是公司高管和董事会成员方面,这就是事情变得复杂的地方。公司围绕MFA创建例外或规避其他一些常识性控制并非闻所未闻,因为CEO或董事会成员(具有讽刺意味的是,他们有很多访问高度敏感文档的人)只是不想处理额外的摩擦。
虽然我们作为一个行业已经学会了不信任我们公司的员工,但令人着迷的是,我们在其他情况下继续信任人们。例如
• 虽然我们并不缺乏持续合规监控的工具,但我们在很大程度上仍然依赖于屏幕截图和书面证明等时间点证据。这个“证据”并不能证明公司在任何时候都是合规的,而是证明它在接受审计时是合规的。
• 网络保险承保仍然专注于高层次的问题,即使它们变得越来越细化。我们没有寻找方法来收集证据证明买家确实在做他们声称正在做的事情,而是继续询问诸如“您是否启用了MFA?是还是不是?
• 整个第三方风险领域都建立在合规性的自我证明之上。虽然在大多数情况下,实际的第三方风险是通过合同和供应商协议转移的,但我们仍在继续玩这种请求和回答安全问卷的游戏。如今,随着人工智能和ChatGPT的进步,市场上充斥着工具,这些工具一方面帮助填写这些问卷,另一方面允许买家“总结”供应商的回答。
• 该行业继续依赖专家评论和认可作为购买过程的一部分。行业分析师的意见、CISO社区的认可、客户推荐和其他类型的信任因素会极大地影响初创公司获得早期关注的可能性。
• 在评估对照的有效性时,我们继续依赖轶事证据。DanielGeer、KevinSooHoo和AndrewJaquith描述为“神谕和占卜师”的现象继续存在,几乎没有证据表明它会在短期内改变。
作为人类,我们不能生活在持续的零信任状态中。归根结底,我们需要信任他人,与他人合作,并与周围的人建立有意义的关系。重要的是,我们明智地选择信任谁,并了解在任何特定情况下有哪些激励措施在起作用。我们在这方面取得了很大进展,为安全领导者和ISAC等建立了私人社区,但我们可以做的还有很多。
自从AdiShamir发表他的著名演讲并揭开商业安全的10条诫命以来,已经过去了近30年。30年对我们行业来说是一段非常长的时间(也差不多是CISO角色存在的时间),但对于其他成熟知识领域(如法律、医学或会计)来说,这只是沧海一粟。
年轻一代的安全从业者被引导相信,我们行业今天面临的问题在某种程度上是新的。正如本文旨在强调的那样,他们并非如此。三十年前,有人警告我们不要自下而上地销售安全性,不要浪费时间解决对我们的安全没有意义贡献的问题领域,也不要使我们的基础设施过于复杂。三十年前,有人警告我们,系统和人员不可信。这是否意味着该行业已经回到了以前的位置?当然不是。这意味着我们必须继续关注基本面。安全领导者、安全从业人员和安全创始人都必须牢记真正的优先事项是什么以及大多数攻击的来源。具有讽刺意味的是,这种情况也没有太大改变(尽管我们无疑取得了很大进展)。
当我们寻求构建安全的未来时,让我们都记住AdiShamir和我们之前的一代人留给我们的10条诫命。
来源:https://ventureinsecurity.net/p/10-principles-for-building-cybersecurity
来源:安全光年