来自一位前黑客的网络洞见，第2a部分

《超越恢复》：探索问题 - 第 2 部分（共 5 部分）

欢迎来到《超越恢复》系列的第2部分，我将详细阐述我们正在尝试解决的问题。

了解根本问题

我想大家都同意，为了取得正确结果，找到问题的正确解决方案，必须充分了解问题本身。在我们讨论如何利用存储和恢复功能（以及许多其他安全技术）的真正价值之前，必须了解真正的问题，才能妥善将其解决。

多年来，我发现了一个有趣现象：当我问不同的安全专家，他们认为安全领域最根本的问题是什么时，他们的回答大相径庭。他们通常会提及一些合理的问题，但很少是根本问题。换句话说，他们描述的是其他原因导致的问题，但并不会扩大范围来解决真正的症结所在。因此，安全问题只会继续恶化，也就不足为奇了。

但让我们退一步，看看当今的安全行业。作为一名所谓的“行业专家”，我经常被问及技术新趋势、新漏洞、犯罪团伙运作的新动态等。

但我觉得这些和根本问题并没有很强的相关度。

我并不是一名非常出色的“行业专家”，因为我并不真正关心所谓的“安全行业”。我关心的是企业取得的成果。企业对安全措施进行投资，并不是因为他们关心上述的任何一点。他们投资是为了在降低风险方面获得回报。

阅读我们的博客文章：将NIST的网络安全框架付诸实践

安全支出与安全结果

那么，以此为衡量标准，我们做得怎么样呢？

在过去二十年里，我看到信息安全方面的支出持续增长。这笔支出不仅在绝对值上呈指数级增长，而且在IT和总体预算中所占的比例也与日俱增。

然而，事故发生率，或者说被利用的风险，却没有相应减少。

不仅如此，情况其实还越来越糟，并且在继续恶化。有趣的是，每年发现的漏洞数量都在增加，而且由于我们无法修复所有漏洞，我们携带的漏洞数量也在呈指数级增长。

你会说，这有什么有趣的呢？事实上，我们组织中存在的漏洞数量趋势（无论是否经过“风险管理”）大致相当于每年违规造成的损失。

如果你仔细想想，就会发现这种局面显然是不可持续的。你可以说，安全实践和技术已经阻止了许多攻击，但如果攻击者转向另一种方式来危害组织，并且取得了相同的最终结果，那么这在商业上有什么意义呢？

了解Virtual Storage Platform One如何为关键任务应用程序提供扎实的数据基础，包括降低风险和安全威胁。

安全投降的惊人趋势

这一领域的种种失败造就了一些有关信息安全的“金句”：

“世界上只有两种类型的公司：已经遭受过黑客攻击的公司，和将会被黑客攻击的公司。” —美国联邦调查局执行局长罗伯特·S·穆勒三世

而更笼统的说法是，“不是会不会发生，而是何时发生。”

从商业角度来看，这一趋势引发了人们对信息和数据安全支出成本效益的质疑。

这也带来了思维上的转变：在弹性背景下，恢复或许应该是主要优先事项。因此，尽管安全工具支出停滞不前，但公司一直在投资恢复能力。我认为，考虑到目前的情况，这是明智的。

这是合乎逻辑的想法。如果我们无法成功阻止被攻击，那么我们就必须专注于快速恢复和高质量恢复的能力。

但如果你仔细想想，就会发现这其实相当令人震惊。这表明安全团队向网络犯罪分子投降了。“我们尽了最大努力，但最终我们知道房子会被拆毁，所以我们必须重建它。”

有缺陷的方法：为什么我们没有做好安全保障

但如果有其他方法呢？如果我们在未充分理解安全概念的情况下，继续前进，这意味着我们的方法存在缺陷，而这正是它无效且投资回报极低的原因，那该怎么办？

请允许我分享我25年职业生涯中的一些顿悟。这些简单的概念塑造了我的思维，使我能够做到别人很少做到的事情：随着时间的推移，永久降低风险，同时不断减少安全支出，实现企业净利润的增长。是的，内部安全功能不是成本中心，而且恰恰相反。

1.安全不是安全团队的职责。

安全就像是让船保持漂浮。船体常常会漏水，而因为船体承受着巨大的水压，水会从最小的裂缝中渗入。漏水的管道、冲击船头的海浪等都会导致水的进入。但没关系，船上有舱底泵来处理这些情况。这个比喻有点像典型的安全功能。

但是，如果您的船由于船体间隙、密封不良、管道漏水等原因，每分钟漏出数千加仑的水，那您的舱底泵将无法挽救整艘船，购买更多舱底泵也不是解决办法。因为保持船的漂浮不是泵的工作，而是船的工作。整艘船的设计是为了将进入的水量保持在最低限度，而舱底泵的工作只是处理可控的量。

期望传统的IT安全功能自行保证企业安全，这就有点像将舱底泵放入公寓大楼，然后将其扔进大西洋，并指望整栋楼能漂浮起来。

2.仅依靠风险管理并不明智。

想象一下，您是一家飞机制造商，您有一种新型号的飞机投入使用，但有人发现机身中的一个关键螺栓（或者换一个比方，比如备用起落架等）可能会在飞行中松动。

您会在世界各地设立车间，进行螺栓检查和紧固操作，最大程度降低事故风险，并随着业务和机队的增长而扩大该操作？还是说，您会找出这些螺栓松动的原因，通过更好的设计来解决问题，在未来的生产中实施，并改造已有设计，确保以后再也不用处理这个问题？

这就是纯粹的风险管理和质量管理之间的区别。

请注意，故事中任何与真实事件的相似之处都纯属巧合，我讲这个故事已经讲了很长时间了。但如果您从现实世界的角度来看待它，就会发现风险管理和质量管理之间的区别有多么重要。

在网络安全方面，我们仍然几乎只关注前者。与此同时，成熟的行业已经成功地减少了事故数量，最终也减少了这方面的支出。这样一来，就只需要对那些无法通过质量管理消除的剩余风险进行管理。

只有那些风险，可以用传统方式进行管理（回想一下刚才提过的舱底泵）。

这就是为什么成熟行业随着时间推移产生的负面结果如左图所示，而安全行业的负面结果则如右图所示。

不用说，这种方法也为企业带来了巨大的经济利益，我们稍后会介绍。

3.安全是一个质量问题。

如果上述观点对您来说不太合理，我想在您接受这个想法之后，就会看到其中的合理之处：安全问题主要关乎漏洞的利用（非常宽泛地来讲）。但是，如果不是质量问题或缺陷，漏洞又是什么呢？

代码、配置、构建、设计、架构、流程、语境等方面的缺陷，可能导致不可预见或我们不希望发生的事件，恶意行为者可以利用这些事件来危害我们。

一旦我们意识到这一点，就会发现其他行业使用的传统质量管理方法可以应用于预防风险。这意味着随时间推移减少脆弱点，不是因为我们花费越来越多的资源来缓解它，而是因为我们首先解决了造成风险的根本原因。

采取整体方法

综上所述，为了确保安全，企业的所有部分都必须考虑到安全性。这包括整个业务中的系统、应用程序、流程等。安全性的最终目标应该是，定义如何完成所有这些工作以安全地开展业务，并尽可能减少风险管理。

欢迎阅读下一期内容，我将在其中介绍更多原则，希望能帮您重新思考如何处理安全性、如何实现这种改变，以及存储和恢复如何成为安全性的巨大助推器。

阅读第一部分：《超越复苏：超越技术》

其他资源

• 网络研讨会：做好准备，无惧勒索软件攻击
• 洞见文章：在人工智能和混合云时代构建牢不可破的数据基础设施
• 博客文章：将NIST的网络安全框架付诸实践