习得性无助正在损害安全行业

网络安全正遭受严重的习得性无助问题，我们必须克服它。

每隔几个月，我都会看到一篇文章、LinkedIn帖子或演讲，它们似乎毫无理由地让我感到恼火。我觉得这很有趣，所以几年前开始将那些让我大脑产生排斥反应的言论收集到一个Google文档中。每当我听到或看到有人重复这些言论时，我就会把它们连同当时的想法扔进这个文档，然后继续我的一天。

上周末，当我打开这个文档并浏览了几页链接和混乱的笔记后，我终于意识到所有我不同意的观点都有一个共同的根源，它们都是同一种现象的结果——习得性无助。在本文中，我将深入讨论这一现象，解释它是什么，为什么我觉得它令人沮丧，以及为什么我认为要使行业成熟，我们必须超越它。

习得性无助的概念

这是全球最大的在线心理健康和行为科学目的地《今日心理学》对习得性无助概念的解释：“当个体持续面临负面、不可控的情况时，即使他们有能力改变自己的处境，也会停止尝试改变自己的环境。例如，吸烟者可能多次尝试戒烟却失败。他可能会变得沮丧，并相信他所做的任何事情都无济于事，因此完全停止尝试。认为自己无法控制情况的看法基本上会引起对正在发生的伤害的被动反应。”

这确实是一个段落中包含了许多聪明的词汇，所以我的解释要简单得多。习得性无助是指人们因为觉得自己的行动根本不重要而停止尝试。在多次尝试和失败后，他们开始相信自己所做的任何事情都无法改变现状。这就像在开始之前就放弃：即使人们实际上可以找到解决问题的方法，他们也不会去做，因为他们停止了尝试。

一旦你意识到这是一个真实的概念，一旦你看到它如何在安全领域应用，我认为你将无法视而不见。与其让我试图说服你这一点，不如让我带你了解一些安全领域人士喜欢说的、很好地说明这个问题的话。

安全人士喜欢说的体现习得性无助的话

“攻击者只需要对一次，防御者需要始终正确”

这句话在网络领域被重复得如此频繁，以至于已经成为一种信条。我记得大约一年前，我说事情比这个说法所暗示的要复杂一些，有十几个人跳出来告诉我我错了。人们对此非常防备，许多人会争辩说这是因为这是事实。然而，如果你仔细观察，很明显，“攻击者只需要对一次，防御者需要始终正确”这句口头禅反映了习得性无助——认为防御者无论做什么都会失败的信念。这种想法传达的信息是，安全团队永远无法真正获胜，只能延迟不可避免的事情。

有比我更好的人来提出这个论点，但我经常听到这种说法，我觉得我必须发表评论。我坚信这句话背后的想法是最明显的习得性无助案例。当安全团队内化这种心态时，它会阻碍创造力、风险承担和对主动防御的投资。它不是将进步视为可能，而是将防御框定为一场必输的游戏。

最重要的是，这句话虽然听起来很吸引人，但却是错误的。想一想防御在实践中是如何工作的：攻击者会尝试不同的事情，他们必须多次正确才能执行攻击链。为了实现他们的目标，攻击者必须通过不同的障碍和层次，每个层次都会引入复杂性并降低他们的成功机会。他们因错误而制造的噪音越多，向防御者发送的信号就越多，也就越容易被抓住。我认为防御者只需要足够好一次来检测他们并采取行动。每一个补丁、每一个检测规则、每一个分段改进和每一次培训都会提高攻击者的门槛，使他们更难足够多次正确以至于可以不被注意地进入。

除此之外，安全的成功不仅仅取决于攻击者是否能进入。在很大程度上，这是一个安全问题团队需要多长时间来检测恶意行为者、他们能多快响应以及需要多少时间恢复的问题，这些事情安全团队可以不断改进，而不会陷入失败主义的心态。

“不是如果，而是何时”

虽然“攻击者只需要对一次，防御者需要始终正确”的信条听起来好像安全团队无能为力，但这句“不是如果，而是何时”将其提升到了一个新的水平。这种说法的另一个同样失败主义的变体是“只有两种类型的公司：那些已经被入侵的公司和那些不知道自己已经被入侵的公司。”

谈论这一点非常有趣，因为我确实理解重复这些说法的人想要表达的观点，而且我相信他们是出于好意。以最近IBM报告中的事实为例，公司需要大约170-200天来识别入侵（值得注意的是，该报告确实表明2023年至2024年间略有改善）。

然而，我认为这些说法并没有推动公司投资于主动威胁狩猎，而是更多地使失败正常化，并使每个人接受无论我们做什么入侵都会发生。随着时间的推移，这种心态产生了一种宿命感，安全变得不再关乎建立可衡量的、改进的计划，而更多是关于等待不可避免的入侵。

我认为正确的结论应该是做好准备，而不是每个人都注定失败。想一想：如果我们这些行业人士在推动无论我们做什么入侵都会发生的说法，我们怎么能期望企业更认真地对待安全？从企业高层的角度来看，如果无论如何都保证会发生入侵，那么逻辑上的选择是只花费足够的资金来保持合规，而不是投资于真正的安全改进。我不知道大多数安全人士是否意识到这一点，但我们作为一个行业正在推动一种自我毁灭的说法，这种说法削减了安全预算，使我们看起来可有可无。

“人是最薄弱的环节”

在所有这些失败主义的说法中，我最不喜欢的是“人是最薄弱的环节”。我在其他文章中广泛讨论了这一点，例如《保护个人的业务：以消费者为中心的安全现实，为什么我们不能指望人们购买安全工具，以及我们需要做什么 instead》。在那篇文章中，我分享了以下观点：“尽管保护个人和让个人帮助保护企业的业务看起来是分开的问题，但它们有共同的原因：我们的人性。我们受到一长串认知偏见的影响，加上我们天生避免痛苦和逃避摩擦的驱动力，以及我们无法理解风险等等。几十年来，网络安全学科专注于解决技术问题，将人视为‘最薄弱的环节’，并假设仅仅让他们更‘意识到’安全就会神奇地改变他们的本性。

这不会发生。对手战胜安全团队的核心原因之一是他们理解人、他们的恐惧、动机和行为驱动因素，并学习如何利用它们来实现自己的目标。当人们被催促快速行动时，当他们受到威胁时，当他们好奇或害怕时，他们往往表现得不理性。任何安全意识都无法改变这一点。

我们设计更安全未来的第一步是拥抱人性，并为其设计安全，而不是反对它。首先，这意味着在设计安全措施时要充分理解人们总会寻找最简单的方法来实现他们的目标。这也意味着接受这样一个事实：我们不能指望消费者购买单独的安全工具——我们需要将安全构建到当前的基础设施中，并使其成为默认（也是唯一）选项。”

归根结底，安全团队受雇保护组织及其人员，保护人员意味着拥抱他们的偏见和行为，而不是拒绝它们。历史上，安全解决方案被设计用来保护系统，但每个系统背后都是人。

与我在本文中讨论的其他短语类似，我在这里的问题 less 关于“人是最薄弱的环节”这句话本身，而更多是关于它鼓励和促成了什么。这才是真正的区别。承认人类会犯错很重要，但这应该驱使我们设计能够预见错误的系统，而不是在事后责备他们。这句话本身并不是问题；问题在于我们如何理解和应用它。理论上，我们可以说“人是最薄弱的环节，所以我们将尽一切可能投资于用户体验和安全设计模式，以保护他们免受伤害”。但在实践中，更多时候，它听起来更像是“人是最薄弱的环节，所以无论我们在安全方面做什么，某个愚蠢的员工都会点击一个链接，我们就完了——我们做什么甚至重要吗？”。同样的失败主义心态，只是语境不同。

迫切需要对抗安全领域的习得性无助

我们行业的未来将在很大程度上取决于我们以何种心态对待它。一年多前，我发表了一篇题为《网络乐观主义者宣言：为什么我们有理由对网络安全的未来感到乐观》的文章，其中谈到了我们作为一个行业应该为之自豪的成就、我们不善于庆祝成功的原因，以及为什么迫切需要网络乐观主义。在此之前，还有另一篇关于《网络安全中的英雄文化：起源、影响以及为什么我们需要打破有毒循环》的文章。今天的文章感觉像是该系列的延续。

在过去的几十年里，我们的行业发生了很多变化，但不变的是我们继续坚持那些阻碍我们的说法。习得性无助及其在我们思考和对自己说的所有自我挫败的事情中的表现就是这些说法之一。

不需要很长时间就能意识到这些说法正在损害安全行业，导致我们 certainly 不想要的结果。企业想知道为什么他们应该投资于安全，如果无论如何都会失败的话。安全专业人士正在质疑他们工作的意义，因为他们觉得无论多么努力都“注定要失败”。与此同时，普通人正在调出，想知道为什么他们应该关心安全，如果安全如此难以理解，而且每个人无论如何都会被入侵。

我们越多地重复这些失败主义的短语，我们就越强化安全无法获胜以及入侵是预先确定的信念，而实际上，我们可以实施许多改进和控制来有意义地降低风险。当我们说“不是如果，而是何时”和“攻击者只需要对一次，防御者需要始终正确”这样的话时，我们认为自己很聪明，但我们真正做的是陷入心理捷径，使我们所有人 collectively 更悲伤、更贫穷、更缺乏动力去做出改变，而在我们最需要热情和乐观的时候。

如果你喜欢我的博客，请订阅并与你的朋友分享。我在空闲时间做这件事，所以看到读者群增长有助于我保持动力并写更多。除了我的写作，我不发送任何东西，也不会将你的数据卖给任何人，因为我有更好的事情要做。

如果你是一个建设者——现任或有抱负的初创公司创始人、安全从业者、营销或销售负责人、产品经理、投资者、软件开发人员、行业分析师，或其他正在构建网络安全未来的人，请查看我的畅销书《Cyber for Builders》。

如果你的公司有兴趣赞助 Venture in Security，请查看赞助。

最后，查看 Inside the Network 播客，我们为你带来构建网络安全未来的最佳创始人、运营者和投资者。