安全领域的1%：估计与影响的思考实验

如果您正在阅读这篇文章，您很可能是一个专属俱乐部的成员。我称之为安全1%，或在Twitter上称为#securityonepercent。这是指那些拥有人员、流程、技术和支持来实施相对健壮的数字安全计划的个人和组织，尤其是那些具备检测和响应能力而不仅仅是规划和抵抗/“预防"功能的实体。

介绍

本文将估计美国安全1%的规模，然后简要解释1%的安全策略对99%的组织可能无关紧要甚至有害。

使用FIRST进行初步估算

衡量安全1%的规模很困难，但并非不可能。我的目标是确定正确的数量级。

一种方法是审查事件响应和安全团队论坛（FIRST）的成员实体。FIRST是一个组织，高性能计算机事件响应团队（CIRTs）可以在其流程和数据处理达到FIRST设定的标准后申请加入。

我在20世纪90年代末AFCERT是成员时了解了FIRST。在21世纪初Foundstone是成员时，我也协助了FIRST的职责。在21世纪00年代在通用电气和21世纪10年代在Mandiant工作时，我帮助或赞助了会员资格。我鼓励所有有能力的安团队加入FIRST。

成为FIRST成员意味着具备一定程度的事件响应和数据处能力，并向世界和其他FIRST团队表明该成员实体认真对待事件检测和响应。

截至本文撰写时，全球有540个FIRST团队。其中略多于100个位于美国。

为了更直观地理解，美国有不到4000家上市公司。这意味着即使每个美国FIRST成员都代表一家上市公司——事实并非如此——美国上市公司的FIRST代表率仅为2.5%。

超越FIRST

有些人可能声称FIRST会员资格没什么大不了的。您可能会说，我现在的雇主Corelight不是成员。

也许您可以争辩说，对于每个美国FIRST成员，还有9个其他组织拥有同等或更好的安团队。这将使具备体面检测和响应能力的实体从100个增加到1000个。这仍然意味着估计75%的美国上市公司拥有不合格或不存在的安全计划。

请记住，我们一直在谈论的只是4000家美国上市公司。美国小企业和创业委员会估计，2016年美国有560万家雇主企业。让我们遗憾地将其减少到400万，以考虑Covid的破坏。

（这种减少实际上使安全状况看起来更好，尽管无论哪种方式都很糟糕。换句话说，如果我使用560万而不是400万作为分母，安全估计会糟糕40%。）

小企业和创业委员会

让我们非常慷慨地假设这400万家企业中只有1%拥有任何敏感数据。（这再次非常慷慨。）

这给我们留下了40万个值得防御数据的实体。（再次，所有这些估计都使我们看起来比实际情况更好。现实可能糟糕得多。）

请记住，我们只有100个美国FIRST团队，并且我们假设了一个惊人的10比1比率，将另外900个非FIRST组织添加到具备体面安全的实体列表中。

现在让我们再次慷慨地假设一个4比1的比率，这样对于上市公司领域的每1个团队，私营领域还有3个也具备体面安全。

这总共创造了4000个具备体面安全的美国组织，而需要它的有40万个。这4000个就是安全1%。

如果您想到"精英中的精英”，可能只有大约40个美国安团队有资格成为全球领导者和创新者。这些团队可以与大多数对手正面交锋，但由于安全挑战的性质仍然挣扎。您和我可能可以命名它们：洛克希德·马丁、谷歌、通用电气等。

这40个团队是1%中的1%，即40万中的4000中的40。这些40个是美国的0.01%。

如果您认为我只保守地估计了40个团队，那么请随意增加到400。我会非常好奇看到有人编制一个400个世界级安团队的列表。那仍然意味着美国的400个群体是0.1%。

合理性检查：一些统计数据

为了让您了解我的数字，以及它们是否至少数量级正确，这里有一些统计数据：

1. 2020年Accenture Security第三年度网络弹性状况报告收到了4,644名"高管"的回应。这与我的估计数量级相同，但由于全球视角而稀释。（换句话说，由于全球受访者池，实际回应此调查的美国高管较少。）

2020年Accenture Security第三年度网络弹性状况报告，第46页

2. 2021年PWC全球数字信任洞察报告收到了"全球3,249名商业和技术高管"的回应。这再次是相同的数量级，再次因全球回应而稀释。

2021年PWC全球数字信任洞察报告，网络摘要

3. Bitglass的2019年报告发现，38%的财富500强公司没有CISO。那是190家上市公司！希望在2020年更少。让我们疯狂地假设CISO数量是500中的400？

2019年Bitglass报告

4. Verizon DBIR有81个实体报告，是该报告历史上最高的数字。我不知道有多少在美国，但显然少于100，所以数量级再次保留。换句话说，在美国4,000个有能力的安组织中，只有不到2.5%为DBIR做出了贡献。那将少于100，或美国FIRST团队的数量。

2020年Verizon DBIR报告

请记住，我这里的重点是美国。这意味着来自PWC、Accenture和Verizon的数字需要减少，因为它们代表全球受众。然而，原始FIRST计数的大约100个美国实体，以及关于财富500强的统计数据（只是美国公司），已经适当调整了大小。

安全与1%

这些数字对安全意味着什么？

首先仅就美国而言，这意味着安全从业者在Twitter、邮件列表、网络研讨会、课堂和其他聚会中的大多数对话发生在一个非常小的群体中。这些是1%，是美国大约4,000个具备体面安全能力的实体的一部分。

如果那些是1%，这意味着99%没有被包括在这些讨论中。

这意味着免费威胁情报，或免费课程，或免费后利用安全工具，或其他免费能力对那99%没有安全能力，或其能力如此低或紧张以至于无法利用1%提供的任何东西的组织来说毫无意义或几乎毫无意义。

类比：个人理财

我几乎成为了认证财务规划师。如果我没有在AFCERT获得工作，我计划从空军分离，获得我的CFP指定，并建议人们如何管理他们的资产和为退休做准备。

我意识到我在"安全社区"目睹的讨论就像我在金融社区看到的讨论。需要退后一大步来欣赏这种情况。

金融领域1%水平的人想知道如何管理他们的股票期权，或如何通过专门的储蓄工具为孩子大学学费省钱，或者，在最高端，如何在整个"金钱之地"移动资产以追求更低的税收。

这些关注点与那些在雇主提供的401(k)计划中节省了几美元，或几乎没有储蓄的人相距光年。

安全1%的后果

那么有什么大不了的？

安全1%的存在和心智份额主导的后果是他们采用的策略和战术可能对1%有效，但对99%无效。

我不是在谈论"富人"捕食"穷人"。那不是我的信息也不是我的哲学观点。

相反，我的意思是安全1%用于自卫的方法对99%最好无关紧要，最坏有害。

无关紧要的一个例子是提供免费的妥协指标（IOCs）或其他形式的威胁情报。这是善意的，但最终对99%没有帮助。如果99%中的实体拥有初级的安能力，或基本上零安能力，威胁情报是无关紧要的。

损害的一个例子是发布后利用安全工具或PESTs。1%可能有能力使用此类工具装备他们的红队或渗透测试团队，确定他们的蓝队实施的对策是否可以抵抗或检测和响应他们的模拟和后来的实际攻击。然而，99%几乎没有能力利用PESTs。当实际入侵者使用PESTs掠夺99%的资产时，他们最终只是受害者。

结论

读者可以争论我的数字。这些是估计，是的，但我相信我至少在美国得到了正确的数量级。海外可能更糟，尤其是在发展中国家。

这个练习的目的是提出这样的想法：某些活动可能对1%有益，但可能并且很可能对99%无关紧要且/或有害。

简而言之： 我挑战安全1%首先认识到他们的精英地位，其次思考他们的信念和行动如何影响99%——尤其是更糟的影响。

由于这是一个棘手的问题，没有简单的答案。这可能值得未来的博客文章。