深入零层：网络安全行业从业者必读

几个月前，我提出了一个概念，有助于解释我们行业如何运作，以及初创公司成为市值十亿美元企业的先决条件。我将这个概念称为“零层”，因为它是构建一切的基础。那篇文章反响热烈，有数十人与我联系，提出了评论和问题。今天，我将分享一些基于原始想法的额外观点，使零层的图景更加清晰。这里的许多想法是在原始文章发表后，我与 Bill Phelps 进行了一些来回交流后的成果（Bill 提出了一些非常棒的观点，影响了我的思考和本文）。谢谢你，Bill！

首先，快速回顾

对于没有读过原文的读者，我强烈建议您查阅一下，因为它提供了对本文基础理念的广泛概述。对于那些读过但需要快速回顾的读者，以下是我的解释：

“……最有可能提供真正安全的实体是那些构建核心技术的实体。云提供商在逻辑上处于解决云安全的最佳位置；操作系统供应商最接近解决端点安全；电子邮件提供商能看到流经其基础设施的所有内容，因此他们应该处于解决电子邮件安全的最佳位置；身份提供商已经管理用户访问，因此他们应该能够有效处理身份威胁检测和响应。这些基础提供商拥有定义安全边界如何创建、访问如何执行以及数据如何流动的系统，因此他们有能力将安全性嵌入其中。正是这些提供商，我将其定义为零层。

零层指的是其他工具所依赖的基础设施和技术基础层。控制点通常出现在这里——身份平台、云服务提供商和操作系统。它们不仅仅是被动的基础设施提供商；它们积极地塑造了所有其他工具的参与规则。对于拥有零层的实体而言，增加安全性通常只是一个架构决策（一个开关、一个API扩展、一个捆绑包等），而对于其他所有人，即在这些平台之上运营的供应商来说，交付安全就变成了与底层平台的谈判。这就是拥有基础的力量，也是所有非拥有者面临的挑战。”——来源：《网络安全中与零层竞争》

理解现实世界中零层提供商是谁的最简单方法是查看具体案例：

在云端，是像 AWS、Azure 和 GCP 这样的云服务提供商。
在网络中，是像思科和瞻博网络这样的网络提供商。
在端点，是像微软（Windows）和苹果（macOS 和 iOS）这样的操作系统提供商。
在身份领域，是像 Microsoft Entra 和 Okta 这样的身份提供商。
在浏览器领域，是像 Mozilla（Firefox）、Chrome（谷歌）和 Edge（微软）这样的浏览器平台。
在代码安全领域，是创建和管理代码的平台，如 GitHub，以及最近的 Cursor。

在上一篇文章中，我解释了市场动态，以及当零层提供商开始提供安全服务时会发生什么（人们通常更喜欢第三方解决方案），以及当安全公司触及零层提供商的核心业务时会发生什么（这是个坏主意），等等。现在，我想分享一些关于这个话题的其他想法，或许能帮助大家更牢固地建立这个概念的心智模型。

每个新的零层都会催生安全公司的爆发

零层是一个相当动态的概念，因为事物总是在演变，而当它们演变时，它们既带来了基础设施的转变，也扩大了攻击面。我们谈论云、身份和操作系统，就好像它们一直是零层，但它们本身并非必然。相反，它们成为默认的控制平面，是因为一些更深层次的基础设施转变围绕它们产生了引力。个人计算机的爆炸式增长创造了端点层，IP 网络创造了网络层，虚拟化计算创造了云层，SaaS 的兴起将浏览器变成了应用程序的交付机制。

每当一个新的基础层出现时，我们都会看到同样的模式：大量网络安全公司被创建，以利用这种转变。它发生的速度差异很大，很大程度上取决于底层基础设施变化的速度。对于云，几乎是瞬间发生的；身份至少花了十年时间才得以整合；而浏览器直到现在才开始得到它五年前就应该获得的认可。在人工智能领域，我们看到许多公司押注 AI 将成为新的零层，这也是为什么有如此多的资本涌入 AI 安全领域。无论具体的细分市场如何，动态是相同的——当一个新控制平面形成时，安全公司就会追逐它周围的表面区域。

这就是为什么我将零层视为新安全市场的创造者。当基础发生变化时，成千上万的新问题就会出现：态势、可见性、错误配置、新旧工作流之间的差距、碎片化的 API 以及不一致的策略模型。如果你站得足够远来看，今天 5000 多家网络安全供应商并不是市场低效的标志；它们有力地证明了在过去的 40 年里，我们经历了数十次零层转变，而每一次都催生了其自身的“缺失控制”细分产业。

为什么零层永远无法提供“足够”的安全

有一种观点认为，如果零层平台（端点操作系统、浏览器、云平台等）只是构建了更强的安全控制，我们就不需要所有的附加组件和点解决方案。这在一定程度上是对的，但现实情况是，这不可能。零层优化的是可靠性、规模、经济性和用户体验，而不是企业遇到的边缘情况。从历史上看，零层在设计时甚至没有考虑访问控制、日志记录或基本的安全护栏，所有这些都是在攻击者迫使创建者采取行动后才添加的。

零层参与者在构建新功能时面临相同的结构性挑战：他们需要用单一的架构服务于整个世界。即使他们能够构建一些态势、策略和检测能力，这些能力也往往是薄弱、肤浅或过于通用的。即使客户因为采用基础层而被攻破，这些平台也无法在安全方面深入下去。这部分是因为安全不是他们的主营业务，但也因为这样做往往与他们的商业模式相悖。加倍投入安全通常会降低兼容性、增加支持负担并使核心工作流程复杂化，而这会减少这些参与者核心产品的销量。

鉴于这个故事已经重复上演了多次，我认为，即使零层平台推出安全性强得多的产品，也无法解决这里的问题。企业规模越大，它在配置事物时需要的灵活性就越多，而更多的灵活性总是意味着更多的错误配置。我甚至敢说，大多数安全问题实际上是错误配置问题（这可能就是为什么 CSPM 和身份自动化产品的增长如此爆炸）。这就是为什么围绕每个零层的第一个安全类别总是某种形式的“态势管理”，这是行业为解决无人能想象的复杂性而进行的持续尝试。

围绕任何零层的安全可预测演变模式

一旦一个新的基础层发展起来，围绕它的安全就会遵循一个可重复的演变模式：

第一步：可见性和态势

安全团队通常无法控制 IT 或工程领域发生的任何事情，但他们需要知道新事物是否安全部署。最早成功的网络工具是扫描器，最早成功的云工具是态势管理器，等等。这个顺序非常重要，因为历史表明，对于一个新零层来说，从运行时而不是态势开始是一个错误。当一个新的零层发展时，攻击者需要时间来了解如何实际利用它，并且很少有足够的活动来证明深入研究的合理性。人们从配置开始，在现实生活中，CSPM 实际上是一个很好的例子，Wiz 能够在市场上获胜，尽管它在第一天并没有其竞争对手所具有的所有深度控制功能。

第二步：威胁检测

一旦态势变得“足够好”，攻击者就会想出如何绕过它。这时，日志记录、行为分析、异常检测和运行时监控就派上用场了。在云端，我们从 CSPM 发展到运行时检测，在数据和应用程序安全等其他安全领域，我们也正朝着相同的方向前进。人们总是需要时间才能超越态势，现实是那个成熟曲线相当陡峭，但最终会发生。

这里的棘手之处在于，市场竞争的动态常常迫使安全产品变得越来越复杂，但某些领域只是没有看到攻击者行动得那么快。当这种情况发生时，网络安全供应商的进展远远超过了实际的攻击，最终构建出仅由误报触发的检测规则。用不了多久，人们就会抛弃这些工具。底线是，第一步（态势）总是适用于每个新的零层，但市场是否发展到第二步或第三步则取决于许多因素。

第三步：运营和事件响应

一旦（如果）检测工具得到广泛采用，警报量就会让安全团队不堪重负，从而推动各种运营改进，如 SOC 平台、SIEM、响应自动化等。这些工具通常是为了帮助人类处理我所谓的“人为制造”的问题，即第一阶段和第二阶段工具产生的所有警报。这本身并不会真正导致新类别的产生。创造新类别的是针对新零层的攻击数量的增加。在那个时候，公司通常会意识到，仅仅知道有坏事发生与实际遏制它之间存在相当大的差距。一如既往，我们发现显然没有足够的人员能够应对这种新的攻击，这为专门的事件响应专业知识创造了空间。

这个周期解释了为什么我们的行业一次又一次地重复同样的模式，并且对于每一个新的零层，我们都会先有态势管理，然后是检测，再然后是（有时是）响应工具。这也解释了为什么那些抓住了一个快速增长、广泛部署的零层的公司能够继承数十年的相关性。