激励机制错位可能扼杀安全计划或安全创业公司

并使安全团队的工作变得异常艰难

我思考这个话题已有一段时间，很高兴终于抽空将想法整理成文。在网络安全领域，很少有人讨论激励机制（除了我的朋友Chris Hughes，他经常在博客和LinkedIn上强调这一话题）。考虑到我们行业的一切都围绕激励展开，这实在令人惊讶。本文我将分享对此问题的一些思考，探讨其最重要的方面，以及为什么更多人应该关注。

本期内容由Intruder赞助…

当AI赋能恶意行为者时，3000多个团队如何应对？ 影子IT、供应链和云扩张正在扩大攻击面，而AI正帮助攻击者更快地利用漏洞。基于3000多家组织的洞察，Intruder的《2025年暴露管理指数》揭示了防御者如何适应：

• 自2024年以来，高危漏洞增加了近20%
• 小团队修复速度比大团队更快，但差距正在缩小
• 软件公司领先，仅需13天即可修复关键漏洞

激励机制决定不同部门对安全的优先级排序

如果你阅读Verizon DBIR、CrowdStrike报告或其他关于漏洞根本原因的可信定期报告，或仅仅关注新闻，你会注意到一个一致的模式：

• 大多数漏洞并非由AI或区块链等新技术引起，也不是神秘未知零日漏洞的结果
• 绝大多数安全问题并非真正的安全问题；它们源于其他类型的组织问题并引入了安全风险

换句话说，绝大多数漏洞的发生都源于某些基础且乏味的问题。有人忘记更改密码，有人无法在集中系统中跟踪所有资产，有人决定授予承包商超出需要的权限，但在承包商离开时忘记撤销访问。这个列表可以不断延伸，但关键在于：大多数情况下，导致公司被入侵的问题是安全团队无法独立解决的。这就是我朋友Yaron Levi所称的"运营纪律缺失"。

这些都不是高深知识，任何在安全领域工作超过一年的人都明白这一点。然而，安全专业人员坚持认为情况应该不同——工程师应该更关心安全编码，IT应该优先考虑访问卫生，团队应该默认考虑安全——这种坚持的频率仍然让我惊讶。通常被忽视的问题是：他们为什么要这样做？如果组织中没有人被适当激励去考虑安全，这一切为什么会成立？有句格言说：“被衡量的才会被完成”。更直白地说，人们会做他们被激励去做的事情。

理解激励机制的简单方法是看两件事：什么让人获得晋升，什么让人被解雇。在最高层面，这两个问题的答案都与组织目标和关键绩效指标(KPI)相关。软件工程师和产品团队被激励快速交付。任何妨碍他们实现这一目标的事情（额外的设计评审、扩展测试，以及冗长的安全评审）——所有这些都成为需要避免的障碍。IT团队生活在工单系统中，被激励在不惹恼人的情况下尽可能快地关闭尽可能多的工单。每个IT支持请求（授予对X的访问权限、启用Y、打开到Z的连接）都意味着组织中有人正在寻找某些东西，而且他们希望昨天就能实现。一切都紧急，一切都在着火，一切都是经理要求的，一切都需要毫无延迟地发生。毫不奇怪，IT被激励尽快关闭工单并立即转向另一个（同样紧急的）请求。

每个部门都有自己的KPI，猜猜看，只有一个团队以风险降低为衡量标准，因此毫不奇怪，在大多数组织内，唯一真正被激励关心安全的高管是CISO。除非安全行为与执行力、团队合作和沟通技巧一起成为每个人绩效评估的一部分，否则这种情况不会改变。

激励机制决定不同公司和行业对安全的优先级排序

一旦我们超越单个安全团队看向整个行业，激励问题就更加明显。

行业时不时会对某个新的宏大想法感到兴奋。几年前是关于SBOM，就在几个月前是关于签署CISA的"安全设计承诺"（现有328家公司已签署）。显然，我认为安全设计承诺是个好举措；毕竟它提高了事先考虑安全重要性的意识，或者如他们所说，设计安全而不是事后修补安全。同时，认为这样的举措会导致任何实际后果意味着不理解激励机制如何运作。明确地说，这与CISA或其任何项目无关；问题再次在于激励。

我以前讨论过这个问题。当公司刚起步时，通常只是车库里的几个人，所有重点都放在弄清楚要构建什么和追求什么方向上。显然，在这个阶段考虑安全是荒谬的：当整个企业在几个月内失败的可能性达90-99%或更高时，最大风险不是安全漏洞，而是找不到正确的切入点。假设创始人做对了并得以生存。从这时起，压力只会增加。下一个挑战是达到产品市场契合（大多数初创公司从未达到，因此优先考虑它对公司成功至关重要）。当公司有产品但没有客户时，首要任务不是使产品安全，而是获得第一个客户。然后是第二个，第三个，依此类推，直到少数幸运的初创公司得以生存并进入增长阶段，完全专注于增长。在公司旅程的任何阶段，安全都不是首要任务。

安全设计听起来很棒，因为理论上每家公司确实应该确保其产品在设计上安全。实际上，安全通常会拖慢业务速度，在一个优先考虑速度和执行力胜过一切的世界中，将安全放在首位永远不会容易。这就是激励机制如何再次扼杀安全，不仅在公司层面，也在行业层面。

激励机制错位可能扼杀安全创业公司

对于安全领导者和从业者，理解激励机制在我们行业的运作方式有助于提高安全计划的成功率。毕竟，当安全计划失败时，很少是因为技术不存在或CISO不够努力。大多数失败的安全计划失败是因为激励错位。一个很好的例子是"左移"运动，它失败是因为开发人员从未被激励拥有安全。当开发人员因速度而非安全获得晋升时，没有安全冠军计划能使开发人员优先考虑安全而非速度。

对于网络安全初创公司创始人，误解激励可能意味着建立成功公司与未能获得采用的公司之间的差异。许多初创公司失败是因为它们假设公司内部不同部门会比实际更关心安全。对于大多数安全初创公司最初追求的大型企业来说尤其如此。公司越大，IT、基础设施或工程部门付费或兴奋地实施主要价值主张是安全的产品可能性就越小。我之前解释过，要解决安全问题，你不必建立安全公司，IT和工程团队购买安全产品的唯一方式是，该产品将安全作为他们真正关心的不同价值主张的副产品提供。

图片来源：Venture in Security

理解组织激励以及不同团队如何融入其中是不够的。我还遇到过试图追求大型、生态系统级别举措的创始人，这些举措也遇到激励挑战。时不时，有远见的人提出共享威胁情报或检测数据协作的想法，结果发现存在错位的法律激励（公司不想暴露漏洞、花时间共享数据，或害怕意外共享可能追溯到他们的东西）。许多有远见的想法被法律责任、保险和其他担忧使公司行为的现实所扼杀。在BSides演讲中听起来明显的想法，由于激励机制的运作方式，通常根本不可能实现。

展望未来

那些在个人层面认识我的人可以告诉你我是个乐观主义者（不仅仅是因为我写了安全乐观主义者宣言）。然而，即使我也难以看到，在没有根本性转变激励的情况下，我们如何改变安全的运作方式。在这方面需要做很多工作，无论是在组织层面还是行业层面。有些事情通常会自行发展，但激励很少如此，直到重大事件发生。

我不认为我对改变公司和社会整体对待安全的方式能做什么有好的视角。我只能希望我们作为初创公司所做的工作能产生微小影响，并帮助关心的公司改善其安全。

如果你喜欢我的博客，请订阅并与朋友分享。我在空闲时间做这件事，所以看到读者群增长有助于我保持动力写更多内容。除了我的写作，我不发送任何东西，也不将你的数据卖给任何人，因为我有更好的事情要做。

如果你是建设者——现任或有抱负的初创公司创始人、安全从业者、营销或销售领导、产品经理、投资者、软件开发人员、行业分析师，或其他正在构建网络安全未来的人，请查看我的畅销书《Cyber for Builders》。

如果你的公司有兴趣赞助Venture in Security，请查看赞助。

最后，查看Inside the Network播客，我们为你带来构建网络安全未来的最佳创始人、运营者和投资者。