我们需要一种新型的网络安全产品

一种能够真正向业务传递价值的产品

作者：Daniel Miessler 发布日期：2025年12月12日 标签：#网络安全 #商业

我认为，在过去的几十年里，我们网络安全行业在很大程度上未能向业务方展示其价值。我认为，我们需要一种全新类型的产品来解决这个问题。

在您对接下来的介绍或产品发布感到兴奋之前，我需要说明，除了为我的咨询客户提供定制化实施方案外，我个人并不打算创建这个产品。我写这篇文章的目的是希望其他公司能够将其制造出来。更广泛地说，是希望行业未来能转向这种方法。

但首先，真正的问题是什么？

我知道存在许多例外情况，例如推介做得非常出色且面向了正确的人群，但这毕竟是少数例外。

我们的问题是沟通。我认为，我们正在向组织内部错误的人传达错误的信息。虽然并非总是如此，但总体上是这样。

我们没有提供一个能让业务方感到安全、并让他们确信钱花得值得的界面，反而是在杂乱地记录我们为他们所做的各项活动。

如果要用一句话来概括，我想大概是这样的：

网络安全项目产品应该传达安全。“安全”（Security）这个词本身在拉丁语中就是由“se-”（无）和“cura”（担忧）组成的。意思是无忧。这正是我们应该提供的东西。

网络安全项目产品应提供一个界面，当观看者查看时，能对客户和业务的数据与基础设施状况感到安心。

产品不能直接这么说。它们必须通过结合叙事和证据展示的方式，在观看者内心唤起这种感觉。

关于组件的一些想法

其中一些组件已经存在，另一些则需要被创造出来。

• 聚焦正确的叙事和数据层级： 在正确的时间，向正确的人呈现恰当层级的叙事和数据。人工智能（此处深叹一口气）当然可以在动态的、面向特定受众的叙事和数据呈现方面提供大量帮助。
• 持续更新的顶层安全项目叙事： 包括安全项目的目标、指标、挑战、策略、预算、团队、项目和时间线。例如：我们当前正在追求这些目标，我们通过这些指标来跟踪进展，我们面临着这些挑战，我们正用这些策略来克服挑战，这就是我们进行这些项目的原因，这就是我们如何使用这笔预算，依靠这个团队，而所有这一切正在产生这些结果……
• 清晰阐述攻击者当前的意图： 以及他们为何无法得逞——因为我们正在做X和Y（当然，由人工智能动态更新，此处又叹一口气）。
• 清晰阐述如果攻击者成功可能造成的损失： （利用新闻/行业的数据/证据动态更新）。
• 主要使用简洁、清晰的叙述： 描述我们的状态、攻击者当前的活动，以及我们如何主动和积极地对抗这些行为。
• 清晰关联资金使用与安全保障： 明确展示我们的资金花费与提供主动安全防护的项目之间的直接联系。