安全需要承诺

在我上一篇文章中，我谈到了我们没有人知道如何解决网络安全问题这一事实。这是一个同义反复，所以不应该令人惊讶。如果我们知道如何解决问题，问题就已经解决了。因此，我们不知道如何解决问题。

但这确实令人惊讶，因此它感觉像是“硬道理”而不是“真相”。

面对一个长期存在的问题（如网络安全），典型的做法是假设如果我们有更多的意愿、更多的资源、更多的智慧，或者更多的上述所有因素，我们就能解决问题。我们不会停下来思考，如果我们正在做的事情不起作用，那么做更多同样的事情可能不会改变局面。承认我们不知道自己在做什么可能很困难。

我想谈谈承诺。昨晚我在想，如果我是国王，我会做什么。也许不是真正的国王。但如果我有足够的力量改变世界，我会做什么来解决网络安全问题？这自然让我想到了根本原因。

当我躺在床上时，我意识到，缺乏承诺是我在与那些苦苦挣扎的客户合作时看到的最常见问题之一。这并不意味着他们没有在网络安全方面努力工作。也不意味着他们没有投入大量资源来解决这个问题。但即使从内部感觉不到，我看到的是他们在追求半途而废的措施。

另一方面，我看到取得实质性进展的公司是那些已经弄清楚如何完全承诺的公司。

对安全的承诺听起来很简单——但事实并非如此，因为它是一个企业价值观的问题。任何在大型企业工作过的人都会认识到，改变企业价值观是最困难、最具破坏性，也许也是最有力量的事情之一。我不想轻视这个问题，也不想让任何人为自己在一家没有完全承诺安全的公司工作而感到难过。但如果你要降低网络安全风险，诚实地面对阻碍你的因素是很值得的。

也许你在想，我们是承诺的！我们在安全上花了$NN美元。我有CISO。我有安全团队。我培训我的开发人员。我培训我的员工。你还期望我做什么？

这些都很好——你已经采取了一些正确的步骤。但你还没有承诺。还没有。要承诺安全，真正改变局面，意味着你需要改变一切。你需要改变你的思维方式。你的行为方式。你开发软件（或购买软件）的方式。你领导团队的方式。你需要改变一切。

我们大多数人成长在一个可以忽略周围大多数威胁的世界。我们生活在法治是一切基础的国家。也许你们中的一些人曾经生活或访问过法治崩溃的世界部分地区。想想你在那种环境中不得不如何思考和行动。一切都变了。这就是我们今天生活的安全环境。

你在互联网上部署的每一个应用程序都是罪犯和政府行为者的目标，他们可以几乎不受惩罚地攻击你。他们超出了法律的范围。他们有一切可获，一无所失。你有一切可失，一无所获。很糟糕，对吧？

如果你在构建和部署软件时，仿佛你的用户会尊重法治，那么你还没有睁开眼睛看到数字世界的现实。

我所说的承诺是什么意思？考虑一下构建和部署一个重要技术项目所需的承诺水平。一家银行转向在线银行。Netflix承诺流媒体电影。一家医疗设备制造商将患者与医生实时连接。亚马逊承诺云计算。

这就是承诺一家公司的样子。这意味着从董事会和C级高管到个别员工，每个人都致力于这一进程，以推动业务向前发展。这就是网络安全要求你的承诺水平。

也许这感觉不公平。而且可能感觉像是一个没有考虑到的成本——一个意味着你的一些软件系统不再财政上可行的成本。我同意这不公平。但这是我们的现实。

也许你可以再维持一段时间的业务如常，也许一段时间内什么也不会发生。但这意味着你是在忽视风险，而不是解决它。你正在一个摇摇欲坠的悬崖边建造，假装悬崖不存在。悬崖不在乎。在某个时候，这个决定会追上你。

我认为安全行业应该为这种情况承担部分责任。大多数安全领导者并不完全理解软件安全。这是可以理解的。这是一个庞大而复杂的领域，没有软件开发背景，很难掌握。所以你做什么？你寻找软件安全专家。你与供应商交谈。这些供应商中的每一个都是专家，毫无疑问，但他们的工作是向你销售他们的解决方案。他们很少会告诉你他们卖的东西不会解决你的问题。有时，也许，他们会告诉你它只会解决你问题的一部分。但大多数时候，他们的推销会是，如果你买了他们卖的东西，你就不再需要担心了。你已经将软件安全外包到他们手中。他们会照顾你。

这是一个方便的虚构。你不能外包软件安全。没有工具能让你安全。没有培训能让你安全。没有流程能让你安全。他们卖给你的是一个捷径。这是一种避免所需承诺和投资水平的方式。

如果你投资了安全供应商卖给你的东西，我很抱歉告诉你，你正在做的大部分事情可能是安全剧场。也许你买了DAST、SAST、IAST或RASP。也许你购买了员工意识培训。也许你属于那些使用购买的工具 consistently 发现和修复漏洞的顶级公司。也许你的员工真的看了你让他们看的视频，所以他们知道如何擦白板和清理桌子。你仍然没有改变局面。没有太大变化。如果你的企业战略是“对安全做点什么”，而不是“围绕安全转型公司”，那么你还没有完全承诺。

这是一个价值观的问题。

——

我想在这里结束文章，但我还有一些额外的想法。我在上面段落中写的一切都是真的。但我讨厌它是真的。

很遗憾，安全如此困难，一切都如此复杂。我希望开发团队能够将注意力集中在为用户增加价值上，专注于功能和用户故事，以取悦和激励。我希望我们不必花这么多时间担心坏人。这是对生产力的征税——而且这种税每年都在变得越来越高。

当我二十多年前开始这段软件安全之旅时，我被教导我们需要建造一个虚拟城堡来保护我们的数字资产。你不能在最后才贴上安全。你必须从零开始构建它，具有最小的攻击面，并具有许多层的深度防御。然而，我从未质疑为什么这是必要的。为什么我们需要像建造城堡一样建造每一个应用程序？为什么它必须如此困难且如此昂贵？

想象一下，如果我们生活在一个你的房子必须像城堡一样建造的世界。一个如果你负担不起住在堡垒里就不安全的世界。听起来像中世纪，对吧？在物理安全方面，我们已经超越了那种模式。在互联网上，我们毫无疑问地接受了它。

与其建造更大更好的城堡，也许真正的挑战是弄清楚如何改变游戏规则？

——

这篇文章是一个系列的一部分，Joe和我将在其中探索软件安全领域的差距，寻找可能让我们达到更好位置的解决方案。

请订阅我们的时事通讯。每个月我们都会发送一份时事通讯，包含新闻摘要和我们最近几篇文章的链接。不要错过！

另请参阅

我们没有人知道我们在做什么 匿名者在系统管理方面比你更好 在安全中激励你的团队 跟随金钱

分享与讨论

在HackerNews上讨论 在Twitter上分享

归档于

黑客 安全团队 CISO 领导力

Joe Basirico & Jason Taylor © 2023