无人因解决从未发生的安全问题而获得赞誉
20多年前,Nelson Repenning和John Sterman在《IEEE工程管理评论》上发表了一篇题为《无人因解决从未发生的问题而获得赞誉:创造与维持流程改进》的文章。阅读此文,你会意识到安全领域面临的问题并非独有,但我们的行业确实放大并加剧了许多其他领域的共通挑战,使其更难以应对。
本文将深入探讨那篇杰作中与安全领域最相关的方面。首要一点就是,无人因解决从未发生的安全问题而获得赞誉。这对安全团队和初创企业创始人都产生了严重后果,因为它实质上定义了哪些举措(或产品)可能从一开始就注定失败。它也回答了其他许多问题,例如:我们为何责备人而非流程?人们为何被训练得更努力地工作,而非更聪明地工作?以及为何我们热爱捷径,即使其长期影响可能相当糟糕。
本期内容由 Intruder 赞助呈现。 扫描了3000万个域名后,我们在影子IT中发现了什么? 仅凭公开数据,你能发现多少影子IT?我们进行了实验,答案是:太多了。从存有活跃凭证的备份到无需认证的管理面板,这些暴露对你而言是隐形的,却对攻击者门户大开。阅读研究报告,了解我们的发现以及Intruder如何助你抢先一步。 查看我们的发现
欢迎来到 Venture in Security!在我们开始之前,请帮我一个忙,确保你点击了“订阅”按钮。订阅让我知道你关心这个主题,并激励我更多地写作。谢谢大家! 订阅
更努力工作 vs. 更聪明工作
IEEE文章的作者Nelson和John用非常简单的术语解释了为何安全团队(与其他职能部门类似)会陷入无休止的“救火”循环。
这里的道理很简单。安全团队将所有时间都花在处理事件、工单和警报上——这些都是导致众所周知的疲劳的因素。一切都像着了火,工作量不堪重负,团队永远无法达到有时间去追求更具战略性举措的阶段。由于团队深陷于所有这些手动的、重复的、低价值的工作中,他们永远没有时间优先考虑投资于基础性卫生、架构变更或韧性建设。这就形成了一个恶性循环:他们越是“救火”,系统就变得越脆弱;系统越脆弱,他们就需要越多的“救火”来防止其崩溃。
Nelson和John解释说,其核心原因在于,更努力地工作会带来立竿见影的绩效提升。人们投入工作的时间和精力越多,结果就越好。而且,这种改进是即时的,易于衡量。问题在于,更努力工作的好处相当短暂。随着用于改进流程的时间减少,能力会缓慢恶化,最终达到一个临界点,此时仅仅投入更多工作也收效甚微。这就是为什么作者将更努力工作描述为“先好后坏”:起初,更努力工作会带来立时的改善,但随着时间的推移,情况会变得更糟。
所谓的“更聪明工作”方法则相反。当公司决定优先考虑一些大规模改进计划时,短期内,速度会放缓,因为人们被各种改进工作分散了注意力,无法像往常一样专注于日常运营任务。然而,最终,能力和成熟度水平的提升足以弥补最初的生产力损失,并且安全团队的长期效能会大幅提高。文章作者将这种现象描述为“先坏后好”的动态过程。
我们在现实世界中总能看到这些情况的发生。诸如盘点所有资产、重构IAM、重新设计网段、记录架构以及实施零信任等基础性工作,最初会拖慢一切,并且很难看出它们如何能立即减少事件。然而,随着时间的推移,正是这些运营改进赋予了安全团队超能力,使他们在长期内变得更有效、更高效、更有生产力。由于大多数人对“更聪明工作”带来的初期生产力下滑感到不适,他们更倾向于关注那些能立即带来可见生产力提升的举措,即使从长远来看,这些举措实际上效果更差。
图片来源:California Management Review
良好的安全毁于捷径
可以说,良好的安全正是毁于捷径——不仅是整个组织中人们采取的捷径,也包括安全团队自身采取的捷径。
当安全团队面临在更短时间内完成更多任务的压力时,他们就不得不偷工减料,而自然首当其冲受害的是那些感觉不那么紧迫的事情,比如改进计划、文档记录、维护和根因分析。一方面,这是可以理解的,因为在短期内,走这条路可以让安全团队在其他领域完成更多任务,并专注于一些日常运营工作。但从长远来看,他们最终要为这些“奢侈行为”付出代价。跳过威胁建模、不完全打补丁、忽略IaC错误配置、不清理IAM异常以及推迟其他基础性工作,会累积无形的长期风险,最终在某天爆发,让某人措手不及。
文章作者这样解释这一现象:“捷径之所以诱人,是因为从偷工减料到能力下降之间往往存在相当大的延迟。例如,推迟预防性维护的主管通常会经历一个‘宽限期’,在此期间他们享受产出增加(通过避免计划停机)和节省维护成本的好处。直到后来,随着设备老化和磨损,他们才开始体验到产量下降和正常运行时间减少。[…] 同样,一位为了按时完成项目而放弃文档的软件工程师,短期内几乎不会产生什么成本;只有当她后来回头修复测试中发现的bug时,她才会感受到几周或几个月前所做决定的全部影响。”
归因谬误的力量
我们的行业是心理学家所称“基本归因谬误”的典型例子。文章作者如此解释这一现象: “假设你是一位面临业绩不佳问题的经理。你的运营没有达到目标,你必须采取行动。[…] 你有两个基本选择:让人们更努力地工作,或者让他们更聪明地工作。要做出决定,你必须对低绩效的原因做出判断。如果你认为系统表现不佳是由于能力低下,那么你应该专注于更聪明地工作。另一方面,如果你认为你的工人或工程师有些懒惰、不守纪律或者只是在逃避责任,那么你需要让他们更努力地工作。
你如何决定?研究表明,人们通常假设原因和结果在时间和空间上紧密相关:为了解释一个令人费解的事件,我们会寻找另一个可能引发它的、最近发生且邻近的事件。人们也倾向于假设每个事件都有一个单一原因,低估时间延迟,并且未能考虑反馈过程。这些因果归因在职场环境中如何体现?考虑一位观察到某机器操作员生产出异常多缺陷产品的经理。这位经理很可能假定是工人的过错:工人在空间和时间上离缺陷产品的产生最近,而且其他操作员的缺陷率更低。然而,真正的原因可能与它产生的缺陷相距甚远(无论在空间还是时间上)。也许缺陷实际上是由于维护程序不当或培训计划质量差造成的。在这种情况下,真正原因与缺陷输出之间的延迟是漫长、多变且通常不可观察的。因此,管理者很可能得出结论,认为低产出的原因是工人努力不足或纪律不严,而非流程本身的问题。”
我们在安全领域总能看到这种现象。安全团队说,违规事件发生是由于用户错误,因为用户“愚蠢、缺乏安全意识、无视策略、并且无法停止点击链接”,而不是系统的问题(超负荷、糟糕的流程等)。而公司高管则将违规归咎于“糟糕的安全团队”,而不是系统性问題,如长期投资不足、技术债务、复杂性和缺乏自动化等。
“救火”循环催生英雄文化
安全团队深陷“救火”模式,只有相对少数能够为自己争取到时间和空间,去优先考虑专注于“更聪明工作”而非“更努力工作”的战略举措,这一事实导致了严重的后果。以下是Nelson Repenning和John Sterman根据他们的经验所观察到的: “随着组织越来越依赖‘救火’和更努力工作来解决因流程能力低下而导致的问题,他们会奖励和提拔那些通过英勇努力设法挽救陷入困境的项目或保持生产线运行的人。因此,大多数组织奖励的是最后关头的解决问题,而不是那些从一开始就能预防此类危机的学习、培训和改进活动。正如一位汽车公司的工程师告诉我们:‘无人因解决从未发生的问题而获得赞誉。’久而久之,高级管理层将越来越多地由这些‘战争英雄’组成,他们很可能培养并青睐其他像他们一样‘能干事’的人。正如我们采访的一位项目负责人所描述的:‘我们的[公司]文化奖励英雄。坦率地说,我就是这样走到今天的。我在压力重重和困难的情况下交付了项目,随之而来的回报是你被认可能够交付。这些就是晋升的机会。’”
读到这里,很明显,虽然安全领域肯定不是唯一一个人们难以为自己争取时间和空间去“更聪明工作”而不仅仅是“更努力工作”的地方,但它无疑是这一现象的绝佳例证。
一般来说,很少能看到安全团队在组织中获得足够的权力来实施预防性控制措施并防止问题发生。预防意味着摩擦,所以不仅是“无人因解决从未发生的问题而获得赞誉”,而且没有人能够承受引入更多摩擦。
深陷于没有足够控制权、资源和支持的情况下,难怪安全专业人员常常成为所谓“英雄文化”的牺牲品。说实话,很难责怪他们:毕竟,大多数安全人员都在尽力利用他们拥有的有限支持和资源做到最好。如果你有兴趣了解更多关于英雄文化及其在安全领域中的表现,我推荐阅读我和Kymberlee Price大约两年前发表的一篇文章,题为《网络安全中的英雄文化:起源、影响以及我们为何需要打破这个有毒循环》。(剧透警告——它今天和两年前一样具有现实意义)。
综合来看
Venture in Security 的一位读者 Michael A. Davis 曾在我另一篇文章下留言,他比我更好地解释了我在这里讨论的话题所带来的后果。他说:“如果这不是网络安全独有的,而是所有组织处理‘预防 vs. 应对’的方式呢?我认为同样的动态也出现在制造业(特别是质量控制)、医疗保健(预防医学)以及建筑/基础设施(维护 vs. 维修周期)中。
这种模式似乎是:
- 组织陷入‘救火’模式,因为这是可见且受奖励的。
- 先行者试图向那些被今天的危机和问题淹没的团队推销,他们应该‘解决明天的问题’。
- 只有像违规或监管强制令这样的外部力量,才能制造足够的痛苦来打破这个循环。
- 第二波行动者恰好在市场从‘理论风险’转向‘迫切需求’时出现。”
这是一个相当好的总结。我只想补充一点,虽然历史上预防性安全产品比那些更侧重于检测和响应(即“救火”)的产品更难推广,但近年来,预防性安全正开始获得相当大的关注。不仅我们看到新一代公司涌现,包括像 BforeAI、Aryon 和 R6 Security 这样的初创企业,甚至 Gartner 似乎也在提出“先发制人网络安全”的理念。时间将告诉我们是否能够克服传统上与预防性和先发制人安全措施相关的组织惰性,但我认为当许多聪明且固执的人尝试某件事时,通常是个好兆头。
来源:Gartner
这一切并不仅仅是关于为预emptive安全获得一个新的Gartner类别。我认为,更重要的是赋予安全团队权限,让他们能够优先考虑“更聪明地工作”,走在问题前面,规划未来,并找到时间去追求每个我所知的安全团队都希望找到时间和资源去推进的大规模举措。这关乎基础卫生和预防问题发生的心态,远胜于特定的产品或产品类别。
展望未来
自从Nelson Repenning和John Sterman发表他们的文章,解释“无人因解决从未发生的问题而获得赞誉”以来,已经过去了20多年。他们谈论的是企业在决策方面普遍采用的方法。虽然所有这些都与安全无关,但我们的行业只是放大了其他商业领域中看到的问题。
在未来的几年里,我希望更多的安全领导者能够获得信任和政治资本,以倡导在他们的组织中优先考虑“更聪明地工作”。我看到如此多的CISO试图做正确的事情,但却遇到内部障碍,这让我不得不乐观地认为情况会变得更好。我也希望我们将看到更多的初创企业提出能够重塑旧问题并找到现代解决方案的想法,而不仅仅是自动化和规范我们一直以来所采用的旧的、低效的工作方式。这就是Tomer Weingarten在我们最近的“Inside the Network”节目中所描述的“渐进式思维”问题。我们整个行业都可以做得更好,并且我毫不怀疑我们将会做到。
如果你喜欢我的博客,请订阅并与你的朋友分享。我在空闲时间做这件事,所以看到读者群增长有助于我保持动力,写出更多内容。除了我的文章,我不发送任何其他东西,也不会把你的数据卖给任何人,因为我有更好的事情要做。
如果你是建设者——无论是现任或未来的初创企业创始人、安全从业者、营销或销售负责人、产品经理、投资者、软件开发人员、行业分析师,还是任何正在构建网络安全未来的人,请查看我的畅销书《Cyber for Builders》。
如果你的公司有兴趣赞助 Venture in Security,请查看赞助信息。
最后,请关注“Inside the Network”播客,我们为你带来构建网络安全未来的最佳创始人、运营者和投资者。