安全需要承诺

作者：Jason Taylor

发布日期：2019 年 10 月 23 日

阅读时间：7 分钟

在我的上一篇文章中，我谈到我们没有人知道如何解决网络安全问题。这是一个同义反复，所以并不令人惊讶。如果我们知道如何解决问题，问题就已经解决了。因此，我们不知道如何解决问题。

但这确实令人惊讶，因此它感觉像是一个“艰难的事实”，而不是“事实”。

面对一个长期存在的问题（如网络安全），典型的假设是，如果我们有更多的意愿、更多的资源、更多的智慧，或者更多上述所有，我们就能解决问题。我们没有停下来思考，如果我们正在做的事情不起作用，做更多同样的事情可能不会改变局面。承认我们不知道自己在做什么可能很困难。

我想谈谈承诺。昨晚我在想，如果我是国王，我会做什么。也许不是真正的国王。但如果我有足够的力量改变世界，我会做什么来解决网络安全问题？这自然让我想到了根本原因。

当我躺在床上时，我意识到，缺乏承诺是我在与 struggling 的客户合作时看到的最常见问题之一。这并不意味着他们没有在网络安全上努力工作。也不意味着他们没有投入大量资源。但即使从内部感觉不到，我看到的是他们在追求半途而废的措施。

另一方面，我看到取得实质性进展的公司是那些已经弄清楚如何 fully commit 的公司。

对安全的承诺听起来很简单——但并非如此，因为它是一个企业价值观的问题。任何在大型企业工作过的人都会认识到，改变企业价值观是最困难、最具破坏性，也可能是最 powerful 的事情之一。我不想 trivialize 这个问题，或让任何人为自己在一个没有 fully commit 安全的公司工作而感到糟糕。但如果你要降低网络安全风险，值得诚实地面对是什么在阻碍你。

也许你在想，我们是 committed！我们在安全上花了 $NN 美元。我有一个 CISO。我有一个安全团队。我培训我的开发人员。我培训我的员工。你还期望我做什么？

这些都很好——你已经采取了一些正确的步骤。但你还没有 committed。还没有。要承诺安全，要真正 move the needle，这意味着你需要改变一切。你需要改变你的思维方式。你的行为方式。你开发软件（或购买软件）的方式。你领导团队的方式。你需要改变一切。

我们大多数人成长在一个可以忽略周围大多数威胁的世界。我们生活在法治是一切基础的国家。也许你们中有些人曾经生活或访问过法治崩溃的世界部分地区。想想你在那种环境中必须如何思考和行动。一切都变了。这就是我们今天生活的安全环境。

你在互联网上部署的每一个应用程序都是罪犯和政府行为者的目标，他们可以 virtual impunity 地攻击你。他们 beyond the reach of the law。他们 everything to gain and nothing to lose。你 everything to lose and nothing to gain。很糟糕，对吧？

如果你在构建和部署软件时，仿佛你的用户会尊重法治，那么你还没有睁开眼睛看到数字世界的现实。

我所说的承诺是什么意思？考虑构建和部署一个重要技术项目所需的承诺水平。一家银行转向在线银行。Netflix 当它承诺流媒体电影时。一家医疗设备制造商将患者与医生实时连接。Amazon 承诺云计算。

这就是承诺一家公司的样子。这意味着从董事会和 C-level 高管，到 individual staff，每个人都 dedicated to this course，以推动业务 forward。这就是网络安全要求你的承诺水平。

也许这感觉不公平。而且可能感觉像是一个没有 factored in 的成本——一个意味着你的一些软件系统不再 fiscally viable 的成本。我同意这不公平。但这是我们的现实。

也许你可以再坚持一段时间 business as usual，也许一段时间内什么也不会发生。但这意味着你是在忽略风险，而不是 addressing it。你是在 crumbling cliffside 上 building，并假装 cliff 不存在。cliff 不在乎。在某个时候，那个决定会 catch up with you。

我认为安全 industry 应该为这种情况承担部分责任。大多数安全领导者并不 fully understand 软件安全。这是可以理解的。这是一个庞大而复杂的领域，没有软件开发背景，很难 get your arms around it。所以你做什么？你寻找软件安全专家。你与 vendors 交谈。这些 vendors 都是专家，毫无疑问，但他们的工作是向你销售他们的解决方案。他们很少会告诉你他们卖的东西不会解决你的问题。有时，也许，他们会告诉你它只会解决你问题的一部分。但大多数时候，他们的 pitch 会是，如果你买了他们卖的东西，你就不再需要担心。你已经将软件安全外包到他们手中。他们会照顾你。

这是一个方便的 fiction。你不能外包软件安全。没有工具会让你安全。没有培训会让你安全。没有过程会让你安全。他们卖给你的是一个 shortcut。这是一种避免所需承诺和投资水平的方式。

如果你投资了安全 vendor 卖给你的东西，我很抱歉告诉你，你正在做的大部分事情可能是 security theater。也许你买了 DAST、SAST、IAST 或 RASP。也许你购买了员工意识培训。也许你是那些使用你买的工具 consistently 查找和修复漏洞的顶级公司之一。也许你的员工真的看了你让他们看的视频，所以他们知道如何擦白板和清理桌子。你仍然没有 move the needle。没有多少。如果你的企业策略是“对安全做点什么”，而不是“围绕安全转型公司”，那么你还没有 fully committed。

这是一个价值观的问题。

——

我想在这里结束文章，但我还有一些额外的想法。我在上面段落中写的一切都是真的。但我讨厌它是真的。

很遗憾安全如此困难，一切都如此复杂。我希望开发团队能够专注于为用户增加价值，专注于功能和用户故事以 delight and inspire。我希望我们不必花这么多时间担心坏人。这是对生产力的 tax——而且这是一年比一年 steep 的 tax。

当我二十多年前开始这段软件安全之旅时，我被教导我们需要构建一个 virtual castle 来保护我们的数字资产。你不能在最后 slap security on。你必须从 ground up 构建它，具有 minimal attack surface，并具有许多 layers of defense-in-depth。然而，我从未质疑为什么这是必要的。为什么我们需要像城堡一样构建每个应用程序？为什么它必须如此困难且如此昂贵？

想象一下，如果我们生活在一个你的房子必须像城堡一样建造的世界。一个如果你负担不起住在 fortress 中，你就不会安全的世界。听起来像中世纪，对吧？当涉及到我们的物理安全时，我们已经超越了那个模型。在互联网上，我们 unquestioningly 接受它。

与其建造更大更好的城堡，也许真正的挑战是弄清楚如何改变 playing field？

——

这篇文章是一个系列的一部分，Joe 和我将在其中探索软件安全 landscape 中的 gaps，寻找可能让我们到达更好地方的解决方案。

请订阅我们的 newsletter。每个月我们都会发送一份 newsletter，包含新闻摘要和我们最近几篇文章的链接。不要错过！

另请参阅

• None of Us Knows What We Are Doing

• Anonymous is Better at SysAdmin Than You

• Inspiring Your Teams in Security

• Follow the Money

分享与讨论

• 在 HackerNews 上讨论

• 在 Twitter 上分享

归档于

Hackers, Security Teams, CISO, Leadership

Joe Basirico & Jason Taylor © 2023 更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

办公AI智能小助手