歡迎訪問網易云社區，了解更多網易技術產品運營經驗。

“知物由學”是網易云易盾打造的一個品牌欄目，詞語出自漢·王充《論衡·實知》。人，能力有高下之分，學習才知道事物的道理，而后才有智慧，不去求問就不會知道。“知物由學”希望通過一篇篇技術干貨、趨勢解讀、人物思考和沉淀給你帶來收獲的同時，也希望打開你的眼界，成就不一樣的你。

原文：The next 50 years of cyber security
作者：Ryan Mcgeehan

網絡安全現在可謂“道高一尺、魔高一丈”。作者分析了網絡安全行業發展滯后的原因，希望未來的網絡安全風險能夠像天氣那樣可量化、可預測。提出要對數據泄露根本原因進行分類，要在數據泄露通知中出現根本原因的詳細描述，而不是模糊地說遭受了黑客攻擊。安全工作必須要有一個概率結果。作者是一個有情懷的人，希望能夠成為徹底變革網絡安全行業的一份子。

要使得網絡安全風險能夠像天氣那樣可量化、可預測

世界需要在網絡安全方面取得更大的進步。讓我們從整個行業的角度出發，試著探索一下阻礙網絡安全行業進步的一些特定障礙……

雖然這個問題看起來非常寬泛，但我們將只討論其中的特定問題領域。
這不是一篇有什么動機的文章，以下包括整個行業的待解決事項。

當前網絡安全行業發展滯后歸因于：

圍繞數據泄露的根本原因缺乏分類方法；

數據泄露的根本原因缺乏透明度；

那些從事網絡安全的人缺乏概率方法。

這些不足阻礙了網絡安全行業以合理、科學和有組織地方式運行。

風險衡量的局限阻礙了信息安全的發展

只有驅使這個行業及其社區朝著可量化方法和目標集體推進，才能構建一個讓我們引以為豪的未來。

首先，解說一下我的幾項言論，然后探索特定的機會領域。

能否以效率為中心“解決”網絡安全問題？

研究不同的行業歷史，就可以了解它們是如何快速發展的，這樣網絡安全行業存在的不足就變得清晰。我會簡要描述這種模式，并討論從長期來看信息安全行業的具體目標。
許多行業通過衡量實現了自我革新。

與信息安全行業類似，這些行業也是在一段時期內，行業內的問題得到了很好的理解，沒有任何大規模的沖擊。

也就是說，直到一種衡量觀念模式的出現，它要求行業變得更加高效。

舉幾個例子：

現代流行病學帶來了無數的創新。看醫生增加了病人的存活期而不是預示即將面臨死亡。

亨利?福特對生產線效率的癡迷引領我們進入了一個現代化的制造時代。

氣象學的巨大進步始于1950年左右，當時定量預測可以滿足日益強大有組織的測量能力。

接下來，將對網絡安全和氣象學進行比較，它們有許多相似之處。

從1900年到1950年，氣象學以發現、理論和實驗為特征。1950年以后，它很容易被描述為全面致力于構建數據豐富、可訪問以及定量預測的基礎建設。

就像1950年以前的氣象學一樣，網絡安全的歷史總是關于創新的。網絡安全行業已經發明和構建了大部分的工具、基礎設施、技能和語言，以便能夠完成降低風險的工作。我們有一個引以為豪的行業來證明我們的理念，但是失敗了。

開始一個類似氣象學“50年”的工作需要什么？它需要大量的協作、行動、監管以及合適的預測方法。

這將如何改變安全策略？

概率安全基礎設施應該將如何改變安全策略作為一個產業，有完全不同的安全團隊以及社區，這樣更加有效和合理。

縱觀行業取得的集體進步，迄今為止，作為一系列不同的安全創新事物，大部分彼此之間相互獨立。獨特的產品，創新，系統，工具，或是幫助我們塑造自己獨特的安全方案的規范。

除非能將這些成果統一和引導成理性的方法處理安全問題，否則就像大量沖突的目標，無法有一個焦點。

我們錯過了什么東西。它是一個有著很多名字的怪獸。

它被粗略地描述為“定量決策”，這幾乎是每個已經找到成熟和規模方法的行業的基礎。
一旦一個行業擁有了必要的戰備工具和創新理念，它就開始對自身進行密集的衡量，以便在更高層次上進行競爭或生產。

這里有一些時髦術語可以用來探究這些思維方式的特點：

流行病學

工藝優化

六西格瑪

精益生產

改善

TPS. DFM.

質量管理

有效學習

泰勒主義

運籌學

投資策略貫穿于衡量、迭代改進和定量決策的始終。將如何命名我們的策略呢？那么，它又在哪里呆了這么久？

為什么不像其它行業那樣來衡量網絡安全？

這個問題的根本原因頗具諷刺意味，是不去研究數據泄露根本原因的多軌追蹤。

棘手的地方是：即使有大量的根本原因數據，現代安全團隊也很少知道如何處理這些信息。他們不知道如何反饋它，也不知道如何衡量自己在減少與這些根本原因相關的結果的可能性方面取得的進展。

沒有定量衡量風險隨時間降低的安全團隊，只是希望他們的行動能改變未來的結果，然而希望不是策略，這些行為很容易與一場“祈雨舞”，一個貨物崇拜相媲美，或者與關于精神錯亂和預期結果的陳詞濫調相提并論。

以前以為信息安全風險太細微了，不能用真正的定量方法來嚴格的衡量。衡量方法不會像那些為安全團隊制定策略的有才能的個人的直覺和引導那樣有效。從那時起，當我開始了解基于角色場景的預測和跨不同行業的嚴格評估時，就堅信了另外一種說法，信息安全風險可以定量衡量。

安全團隊彼此之間的運作方式相差太大

在與許多安全團隊一起工作的幾年時間里，幾乎所有表現出對風險真正的偏見和非理性的直覺都來自少數有影響力的人。我自己運作的團隊也遭遇類似的問題，這種偏見和非理性直覺來自于我自己。這一點尤其體現在一個公司或團隊將如何從下一個，甚至在相同的競爭領域去處理風險。

此外，突變可能發生在領導者變化時。某個公司在多年的時間里經歷了四次領導變革，每次都以完全不同的方式對待風險，每次要求員工參與到新的思想流派。有領導者的判斷是“正確”的嗎？更多他們可能只是武斷地選擇。

下面是一些例子：

“遵從”。虔誠地遵守規定的規章制度。

“顧客至上”。優先考慮/滿足客戶需求清單。

“基于標準”。信奉行業成熟的模型或標準。

“威脅驅動”。踐行威脅核心和優先處理對手目標。

“參考組織”。與其它組織相比，要與眾不同。

“檢測優先”。一級檢測允許更寬松的安全性。

“萬里挑一”。不要被指責為玩忽職守。

“度量驅動”。選擇度量作為“風險”的代理，并減少它們。

“混沌”或“迭代”。不斷地打破、觀察和修正。

“專家”的直覺通常是如何實現這些或某一些的組合。不是通過任何結構化的決策方法。
在許多情況下，專家的直覺是錯誤的，在涉及網絡安全風險的行業中，這是一個大問題。

我也不例外，我的直覺同樣不可靠。我的直覺總是希望事故響應能力和強大的日志記錄處于團隊策略的前沿。我可以論證為什么這種方法是優越的……但是其它方法的倡導者亦是如此。為什么我會與眾不同？或者你有什么與眾不同呢？都是自己的迷之自信罷了。

如果有科學的方法去構建專注于風險的團隊，就不會經常看到如此激烈的戰略分歧，也不會在優良方法、產品或者策略上爭論這么多。會爭論如何選擇一個策略，或者更具體地說，為了降低風險所作的選擇，以及為什么這個選擇比其它選擇更好，通過一個科學的方法來論證，而不是把有影響力的詞匯串在一起。

通過了解所需的、共享的基礎設施，可以加速發展應對網絡安全風險的科學方法。現有技術可用于衡量來自其它行業的風險，安全工程師有足夠的機會使得這種衡量技術對信息安全和技術公司有效。

有三件事需要向前推進

網絡安全行業的行動指南存在于其它領域。我特別關注航空航天，核工業，特別是天氣預報行業。這些天我大部分時間都在叨擾這些領域的專業人士，想通過他們充分了解這個主題。

這些行業的經驗教訓得到了經濟和心理學領域研究成果的支持，即如何基于復雜信息做出理性決策。這項研究是穩健的，可信的，可獲得諾貝爾獎金的。希望能夠依靠這些經驗來彌補（希望是暫時的）在數據安全方面存在的不足。

接下來描述安全行業如何處理風險的三個特定方面的薄弱環節，這些都是沉重的問題，減緩了安全行業邁向效率時代，靈感來自于安全行業管理風險方面與其它行業不同。

1.數據泄露根本原因的分類語言

目前對泄露數據的典型可用性和質量感到滿意，它是非結構化的數據，非實時的，不可訪問的，而且是罕見的。

有人可能有不同意見，并指點我看Verizon數據泄露報告，看Troy Hunt的博客，看票據交易所的隱私權，或者Graveyard的區塊鏈，或者Krebs，或者IC3或者本地的infraguard。

我認為不應該滿足于在新聞業，博客，PDF和地方會議中提到數據泄露。這樣不能為預測基礎設施創建基石，而基礎設施對于快速發展的風險方法至關重要。

想象一下，如果天氣預報局限于博客文章，PDF和電子郵件公告，生活會有多糟糕？
盡管現狀對于理解趨勢風險是無價的，但它們在構建可用于預測風險的基礎設施以及增加對預測的依賴性方面卻非常欠缺，共享根本原因基礎設施的潛力是巨大的。

這里也有機會。我們非常擅長對不同形式的漏洞和攻擊方法進行分類。但就數據泄露而言：行業、新聞界和監管部門都對“它們被黑客攻擊”這一根本原因感到滿意。考慮到我們應該雄心勃勃地降低風險，這是一個不可接受的標準。

在根本原因分類上做了一個嘗試： Graveyard區塊鏈。

我曾親自嘗試解決這個分類問題，重點是數字加密貨幣（“c9y”）。C9y公司經常出現數據泄露。

令人驚訝的是，c9y受害者公開討論數據泄露的根本原因。由于這種透明度，這是一個機會，至少可以評估每個相關聯的數據泄露的根本原因。這為理解為什么c9y初創公司如此頻繁地受到黑客攻擊，為什么受到黑客攻擊，以及采取最有價值的緩解措施來降低數據泄露的可能性等方面提供了概率杠桿。

Graveyard區塊鏈評價

c9y公司的安全工作可以使用這些評價來預示和優先處理現實的、可能的場景，而不是基于單純的檢查表、FUD，或者直觀的猜測。

我所工作過的c9y產品公司展現了更加理性、數據驅動的安全性方法。它們具有明顯的根本原因數據的優勢，這些根本原因數據具有可訪問性。

盡管Graveyard區塊鏈是一個獨立的，主要是業余愛好者的成果，它不基于標準根本原因語言來組織趨勢。必須承認，在評估這些根本原因時，可能有作者堅持自己的偏見。
其它行業需要恰當的事件分類。

基于在Graveyard區塊鏈的嘗試，它堅定了我對數據泄露分類困難的信念，但是并沒能說服我這么做不可能，部分原因是氣象學家對分類很有興趣。在某些方面，氣象學的問題比網絡安全問題更容易，但在某些方面，氣象學的問題比網絡安全問題又更難。大多數天氣被嚴格定義為與概率預測基礎設施兼容。

當一場大災難來襲時，我們對“惡劣天氣造成千人喪生”并不滿意。我們需要嚴格的語言來描述所發生的事情。

氣象學家對“4級颶風造成千人死亡”或“EF5龍卷風未被預測，造成千萬美元損失”這種表述更滿意。

當一個清晰確定的事件發生時，氣象學急于了解如何更好地預測和減輕事件，如何更早和更具體，急于知道哪些模型失敗，哪些模型成功。

氣象學家依賴于與天氣相關的大量可觀測數據，預測未來與之相關的可能性。動態調整，讓預測基礎設施變得更智能，他們對未來事件的先驗性不斷變化。

對比一下安全行業的荒謬。安全行業習慣于“公司被黑客攻擊了，數以千計的客戶數據泄露！”這種描述。常常找不到根本原因，或者幾周后，這些教訓消失在新聞歸檔中。
受害者沒有任何標準語言來描述他們被攻擊的根本原因。如果一個根本原因確實是可用的，它會被隱藏在新聞報道中，而不是統計資源中。這些描述不會對風險產生任何概率優勢，也沒有預測的杠桿作用。

圍繞分類有大量樂觀的看法。

安全行業很擅長對安全的、細微的、狹義的方面進行分類。

有許多威脅建模和漏洞分類的已有技術可以起到杠桿作用。可以用可分類的，可數的方式來描述數據泄露的主要因素。現在，我們擁有Mitre ATTACK框架和OWASP ASVS以及CVE，但也存在巨大的分類差異。舉個例子：手機賬戶數據受到威脅，內部人士由于興趣愛好濫用訪問權限，又或者是中了勒索病毒。這些趨勢并不滿足于廣義的“auth”，“內部人士”或“惡意軟件”分類。我們使用什么標準來快速發現和計算趨勢？

需要靈活的分類方法來描述根本原因，而不是滿足于道歉的博客帖子和受害者的數量估計。例如，可以通過手動分析數據泄露通知觀察到，小企業稅務籌劃店是網絡釣魚攻擊的主要目標。目前通過社會工程和憑證重用可以阻止導致稅務欺詐的W2盜竊的RDP實現。這使得小型會計師事務所的風險遠高于任何一般雇主向員工發放W2的標準風險。在美好的未來，這可能是很容易進行的實時觀察。

利用可訪問的方法來分類根本原因，然后可以根據對自己組織的了解，采用強有力的概率方法來更好地預測風險。具有特定根源的場景可以在我們自己的組織中以強有力的方式預測，類似于出現在核工業和航空航天領域、并且持續出現在氣象學中的專家啟發方法。

2. 在數據泄露通知中必須出現根本原因

世界各地的數據泄露通知規則分散化，標準不一。即使是強制性的，許多通知也不是公開可用的。今天，一個適當的反饋回路的機會往往被浪費掉。

此外，數據泄露通知很少以令人滿意的方式描述發生的事情，通知一般是一份附帶有受害者數量的道歉信。事件和導致事件發生的環境每天都會變成黑洞。

公司不愿意披露數據泄露的原因有很多，他們更不愿意披露數據泄露是如何發生的。不需要討論這些。重要的是讓這些數據變得豐富、通俗、易懂，并克服這些障礙。

由于目前可用的零散數據出現了明顯的趨勢。例子：W2數據對攻擊者來說非常有價值。勒索軟件正在興起和不斷創新。憑證重用被證明是好用的，而且仍在蓬勃高漲。
這些信息可以從手動審查數據泄露通知時，通過典型模糊短語收集，但是數據泄露通知通常不包括任何根本原因語言。數據泄露的整個趨勢都消失了，因此執行定量推理的能力被破壞了。

這就是我們錯失的，例如：“在稅收籌劃行業，W2數據泄露的基線概率是每年18%。我們的預測，考慮到所做的準備，數據泄露概率減少到9%”這種聲明應該不難獲得，許多安全人員都對這種聲明感到不安。

這是網絡安全行業的弱點，其它行業熟悉概率術語和預測。那些人已經知道預測總是錯誤的，一個“最佳猜測”可能真的很有價值，特別是當那些猜測有很好的業績記錄時。預測只能朝著更正確的方向努力，同時還要了解預測的決策價值。

許多行業都熟悉按優先級排序的工作，與風險相關的未知預期值盡可能緊密。他們并不自鳴得意地相信自己能預測未來。他們知道預測和概率衡量的不足之處。安全行業也必須構建和學習這種方式，尤其是預測事件涉及活躍的邪惡人員。

核領域規則提供了中心可訪問的根源數據。

NRC的事件通知報告是一個非常有趣的讀物，來自事件響應的視角。與數據泄露報告相比，它們細到極致。它們會引用包含失敗案例的特定模型，詳細的影響，明確的根本原因。實例：

昨天發生一起輕微核事故的根本原因……

這個圍繞核材料小小的、無關緊要的事件的根本原因好于我所見過的任何數據泄露通知。它甚至比我所遇見的一些IR團隊做的沒下功夫的總結還要好，即便核相關的材料是保密的。

更大的根本原因數據流將允許安全團隊合理地優先考慮安全工作，基于無偏見的事件趨勢，適當地考量自己公司的個性化風險。

3.安全工作必須要求一個概率結果

信息安全專業的每一個概念都可以作為一種概率工具。即使不確定性非常高（例如，APT的區域，你是否受到威脅了），我們仍然有延伸的工具可測量，減少對一個場景的不確定性。

即使是在沒有可用數據的地方，氣象學家仍然預測天氣。在安全方面，我們必須預測風險，即使面對細微差別、波動的背景和不確定性。這種不確定性沒有任何借口。簡單的統計方法與我們的直覺和不確定性的測量是相容的，并且在其它地方得到了很好的實踐。

這里有一些天氣預報困難的例子：NOAA衛星經常離線，我們有糟糕的數據來預測盧旺達的天氣，有時氣象學家甚至用正確的數據也會搞砸。

盡管存在這些不確定性，氣象專家仍然盡最大努力預測天氣，因為他們的目標永遠是少犯錯誤。安全行業也是一樣，我們已經根據直覺做出決定，但不排除量化我們的預測。
借口不包括快速發展的技術，逃避衡量的智能威脅行為者，以及不知道的著名事件。我們仍然應該盡最大努力預測風險和支持改進預測的需求數據。

從紅客團隊到屬性，到安全工程管理的一切都需要成為概率。惡意軟件分析，社會工程，意識……它都與概率方法兼容。

所有已知的安全概念給出一個關于“壞事”是否會發生的意見。由于某些原因，我們害怕預測“壞事”，因為沒有完整的數據用來預測，也擔心被指責是猜測。

事實正好相反：未來風險具有不確定性恰好在預測的時候是有價值的，安全行業的所有創新在很大程度上影響我們的不確定性。安全行業完全基于一連串的猜測，當把直覺應用于安全問題的時候，這樣做并不依賴于那些不相關的科學。

事實上，隨著數據變得越來越稀疏，預測的作用似乎越來越廣泛。“如何衡量任何東西”的叢書是我所能找到的對預測嚴謹性已知研究的最佳組織。也許我們能夠比其它行業更進一步地拓展預測方面的科學，僅僅因為安全行業的問題空間極其不穩定。

在缺少數據的情況下，預測或評估填補了空白，并創建對更多數據的需求，改進預測等等。眾所周知，有一些方法可以降低主觀觀點的偏見，使它們可以量化，具有更好的一致性和降低波動性。

網絡安全預測的這個方面是我目前花費大部分時間的地方，因為它彌補了我前面提到的兩個方面的不足。如果預測失敗，數據必須迎頭趕上。如果數據沒有跟上，那只能靠預測填補。我們可以構建安全計劃，武器化定量決策原則，并研究一個真正能夠開始自我學習的行業。

結論

我想成為一個能夠徹底變革網絡安全行業的一份子。我的信念是，如果不接受概率對安全目標的作用，安全行業將繼續表現不佳。需要對數據泄露的反饋回路進行規范和研究。需要為安全行業創建高質量的驗證性學習的實踐，并且每個人都可以參與這些方法。

希望行業領袖會花時間去了解，希望認識到對風險衡量價值轉變的必要性，風險衡量對工程師來說是有用的。需要有能力去衡量哪些創新影響最大。

點擊免費試用網易云易盾安全服務。

相關文章：
【推薦】Spring Boot 學習系列（序）—Spring Boot

總結

以上是生活随笔為你收集整理的知物由学 | 未来50年网络安全行业发展愿景的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。