在當(dāng)今這個(gè)數(shù)字化時(shí)代，網(wǎng)絡(luò)安全的重要性與日俱增。然而，盡管政府和企業(yè)不斷強(qiáng)調(diào)其重要性，網(wǎng)絡(luò)安全行業(yè)的發(fā)展卻似乎陷入了一個(gè)怪圈。

在斯諾登事件后的黃金十年中，網(wǎng)絡(luò)安全行業(yè)取得了飛速發(fā)展，但是近年卻陷入低谷和“至暗時(shí)刻”，無論企業(yè)營(yíng)收利潤(rùn)還是創(chuàng)投融資，都呈現(xiàn)頹勢(shì)。在數(shù)字化和人工智能技術(shù)革命的紅利期，到底是什么阻礙了網(wǎng)絡(luò)安全行業(yè)的發(fā)展？

今天，大多數(shù)企業(yè)面臨最大安全難題不是黑客攻擊，而是安全工具整合。

以網(wǎng)絡(luò)風(fēng)險(xiǎn)管理為例，在不同規(guī)模的組織中，網(wǎng)絡(luò)風(fēng)險(xiǎn)管理可能包括大量的技術(shù)，如攻擊面管理（ASM）、漏洞管理（VM）、云安全態(tài)勢(shì)管理（CSPM）、網(wǎng)絡(luò)威脅情報(bào)（CTI）源、配置管理數(shù)據(jù)庫(kù)（CMDBs）、滲透測(cè)試、紅隊(duì)工具等。那么，安全團(tuán)隊(duì)如何將所有這些工具和技術(shù)整合在一起呢？忘掉人工智能吧，許多組織仍然依賴于手動(dòng)流程和電子表格。

安全平臺(tái)模式存在局限性

平臺(tái)化是Gartner等公司強(qiáng)調(diào)的網(wǎng)絡(luò)安全市場(chǎng)最熱門的趨勢(shì)之一，也是對(duì)網(wǎng)絡(luò)安全廠商最具吸引力的概念之一。在平臺(tái)模式下，企業(yè)只需從一家安全廠商那里購(gòu)買所有技術(shù)和服務(wù)，并讓廠商代表企業(yè)進(jìn)行整合工作。這聽起來很有吸引力，平臺(tái)可能對(duì)小型企業(yè)有用，但對(duì)于大型企業(yè)來說，平臺(tái)有嚴(yán)重的局限性。

對(duì)于大型企業(yè)來說，“平臺(tái)”是供應(yīng)商鎖定的代名詞，這是企業(yè)需要盡量避免的情況。假設(shè)一個(gè)大型企業(yè)對(duì)平臺(tái)感興趣，它可能需要數(shù)月甚至數(shù)年的時(shí)間，才能從分散的工具遷移到一個(gè)集中化管控平臺(tái)。鑒于此，平臺(tái)供應(yīng)商需要說服許多不同的人，讓他們相信這種努力是值得的——對(duì)于持懷疑態(tài)度的網(wǎng)絡(luò)安全專業(yè)人士來說，這是一個(gè)艱巨的任務(wù)。

今天，威脅態(tài)勢(shì)和相關(guān)安全需求的快速變化往往會(huì)超出平臺(tái)功能范圍。企業(yè)將如何彌合這些差距？當(dāng)然是通過為特定用例設(shè)計(jì)額外的點(diǎn)工具，這最終將導(dǎo)致企業(yè)墜入復(fù)雜性的深淵。

依靠API整合安全是一個(gè)錯(cuò)誤

現(xiàn)實(shí)中，擁有復(fù)雜IT基礎(chǔ)設(shè)施和應(yīng)用環(huán)境的大型企業(yè)可能不想用“樣樣通，樣樣粗”的安全技術(shù)平臺(tái)來滿足安全需求，那該怎么辦呢？

毫無懸念，企業(yè)安全主管們會(huì)掏出網(wǎng)絡(luò)安全工具箱中的大殺器——API，期待不同的技術(shù)通過API實(shí)現(xiàn)互操作。

但是，依靠API整合安全是一個(gè)錯(cuò)誤。理論上，API連接聽起來不錯(cuò)，但在實(shí)踐中的成效卻極其有限。要讓API正常工作，安全廠商必須向其他廠商開放其API。有時(shí)他們會(huì)這樣做，但更多時(shí)候，他們拒絕這樣做。即使廠商開放了API，仍然存在問題。

假設(shè)客戶計(jì)劃將漏洞管理產(chǎn)品與EDR（端點(diǎn)檢測(cè)和響應(yīng)）工具集成，此前客戶已經(jīng)安裝了Crowdstrike、SentinelOne和Trend Micro EDR的產(chǎn)品。然后，漏洞管理廠商將需要與所有三個(gè)供應(yīng)商合作，并與三個(gè)不同安全產(chǎn)品的API進(jìn)行集成，這意味著大量的工作。

網(wǎng)絡(luò)安全企業(yè)“互相卡脖子”

主流網(wǎng)絡(luò)安全技術(shù)/產(chǎn)品存在嚴(yán)重的互聯(lián)互通問題，這本質(zhì)上是利他主義和資本主義之間的沖突。不幸的是，對(duì)安全行業(yè)的所有人來說，資本以很大的優(yōu)勢(shì)贏得了這場(chǎng)戰(zhàn)斗，這表現(xiàn)為安全廠商為了保住競(jìng)爭(zhēng)優(yōu)勢(shì)而“互相卡脖子”。

個(gè)別安全廠商可能贏得了“互操作”局部戰(zhàn)斗，但整個(gè)行業(yè)輸?shù)袅藨?zhàn)役。舉一個(gè)簡(jiǎn)單的例子，沒有一個(gè)主流漏洞掃描器會(huì)直接從競(jìng)爭(zhēng)掃描器中攝取數(shù)據(jù)。因此，如果你的環(huán)境中有各種掃描器，你必須自己將數(shù)據(jù)作為你的風(fēng)險(xiǎn)緩解任務(wù)的一部分進(jìn)行整合，盡管每個(gè)掃描器執(zhí)行幾乎相同的基本功能。

如何修復(fù)網(wǎng)絡(luò)安全行業(yè)的脫節(jié)

網(wǎng)絡(luò)安全行業(yè)需要采取開放架構(gòu)方法，例如ESG的安全運(yùn)營(yíng)和分析平臺(tái)架構(gòu)（SOAPA）或Gartner的網(wǎng)絡(luò)安全網(wǎng)狀架構(gòu)（CSMA），這些架構(gòu)依賴于一些開放標(biāo)準(zhǔn)的創(chuàng)建和協(xié)議：

• 數(shù)據(jù)格式標(biāo)準(zhǔn)。開放網(wǎng)絡(luò)安全框架（OCSF）看上去令人鼓舞，但它來得太遲了，太多的供應(yīng)商沒有加入。期待OCSF取得更多進(jìn)展。
• 標(biāo)準(zhǔn)API。沒有理由需要用多種語言與同一技術(shù)類別的不同工具進(jìn)行連接。每個(gè)領(lǐng)域的供應(yīng)商，或者某個(gè)中央治理/工程機(jī)構(gòu)，應(yīng)該幫助創(chuàng)建和管理這些項(xiàng)目。
• 補(bǔ)救措施的標(biāo)準(zhǔn)。如果我們想阻止一個(gè)入侵指標(biāo)或生成一個(gè)虛擬補(bǔ)丁作為補(bǔ)償控制，我們需要能夠與所有類型的端點(diǎn)安全軟件、防火墻和IDS/IPS系統(tǒng)進(jìn)行通信。應(yīng)該有一種方法告訴每個(gè)安全控制統(tǒng)一采取行動(dòng)。幾年前，我們對(duì)名為Open C2的標(biāo)準(zhǔn)充滿希望，履行這一角色。希望這正在發(fā)生，但如果是的話，很少有人知道。

有人認(rèn)為網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)化進(jìn)程可能會(huì)變得混亂，最終變成一個(gè)爛尾的工程科學(xué)項(xiàng)目。但我們無需悲觀，一些安全標(biāo)準(zhǔn)已經(jīng)取得了顯著的成效。例如STIX/TAXII標(biāo)準(zhǔn)提供了一種一致的方式來描述和傳達(dá)威脅情報(bào)細(xì)節(jié)。通過這種方式，STIX/TAXII提高了威脅情報(bào)分析及其隨后的風(fēng)險(xiǎn)緩解行動(dòng)的效率和效果。

誰能推動(dòng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的努力？一個(gè)政府機(jī)構(gòu)或者可能是MITRE、ENISA，或者某種協(xié)作項(xiàng)目。金融服務(wù)行業(yè)的大型組織可以讓他們的安全工程師聚在一起，制定一些標(biāo)準(zhǔn)，然后向行業(yè)發(fā)號(hào)施令。

其實(shí)早在二十多年前，曾經(jīng)有個(gè)名為Jericho Forum的致力于定義和推廣去邊界化的網(wǎng)絡(luò)安全行業(yè)組織。該組織吸引了亞馬遜、CrowdStrike、微軟或Palo Alto Networks等科技巨頭，以及波音、寶潔、勞斯萊斯、渣打銀行等更多行業(yè)企業(yè)加入。

最終，Jericho Forum 的理念和工作對(duì)后來的零信任安全產(chǎn)生了深遠(yuǎn)的影響。零信任安全的核心理念是“永不信任、始終驗(yàn)證”，最早的雛形正是源于Jericho Forum。

網(wǎng)絡(luò)安全最大的敵人是自己

Jericho Forum的成功表明，網(wǎng)絡(luò)安全行業(yè)可以跳出納什均衡博弈陷阱，達(dá)成雙贏甚至多贏局面。有了標(biāo)準(zhǔn)的管道，安全廠商可以集中資源和精力在理解客戶需求和創(chuàng)新功能上競(jìng)爭(zhēng)。

1972年，漫畫《Pogo》引用了美國(guó)海軍指揮官奧利弗·哈澤德·佩里的一句名言：“我們遇到了敵人，那就是我們自己?！?/p>

不幸的是，這句話點(diǎn)中了網(wǎng)絡(luò)安全行業(yè)最深的痛點(diǎn)。資本凌駕于行業(yè)生態(tài)健康之上，正將所有人（包括關(guān)鍵基礎(chǔ)設(shè)施和無價(jià)的數(shù)據(jù)資產(chǎn)）都置于風(fēng)險(xiǎn)之中。反過來，對(duì)資本和市場(chǎng)（競(jìng)爭(zhēng)）的迷信和高度依賴也正將網(wǎng)絡(luò)安全自身帶入危險(xiǎn)境地。

現(xiàn)在是所有網(wǎng)絡(luò)安全社區(qū)團(tuán)結(jié)起來，尋求合作的時(shí)候。在一個(gè)日益復(fù)雜和危險(xiǎn)的數(shù)字叢林時(shí)代，網(wǎng)絡(luò)安全行業(yè)需要通過拯救自己來拯救所有人，當(dāng)然，政府和資本也應(yīng)該意識(shí)到這一點(diǎn)。