亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

業(yè)內(nèi)普遍認為，網(wǎng)絡(luò)安全市場是“檸檬市場”，一方（即安全廠商）掌握的信息遠遠多于另一方（甲方）。

在這篇文章中，我們將與Notion公司安全工程主管Mayank Dhiman合作，共同探討為什么安全不是檸檬市場，而是一個銀彈市場。

這個想法不是我和Mayank獨立提出的，本文圍繞伊恩·格瑞格（Ian Grigg）在2008年撰寫的一篇題為《銀彈市場》的優(yōu)秀文章展開分析。由于我們將自己的觀點與伊恩文章中表達的觀點聯(lián)系在一起，因此請假設(shè)引文中未列出的內(nèi)容均為我們的觀點，而非伊恩的觀點。

伊恩的這篇文章是深入了解網(wǎng)絡(luò)安全動向的必讀好文，我們希望本文能激勵更多業(yè)內(nèi)人士閱讀《銀彈市場》。

網(wǎng)絡(luò)安全市場現(xiàn)狀

安全的悲劇

“你想造一個盒子，上面裝一盞燈。當(dāng)你把盒子放進特定的房間時，燈就會熄滅。你怎么證明它能起作用？”-吉恩-斯帕福德，引自伊恩-格瑞格的《銀彈市場》。

這句話很有趣，它凸顯了測試安全解決方案的不可能性。這就是安全真正的悲劇–沒有簡單的方法來區(qū)分純粹的無能和純粹的運氣。我們系統(tǒng)沒被攻破，是因為我們的人員、流程和工具都很有效，都盡職盡責(zé)，還是只是我們運氣好？

每天都會有數(shù)十家不同的廠商找到安全leader，聲稱他們已經(jīng)開發(fā)出了”秘密武器”來防范有“危害重大”的新型攻擊，其他廠商沒辦法像他們一樣有效檢測到這些攻擊。廠商把自己的解決方案說的無所不能–就像一顆銀彈，可以對付狼人、吸血鬼、女巫或其他超自然生物。

CISO們購買了這樣的工具，將其部署到自己的環(huán)境中，然后就會產(chǎn)生這樣的疑問：如果產(chǎn)品沒有發(fā)出任何告警，這意味著沒人使用這種新型高級攻擊手段，還是這類工具根本就沒用？

沒有辦法能可靠的測試安全解決方案

在《銀彈市場》一文中，伊恩將防盜報警器測試與安全工具測試相提并論，認為”在安全業(yè)務(wù)中，攻擊者并不是我們測試過程中的一環(huán)，但他是網(wǎng)絡(luò)攻擊中的積極參與方；他帶有偏見，無視規(guī)則，蓄意破壞我們的安全，以造成我們的損失。他對我們的努力不以為然，并尋找其中的漏洞；我們輸了，他就贏了。單個攻擊者不可能發(fā)現(xiàn)所有的漏洞，所以即便是真正的攻擊者，也不能很好地預(yù)測任何具有其他明顯特征的事件”。

伊恩的文章發(fā)表至今已超過15年，但我們?nèi)晕凑业綔y試網(wǎng)絡(luò)安全產(chǎn)品的好方法。這并不是因為我們沒有嘗試，Venture in Security曾討論過從基于承諾的安全向基于證據(jù)的安全轉(zhuǎn)變的必要性，但事實是，這種轉(zhuǎn)變比許多人希望的要慢得多。

值得稱贊的是，行業(yè)提出了MITRE ATT&CK框架，并通過Atomic Red Team和Prelude等工具將其付諸實踐。我們已經(jīng)找到了比較不同工具的方法，盡管還不是很完善。但是這些進步大多并不持久，因為存在所謂的古德哈特定律（Goodhart”s law），即一旦你發(fā)布了一個指標(biāo)，它就不再是一個好指標(biāo)，因為現(xiàn)在大家都會試圖優(yōu)化這個指標(biāo)（或玩弄該指標(biāo)，取決于你怎么看待它）。安全廠商無需提高其工具的整體能力，僅需針對性的做一些優(yōu)化，就可以在此類測試中表現(xiàn)更佳。

我們甚至設(shè)計了諸如入侵和攻擊模擬（BAS）、對手仿真和持續(xù)滲透測試等產(chǎn)品類別，試圖找到測試安全覆蓋范圍的方法。然而盡管做了這么多努力，還是沒有找到可靠的方法來驗證一家廠商的安全覆蓋率是否優(yōu)于另一家，因為根本沒有辦法模擬繞過企業(yè)防御系統(tǒng)的所有可能方式。從本質(zhì)上講，攻擊者是有創(chuàng)造力的，他們有很強的動機去獲得成功，并找到阻力最小的途徑（比滲透測試人員和BAS工具要強得多）。

甲方缺乏信息，無法做出明智決定

伊恩在文章中列舉的信息清楚地表明，甲方在做出購買決策時缺乏信息。其中一個人說，”……管理者們經(jīng)常購買他們明知是次優(yōu)或者次品，但卻來自大牌廠商的產(chǎn)品和服務(wù)，因為這樣做可以最大限度地減少出問題時被解雇的可能性。法務(wù)并不譴責(zé)這種做法是欺詐，而是稱贊其為”盡職調(diào)查”。另一位律師說：”我參加安全會議時，大家都圍坐在一起，苦苦思索用什么樣的指標(biāo)來衡量安全計劃的成果”。多年前寫下的這些話，至今仍然適用。盡管我們經(jīng)歷了種種挫折、討論，并下定決心要找到答案，但事實卻沒有什么變化，這令人既困惑又悲傷。

我們不僅缺乏信息以做出明智的購買決策，而且還在努力建立可靠的指標(biāo)來證明安全投資的合理性。一個工具產(chǎn)生更多的”發(fā)現(xiàn)”是好事還是壞事？剛剛采購新工具的公司是否比以前更安全？從概率或美元的角度來看，這意味著什么？感覺我們只是在猜測。量化網(wǎng)絡(luò)風(fēng)險的嘗試是可信的，但就目前而言，這些科學(xué)嘗試的終點在哪，玄學(xué)的起點又在哪，往往很難說清楚。

網(wǎng)絡(luò)安全不是檸檬市場，而是銀彈市場。

網(wǎng)絡(luò)安全不是檸檬市場

賣方比買方更了解所售產(chǎn)品或服務(wù)質(zhì)量的市場通常被稱為”檸檬市場”。在喬治·阿克洛夫（George A. Akerlof）和約瑟夫·斯蒂格利茨（Joseph E. Stiglitz）因建立了信息不對稱市場理論而獲得諾貝爾經(jīng)濟學(xué)獎后，這一術(shù)語開始流行起來。2007年，布魯斯·施奈爾（Bruce Schneier）寫了一篇題為“A Security Market for Lemons”的文章，認為網(wǎng)絡(luò)安全就是檸檬市場的完美范例。這一論點得到了廣泛傳播，自此以后，許多人也在集體思考中加入了自己的觀點，其中包括奧梅爾·辛格（Omer Singer）在其博客”奧梅爾談安全”（Omer on Security）中提出的觀點。

我們很容易假定存在某種陰謀——安全廠商故意向安全leader和從業(yè)人員隱瞞信息，但事實可能并非如此。如果賣方比買方更不了解他們所銷售的產(chǎn)品呢？

在《銀彈市場》一文中，作者認為：”認為買方缺乏信息就意味著賣方掌握了信息，這是邏輯上的錯誤。如果賣家確實是出于更微妙和更具戰(zhàn)略性的目的而銷售被貼上安全標(biāo)簽的商品，那么他們就沒有必要比甲方更了解安全”。伊恩的結(jié)論是，在網(wǎng)絡(luò)安全領(lǐng)域不存在不對稱，買賣雙方都沒有足夠的信息可用，因為任何一方獲取信息的成本都太高。“任何一方的努力都可能使他們比另一方知道得更多，但即使是合理的努力也會使雙方?jīng)]有足夠的信息來做出理性的決定”。

盡管很多人不愿意接受這樣的想法，即買賣雙方都不知道如何解決安全漏洞問題，但這可能是唯一合理的解釋。每個人都在盡力而為，因為他們知道無論如何努力，都不可能做到萬無一失。

網(wǎng)絡(luò)安全是銀彈市場

如果安全不是檸檬市場，那它是什么？——銀彈市場。正如伊恩在其發(fā)人深思的文章中解釋的那樣：”銀彈是軟件工程領(lǐng)域的一個術(shù)語，指的是在沒有任何邏輯或理性手段支持的情況下，將產(chǎn)品或流程說成是有效的。銀彈是在信息不充分的市場上交易的商品，它和檸檬、酸橙（信息不對稱）一起，構(gòu)成了信息不完善的市場”。他接著說，”買方?jīng)]有很好的檢驗標(biāo)準來確認賣方的真實性，因此無法事先低成本地確定商品是否滿足需要；賣方也缺乏這種信息，因為他在攻擊者面前沒有優(yōu)勢”。

下圖展示了根據(jù)信息獲取情況劃分的四類市場：

• 高效商品市場。在這個市場上，買賣雙方都能獲得信息。想想購買一臺新的Macbook：買方可以很容易地評估其性能，并就購買做出明智的決定。賣方和買方一樣，都能獲得有關(guān)產(chǎn)品的信息。
• 檸檬市場。在這類市場中，賣方比買方掌握的信息多得多。二手車市場就是這種現(xiàn)象的最佳例證。
• 酸橙市場。在這類市場中，買方掌握的信息比賣方多得多。保險就是這種現(xiàn)象的一個完美例子。例如，購買旅行保險的人比保險提供商更了解自己的計劃和潛在風(fēng)險。
• 銀彈市場。在這個市場上，買賣雙方都沒有關(guān)于所售商品的足夠信息。安全產(chǎn)品就是這種現(xiàn)象的最佳例證，因為無論是安全廠商還是CISO，都無法保證他們比攻擊者知道得更多，也無法保證產(chǎn)品能防止所謂的各種威脅。

Source: “The Market for Silver Bullets”

安全成為銀彈市場的影響

由于甲方無法評估安全產(chǎn)品，因此他們會尋找其他因素

由于安全是一個銀彈市場，買賣雙方都無法自信地評估安全解決方案。行業(yè)參與者主要根據(jù)其他因素做出決定，這些因素可能與工具實現(xiàn)安全成果的能力密切相關(guān)，也可能不相關(guān)。以下是一些安全甲方和其他市場參與者經(jīng)常使用的方式：

• 公司背后的投資者。頂級風(fēng)險投資公司投資的初創(chuàng)企業(yè)被視為更”有前途”的標(biāo)志。
• 被分析機構(gòu)提及。分析機構(gòu)在其報告中提及某創(chuàng)業(yè)公司，可以極大地促進該公司的發(fā)展，并為其帶來新的需求。
• 創(chuàng)始人的背景。通常有一種慣性思維——創(chuàng)始人的簡歷上如果有以色列國防軍或美國三字母機構(gòu)這樣的大企業(yè)，他們的產(chǎn)品就可能更好。
• 官網(wǎng)上的客戶logo墻。這代表其他聲譽良好的機構(gòu)認可這家初創(chuàng)公司，這是甲方期望看到的。
• 天使投資人和顧問。甲方希望了解公司是否得到了行業(yè)大V的支持。
• 同行反饋。安全領(lǐng)導(dǎo)者經(jīng)常在私人聚會中與同行接觸，詢問他們使用特定工具的經(jīng)驗。雖然這種反饋本身可能存在偏見和傳聞，但總比什么都沒有要好。
• 用戶體驗和易用性。這包括技術(shù)文檔、產(chǎn)品設(shè)計、上手使用所需的時間等。
• 營銷和公眾形象。在我們看來，RSA大會展位的大小等因素在安全行業(yè)可能很重要，這也是安全廠商年復(fù)一年地不斷投資于其公眾形象的原因。

Venture in Security曾討論過，在網(wǎng)絡(luò)安全領(lǐng)域，信任因素和信任時間在購買過程中起著至關(guān)重要的作用。對于CISO和安全從業(yè)人員來說，公司是否可信、是否值得關(guān)注等間接信息比產(chǎn)品本身的營銷更為重要。如果客戶購買的是一種承諾，那么做出這種承諾的人（或公司）的聲譽比其承諾的內(nèi)容更重要。

行業(yè)分析機構(gòu)就是一個很好的例子，由于雙方都缺乏信息，它們在行業(yè)中擁有巨大的權(quán)力。分析機構(gòu)利用信息進行套利：他們與客戶和廠商交談，收集市場上的其他信息，并向買賣雙方出售他們的綜合建議。特別有趣的是，分析師本身對安全的看法也很有限：他們看到的是趨勢和類別，但沒有任何一家公司會建議一家廠商比另一家廠商更能阻止漏洞。在缺乏安全相關(guān)信息的情況下，分析機構(gòu)想出了自己的辦法，將賣家分門別類。

Source: Gartner

Source: Forrester

就拿上面這些圖表來說吧，如果我們將安全廠商放在上面對比，那么這兩張圖都不會提供任何有用的信息，讓我們知道哪家廠商更有可能使公司更加安全。甚至他們都沒想過這樣做，而是專注于常規(guī)的、以市場為重點的特征。這就好比比較兩顆銀彈，說其中一顆更重，另一顆設(shè)計得更好：知道這一點很好，但對我們想知道誰更有可能阻止吸血鬼來說毫無用處。我們已經(jīng)學(xué)會解讀分析機構(gòu)的信息，并將其用于購買決策，盡管他們用來評估安全工具的標(biāo)準與安全沒有多大關(guān)系。

房間里的銀(大)彈(象)–人工智能

在一篇關(guān)于銀彈安全的文章中，就不得不提到人工智能。

人工智能是一個非常熱門的”銀彈”。無論是自動化SOC、自動修復(fù)代碼中的安全漏洞，還是提升云安全，它都被吹捧為提高任何安全工具有效性的秘方。現(xiàn)在的初創(chuàng)公司如果不提人工智能，就很難獲得資金支持。

人工智能是銀彈市場的一個完美例子，它突出了伊恩最初文章的關(guān)鍵主題。為這些初創(chuàng)企業(yè)提供資金的風(fēng)險投資人并不真正了解人工智能是否在發(fā)揮作用，創(chuàng)始人要么在積極嘗試利用人工智能，要么在投資者的鼓勵下使用人工智能?？蛻魶]有有效的方法來驗證”人工智能”安全廠商是否比”非人工智能”解決方案更有效。

在大多數(shù)情況下，人工智能現(xiàn)在只是一個流行詞，實際上意義不大。很少有研究論文真正指出人工智能在解決安全問題方面的無效性（至少到目前為止是這樣）。David Wagner等人最近發(fā)表了一篇《利用代碼語言模型進行漏洞檢測：我們還有多遠？》，文章中作者對最先進的LLM（大語言模型，如GPT-4）能否有效檢測代碼中的漏洞進行了公正的分析。答案很簡單–“很遺憾，不能”。結(jié)論指出，目前的LLM離有效解決這一問題還相差甚遠，需要做大量的工作。遺憾的是，這種對各種解決方案進行公正客觀評估的情況并不多見。

我們所熟知的”最佳廠商”很多都是”羊群效應(yīng)”的體現(xiàn)

伊恩的研究論文得出的結(jié)論是：”安全措施選擇的變化發(fā)生得很慢，而且一旦發(fā)生，往往會在整個行業(yè)迅速波及”。換句話說，安全團隊需要很長時間才能適應(yīng)新的解決方案，但一旦達到一定的門檻，市場上的其他產(chǎn)品就會開始轉(zhuǎn)向該解決方案，因為它已成為眾所周知的”賽道領(lǐng)導(dǎo)者”。對于廠商來說，這意味著成功孕育著成功。在2024年，甲方終端安全不用CrowdStrike、云計算不用Wiz、密碼管理不用1Password等情況，甚至需要提供額外的理由才行。選擇某種產(chǎn)品的行為本身就等同于為企業(yè)”做最好的事”。

論文接著討論了這樣一個觀點，即哪些安全工具能幸存下來，哪些會消亡，在很大程度上是基于偶然性。“銀彈[可以理解為安全廠商]的引入是建立在參與者在最初的幾輪中被使用的隨機機會，并且幸存下來沒有被孤立和撤銷。盡管這一最早的過程可能是出于安全考慮，但一旦選擇了這一套，這種動機就會急劇減弱。偏離的代價是高昂的，變化更有可能與維護社區(qū)環(huán)境的成本和收益的間接影響有關(guān)，而不是與商品名義上的安全使命有關(guān)”。

實際的安全措施與廠商的選擇如出一轍。當(dāng)有足夠多的人做事時，有趣的事情出現(xiàn)了——說它是”有效”的，然后這套行為就被稱為”最佳實踐”。尤其令人困惑的是，許多所謂的”最佳實踐”并非基于證據(jù)。例如，雖然有足夠的證據(jù)表明定期更改密碼實際上可能弊大于利，但許多公司仍要求員工每90天更改一次密碼；另一個例子是釣魚演練，盡管有證據(jù)表明這種做法并沒有什么實際作用，也有部分企業(yè)放棄了這種做法，但大多數(shù)安全團隊仍在繼續(xù)使用。

堅持所謂的最佳實踐，即便最終會對安全態(tài)勢造成損害，也是羊群效應(yīng)的結(jié)果之一。正如伊恩所解釋的，”偏離最佳實踐是要付出代價的，包括朝著你以為的更高安全的方向偏離……由于破壞平衡的成本與社區(qū)成員的數(shù)量成正比，社區(qū)規(guī)模越大，放棄的安全機會就越多，脆弱性也就越大”。而且，”如果一個參與者選擇了新的銀彈，其他參與者就沒有比堅持最佳實踐更好的策略了，甚至改變策略的參與者的情況也會變得更糟，因為一旦發(fā)生漏洞，他們就會付出非同尋常的代價（因不堅持”最佳實踐”而造成的聲譽損失）”。

最佳實踐戰(zhàn)勝安全的另一個有趣的例子：合規(guī)。合規(guī)標(biāo)準往往會鼓勵遵守最佳實踐，而這往往會損害這些最佳實踐本應(yīng)帶來的安全性。例如，某些合規(guī)標(biāo)準規(guī)定，即使公司采用了抗網(wǎng)絡(luò)釣魚的MFA/無密碼解決方案，也必須針對憑證的網(wǎng)絡(luò)釣魚進行培訓(xùn)。

穿越銀彈市場：走向未來

伊恩的文章不僅談?wù)摿藛栴}，還提出了一些解決建議。與文章的其他部分類似，關(guān)于“我們該去向何方”的想法，在十五年后的今天仍然適用。

買方和賣方的第一性原則思維

隨著市場上充斥著各種”銀彈”，甲方利用第一性原則變得越來越重要。問一問自己，你要解決的核心問題是什么？什么更有可能導(dǎo)致漏洞–是牛逼哄哄的人工智能新模型，還是像網(wǎng)絡(luò)釣魚這樣更常見的東西？根據(jù)這些答案，甲方應(yīng)該為自己列出一份優(yōu)先事項清單，然后努力尋找解決方案。其中一些解決方案可能確實會以新廠商的形式出現(xiàn)，但許多解決方案將以新流程、開源工具、簡化IT流程等形式出現(xiàn)。

對于廠商來說，即使使用最新的人工智能炒作可能更容易籌集到資金，但同樣的第一性原則也能帶來很多價值。創(chuàng)始人在了解他們要解決的根本問題、目標(biāo)市場是否足夠大、他們要解決的問題領(lǐng)域是否被甲方視為”高優(yōu)先級”時，應(yīng)該誠實地面對自己。令人鼓舞的是，除了層出不窮的人工智能安全初創(chuàng)公司外，我們還看到一些公司正在用戶身份和云安全等基礎(chǔ)領(lǐng)域起步。

鼓勵安全團隊之間共享信息

伊恩認為”陽光是最好的消毒劑”。長期以來，所有的安全團隊都依賴于所謂的”關(guān)起門來做安全”，即隱藏安全工作的細節(jié)，以達到所謂的加強安全的目的?，F(xiàn)實情況是，作為一個行業(yè)，我們他人分享的經(jīng)驗教訓(xùn)中獲益匪淺。好消息是我們正在進步，越來越多安全團隊正在開源他們自己使用的工具，越來越多的公司允許他們的團隊在會議和活動中討論他們的安全工作。壞消息是，我們的步伐還不夠快，一般的CISO都受到嚴格的保密協(xié)議約束，而一般的安全從業(yè)人員則不能談?wù)撍麄兯龅拇蟛糠止ぷ?。這就意味著，只有保險提供商才能了解行業(yè)內(nèi)發(fā)生的真實情況，但他們不夠成熟，無法理解這些情況，也沒有動力公開這些數(shù)據(jù)。

另一方面，甲方也在積極交流對不同廠商的看法。在過去的十年中，同行社區(qū)的數(shù)量激增，安全領(lǐng)導(dǎo)者和安全從業(yè)人員在這些社區(qū)中分享他們使用不同安全工具的經(jīng)驗。這開始改變安全解決方案的購買方式。好消息是，安全廠商無法影響這些交流渠道。此外，越來越多的CISO開始成為行業(yè)信息共享和分析中心(ISAC)的成員。這些組織進一步使安全領(lǐng)導(dǎo)者能夠與其他可信賴的合作伙伴分享重要的學(xué)習(xí)成果和威脅情報。

客觀的第三方評估

有一些學(xué)術(shù)論文，如我們前面提到的《利用代碼語言模型進行漏洞檢測：我們還有多遠？》等學(xué)術(shù)論文，在評估工具的有效性方面做得非常出色。我們應(yīng)該鼓勵在這一領(lǐng)域開展更多積極的研究，尤其是由學(xué)術(shù)界等不涉足這一領(lǐng)域的人員開展的研究。他們甚至可以”混淆”廠商的名稱，但仍然可以比較廠商在某個問題領(lǐng)域的有效性并公布結(jié)果。有一些偉大的行業(yè)實踐者希望填補這一空白，我們相信未來會有更多的人和組織參與進去。

PLG/POC

在安全領(lǐng)域，試用產(chǎn)品是一件非常困難的事情。這使得甲方無法快速測試新的解決方案，也無法驗證廠商的說法。缺乏信息的不僅是甲方，還有廠商自己。廠商無法了解競爭對手的實際情況，因此他們只能在沒有任何證據(jù)的情況下說自己的工具更好。

好消息是，越來越多的廠商開始允許客戶自助試用產(chǎn)品。這對廠商和甲方來說都是一件好事。

• 甲方可以在不完全部署的情況下快速試用這些工具，了解產(chǎn)品的功能、部署的難易程度和整體感覺。這些POC應(yīng)允許客戶引入自己的數(shù)據(jù)集進行快速評估。
• 對于廠商來說，這種快速的POC是一種很好的方式來吸引潛在的客戶，否則他們可能會更不情愿使用。此外，廠商還可以更快地獲得有關(guān)其產(chǎn)品的反饋，而不必等待整個部署周期。

實用主義VS過度依賴最佳實踐

伊恩還主張業(yè)界應(yīng)杜絕使用最佳實踐，而不是擁抱它們。他認為：”最好的辦法是由機構(gòu)（協(xié)會或監(jiān)管機構(gòu)）來做，這些機構(gòu)應(yīng)鼓勵大膽的嘗試和差異化，而不是一成不變和畏首畏尾。避免使用最佳實踐，促進信息公開共享，并堅持讓群體成員找到自己的道路，這樣的機構(gòu)才能發(fā)揮更好的作用”。

鑒于業(yè)界正在推動標(biāo)準化，這種觀點雖然有些反其道而行之，但確實有其價值。我們明確一點：對于正在尋找一種簡單方法來開始安全工作的企業(yè)來說，最佳實踐清單可以提供一個快速的操作指南。除此之外，必須強調(diào)的是，合規(guī)不等于安全，企業(yè)必須了解自身的風(fēng)險狀況，并據(jù)此做出決策，而不是盲目依賴”最佳實踐”。

加強對安全廠商的問責(zé)制

美國政府持續(xù)推動安全事件披露，提高事件透明度。美國證券交易委員會新發(fā)布的安全披露規(guī)則要求公司分享有關(guān)如何管理網(wǎng)絡(luò)風(fēng)險的信息，并在措施不到位并導(dǎo)致重大事故時進行報告。

隨著對這一領(lǐng)域的監(jiān)管不斷加強，我們也期待未來對廠商可以”宣傳”的內(nèi)容，以及他們可以在沒有任何證據(jù)的情況下提出的主張，有更嚴格的要求。

何去何從？從評估安全性到建立彈性系統(tǒng)

文章指出，”原則上，我們可以用基本指標(biāo)取代上述特征。在教育領(lǐng)域，難以捉摸的指標(biāo)是生產(chǎn)率。在安全領(lǐng)域，這是一個開放的研究領(lǐng)域，因此，除了強調(diào)安全指標(biāo)研究的重要性之外，我們幾乎沒有什么定論。這種方法將使每家代理機構(gòu)的產(chǎn)品從最佳實踐轉(zhuǎn)向關(guān)注更精確的指標(biāo)。其精確性將更明確地與每家代理機構(gòu)的具體情況相關(guān)聯(lián)，從而迫使更多的地方協(xié)調(diào)和更大的部門多樣化”。

迄今為止，我們在評估安全性方面的嘗試大多以失敗告終。如果我們能夠轉(zhuǎn)變思維方式，將安全視為我們?yōu)閷崿F(xiàn)彈性而購買的東西，會怎樣呢？憑感覺是無法測試或驗證的，它只能被當(dāng)作表面價值。另一方面，彈性可以從統(tǒng)計學(xué)角度證明某樣?xùn)|西有多強大，可以抵御哪些類型的攻擊？可以抵御多久？以及在什么樣的情況下可以保持其特性？

最近有很多關(guān)于”默認安全”系統(tǒng)的討論。谷歌專門就構(gòu)建安全可靠的系統(tǒng)這一主題寫了一整本書。Windows和macOS等主要操作系統(tǒng)以及Chrome等瀏覽器就是此類彈性系統(tǒng)的完美范例。Chrome瀏覽器本質(zhì)上就是以一種安全可靠的方式在你的機器上運行任意Javascript/代碼。在實現(xiàn)這種安全的過程中，我們采取了大量緩解措施，并不斷努力跟上不斷演變的攻擊。但這是可能的，我們所依賴的這些基本平臺就是最好的證明。

同樣，如今我們已經(jīng)不再談?wù)?#8221;緩沖區(qū)溢出”了。這是因為業(yè)界已經(jīng)通過各種緩解解決方案的組合，如地址空間布局隨機化（ASLR）、數(shù)據(jù)執(zhí)行防護（DEP）、更好的模糊/錯誤查找工具，甚至是內(nèi)存安全編程語言，使商業(yè)軟件更能抵御漏洞利用。

我們認為這才是王道。試圖量化安全將是一場失敗的戰(zhàn)斗。不過，作為一個行業(yè)，我們可以繼續(xù)腳踏實地，繼續(xù)建設(shè)更具彈性的系統(tǒng)。

原文鏈接：

https://ventureinsecurity.net/p/cybersecurity-is-not-a-market-for

來源：安全喵喵站