在我上一篇文章中,我谈到我们没有人知道如何解决网络安全问题。这是一个同义反复,所以不应该令人惊讶。如果我们知道如何解决问题,问题就已经解决了。因此我们不知道如何解决问题。
但这确实令人惊讶,所以它感觉像是“残酷的真相”而非“真相”。
面对长期存在的问题(如网络安全),人们通常认为如果我们有更多意愿、更多资源、更多智慧,或者更多上述所有东西,我们就能解决问题。我们不会停下来思考:如果我们正在做的事情不起作用,做更多同样的事情可能不会改变局面。承认我们不知道自己在做什么可能很困难。
我想谈谈承诺。昨晚我在想,如果我是国王会做什么。也许不是真正的国王。但如果我有足够的力量改变世界,我会做什么来解决网络安全问题?这自然让我想到了根本原因。
躺在床上时,我意识到缺乏承诺是我在合作的困境客户中最常见的问题之一。这并不意味着他们没有努力从事网络安全工作。也不意味着他们没有投入大量资源解决问题。但即使从内部感觉并非如此,我看到的是他们在采取半吊子措施。
另一方面,我看到取得实质性进展的公司是那些知道如何完全承诺的公司。
对安全的承诺听起来简单——但其实不然,因为这是一个企业价值观的问题。任何在大型企业工作过的人都会认识到,改变企业价值观是最困难、最具破坏性,也可能是最有力的事情之一。我不想轻视这个问题,也不想让那些意识到自己为没有完全承诺安全的公司工作的人感到难过。但如果你要降低网络安全风险,值得诚实地面对阻碍你的因素。
也许你心里在想,我们是承诺的!我们在安全上花了NN美元。我有CISO。我有安全团队。我培训开发人员。我培训员工。你还期望我做什么?
这些都很好——你采取了一些正确的步骤。但你还没有承诺。还没有。要承诺安全,要真正取得进展,意味着你需要改变一切。你需要改变思维方式。行为方式。软件开发(或采购)方式。团队领导方式。你需要改变一切。
我们大多数人成长在一个可以忽略周围大多数威胁的世界。我们生活在法治是一切基础的国家。也许你们中有些人曾在法治崩溃的世界部分地区生活或访问过。想想你在那种环境中必须如何思考和行动。一切都变了。这就是我们今天生活的安全环境。
你在互联网上部署的每个应用程序都是罪犯和政府行为者的目标,他们可以几乎不受惩罚地攻击你。他们超越法律管辖范围。他们无所失而有所得。你无所失而有所得。很糟糕,对吧?
如果你像用户会尊重法治一样构建和部署软件,那么你还没有睁开眼睛看到数字世界的现实。
我说的承诺是什么意思?考虑构建和部署重要技术项目所需的承诺水平。银行转向在线银行时。Netflix承诺流媒体电影时。医疗设备制造商实时连接患者和医生时。亚马逊承诺云计算时。
这就是公司承诺的样子。这意味着从董事会和C级高管到基层员工,每个人都致力于推动业务发展的方向。这就是网络安全要求你的承诺水平。
也许这感觉不公平。而且可能感觉像是一个没有考虑到的成本——这个成本意味着你的一些软件系统不再财政上可行。我同意这不公平。但这就是我们的现实。
也许你可以再维持一段时间业务如常,也许一段时间内什么也不会发生。但这意味着你是在忽略风险,而不是解决风险。你正在 crumbling 的悬崖边建造,假装悬崖不存在。悬崖不在乎。在某个时候,这个决定会追上你。
我认为安全行业应该为这种情况承担部分责任。大多数安全领导者并不完全理解软件安全。这是可以理解的。这是一个庞大而复杂的领域,没有软件开发背景,很难掌握。那你怎么办?你寻找软件安全专家。你与供应商交谈。这些供应商都是专家,毫无疑问,但他们的工作是向你推销他们的解决方案。他们很少会告诉你他们卖的东西解决不了你的问题。有时,也许,他们会告诉你它只能解决你的一部分问题。但大多数时候,他们的推销会是:如果你买了他们卖的东西,你就不再需要担心了。你已经将软件安全外包到他们手中。他们会照顾你。
这是一个方便的虚构故事。你不能外包软件安全。没有工具能让你安全。没有培训能让你安全。没有流程能让你安全。他们卖给你的是捷径。这是一种避免所需承诺和投资水平的方式。
如果你投资了安全供应商卖给你的东西,我很抱歉告诉你,你正在做的大部分事情可能是安全剧场。也许你买了DAST、SAST、IAST或RASP。也许你购买了员工意识培训。也许你是那些顶级公司之一,使用你购买的工具来 consistently 发现和修复漏洞。也许你的员工真的看了你让他们看的视频,所以他们知道如何擦白板和清理桌子。你仍然没有取得进展。没有太大进展。如果你的企业战略是“为安全做点什么”,而不是“围绕安全转型公司”,那么你还没有完全承诺。
这是一个价值观问题。
——
我想在这里结束文章,但我还有一些额外的想法。我在上面段落写的一切都是真的。但我讨厌这是真的。
很遗憾安全如此困难,一切都如此复杂。我希望开发团队能够专注于为用户增加价值,专注于功能和用户故事来取悦和激励。我希望我们不必花这么多时间担心坏人。这是对生产力的征税——而且这种税每年都在变得更高。
二十多年前我开始软件安全之旅时,我被教导需要建造一个虚拟城堡来保护我们的数字资产。你不能在最后才添加安全。你必须从头开始构建它,具有最小的攻击面,并具有多层的深度防御。然而,我从未质疑为什么这是必要的。为什么我们需要像建造城堡一样构建每个应用程序?为什么它必须如此困难且如此昂贵?
想象一下,如果我们生活在一个你的房子必须像城堡一样建造的世界。一个如果你负担不起住在堡垒中就不安全的世界。听起来像中世纪,对吧?在物理安全方面,我们已经超越了那种模式。在互联网上,我们毫无疑问地接受了它。
与其建造更大更好的城堡,也许真正的挑战是弄清楚如何改变游戏规则?
——
这篇文章是一个系列的一部分,Joe和我将在其中探索软件安全领域的差距,寻找可能让我们达到更好位置的解决方案。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码
基于Web的《药谷奇遇记》网站设计与实现-计算机毕设 72940)
)
(KIMI))
 字符串部子串判断函数)
