囊萤夜读 | 你有病,他有药,那还看不看疗效?
1.满汉全席
你有病啊?你有药呀?你吃多少?你有多少?你吃多少有多少,你有多少吃多少,你有病啊?......
自从郭德纲和于谦在相声《你要折腾》里说了这段台词之后,“你有病啊,你有药啊”便成了金句,大伙也经常见到两个插科打诨的喜剧演员在特定的场景下恰到好处地喊出来。
同样这句话在安全行当里也时常出现,甲方乙方一见面,寒暄几句之后变自动切换到这个场景。
售前铁柱:“通过我们的安全专家测试发现,贵单位的xx系统有5个高危漏洞,黑客利用这些漏洞可以直接从互联网进来把用户库拖走。”
客户大毛:“这个问题很严重啊,必须得及时整改,你们有没有解决方案,希望针对这次发现的漏洞能够尽快提出全面的整改建议。”
铁柱回去之后整了个大而全的整改建议书,一股脑将自家的整条产品线都塞在了整改建议书里边,看着接近200万的报价单,铁柱心满意足地合上电脑赴下一场饭局了。
第二天刚上班,大毛便在电梯里遇到有备而来的铁柱,翻完那厚厚一本装帧漂亮的解决方案,足足花了大毛一刻钟的时间,此时茶杯里的铁观音也是彻底散开,清香弥漫。
“200万的预算有点出乎我的意料,今年的预算不算太多,年底还有个项目要折腾,你看是不是......?”大毛端起茶杯轻轻吸了一口。
“这个方案是昨晚我们专家组熬夜加班讨论出来的最优方案,考虑了等级保护和行业监管要求,能够有效修补这次测试发现的安全漏洞,并且参考了行业龙头企业的安全实践,还请您慎重考虑......”铁柱把准备好的说词一字不落地倒了出来,寻思这次方案有政策支持,能提升防护水平,还有行业最佳实践做参考,应该差不多能打动客户了。
大毛越听越来气,发现这位售前的套路和之前接触过的另外一家公司售前有着惊人的相似,都是捯扡一桌满汉全席而全然不顾人家的口味喜好禁忌。你不是有病嘛,那我就把手头的药全卖给你,剂量多少没关系,药不对症没关系,你吃或不吃也没关系,有没有疗效也不重要,重要的是你买单了。
扁桃体发炎,先吃三盒胃必治。轻度口腔溃疡,来一支马应龙软膏。你有病,我有药,不看疗效只玩套路。
2.药不能停
你们家网站不是经常被黑吗,我这里有一套防篡改系统,部署好就万无一失了,他才不会管你被黑的原因是管理员账户弱口令。
你们家网站不是经常被扫描吗,我这里有一台WAF,买回家上架就OK了,他们嫌麻烦只给你开启学习模式,从不拦截。
你们家系统不是经常被打吗,我这里有一台抗D防火墙,赶紧部署上线,他也不会告诉你云清洗模式更方便省事。
在部署一大堆产品和系统之后,你会发现黑客仍然无法阻挡,安全事件依旧时有发生,这个时候你意识到被售前带到坑里了,但是全年预算已经花光,别绝望,至少你这次判断对了。
从笔者个人认知来看,安全行业这几年的发展是有目共睹的,大家可以从安全观念的前瞻性、产品形态的多样性、安全认知的递进性、威胁形势的严峻性这几个方面来看看安全市场,在过去3-5年有一个明显的上升。
传统安全的三驾马车仍在并驾齐驱,但众多后起之秀也有赶超之势,各路厂商八仙过海各显神通,互联网厂商在酝酿数年后突然发力企业安全市场,安全创业公司深耕细分安全领域,云安全服务市场占比逐步上升。威胁情报、业务反欺诈、移动安全、APT检测、云防护,热点不算多,但争先恐后者却不少。
对病患来说,药是更多了,但是什么病该吃什么药这个老大难的问题,依旧没有被解决。
商业模式趋利,对产品厂商来说,出货率高才是王道,而传统安全产品市场各家占有率已趋稳定,后来者想从别人碗里夹一筷子的可能行不大也没有啥意义,所以大多数厂商都仅仅是通过OEM的方式来提升自己产品线的完整度和竞争力,想让他们投入更多资源来提升OEM产品的能力只怕是痴人说梦,还有诸多的云防护厂商也是如此,高防本领还没练到家,就开始吹嘘自己WEB安全造诣国内领先。
3.循证理论
在药这个点上能吐槽的事情实在太多,安全要想有效果,绕不开四个字,对症下药。
如何才能做到对症下药?其实在医学界早有说法,那就是循证医学(Evidence-Based Medicine,EBM),它的定义是慎重、准确和明智地应用当前所能获得的最新的、最有力的科学研究信息,同时结合医生的个人专业技能和多年临床经验,考虑病人的实际情况和愿望,将三者完美地结合制定出病人的治疗措施。
同样在信息安全领域,我们也可以借用循证医学的理论来指导安全服务。在安全领域我们遇到的每一个问题,都是当前风险环境下第一次出现的问题,即使我们每天都做的都是相同重复的事情,但由于时间变了,系统本身的安全性和威胁源也不可能和昨天一样。
传统的安全服务可能是以团队经验为主,项目组以自己的实践经验、理论知识和多年不变的服务框架及流程为依据来为用户提供服务,而循证的安全服务既重视团队经验又强调采用现有最适用的服务工具和方案,两者缺一不可。
针对同一病患的特效药,可能用在甲身上效果很好而用在乙身上不见效,同一套安全解决方案,能有效解决张三公司的安全问题而对赵四公司而言没有效果。医学领域要循证,信息安全领域同样是如此。
要做到对症下药,首先就得尽可能减少做出错误决定得概率,因此我们需要一套做出决策的方法论,你是根据什么来做出这个决定的,你是根据什么来选择这个解决方案购买这个安全产品和服务的?
循证医学用来解决三件事情,发现问题,解决问题,寻找原因,也就是说针对不同问题采取不同解决方法,而做出决策的根据就是证据,循证理论会将证据按质量分级,比如美国预防医学工作组的等级:
I级证据:自至少一个设计良好的随机对照临床试验中获得的证据;
II-1级证据:自设计良好的非随机对照试验中获得的证据;
II-2级证据:来自设计良好的队列研究或病例对照研究(最好是多中心研究)的证据;
II-3级证据:自多个带有或不带有干预的时间序列研究得出的证据。非对照试验中得出的差异极为明显的结果有时也可作为这一等级的证据;
III级证据:来自临床经验、描述性研究或专家委员会报告的权威意见。
我们的信息安全活动其实受专家或权威意见的影响较大,但在循证理论看来,专家意见类型的证据作用不算太大,也就是说如果我们要评价某安全产品或服务的实际效果,建议不要过于依赖专家意见,多看些实测数据。
你发现网站被篡改,那具体的原因是什么?
是网站代码有缺陷从而导致存在SQL注入漏洞,还是网站CMS后台管理员弱口令,又或者是CMS服务器OS存在高危漏洞,在没有找到根本原因之前就盲目下结论推测网站存在WEB漏洞需要采购WAF显然是一件老不严谨的事情。
但很多时候我们进行安全决策时,大多数都是基于我们自己或厂商想当然的理由或借口,这是一件很可怕的事情。
王宝强离婚事件沸沸扬扬,人人都在猜测他老婆和经纪人之间的故事,但是楼上邻居突然跳出来指责王宝强处理该事欠妥让人觉得诧异万分,于是有人猜测该邻居是否也是隔壁老王,但猜测归猜测,没有证据不能瞎说,即使王前妻IPAD倒影中惊现楼上邻居头像,但这个证据也只能证明楼上邻居去过他家。
其实询证理论在安全领域的具体应用很多,比如蜜罐、大数据分析和威胁情报等等,篇幅有限这里就不再细说。
对症下药,简简单单四个字,是否遵循归根结底是商业道德和态度问题,笔者不做过多评价,但能不能做好就是另外一回事了。
庸医还是良医,主要看疗效。
推荐阅读:
囊萤夜读 | 跟杜邦学安全:当隔壁老王的直播公司被黑之后。。。