为什么投入多了反而觉得更不安全了 | 维庐夜话
老周家的鸡
长沙岳麓山桃花岭深处有一户人家,户主老周脑袋瓜子灵活又天性勤劳,看着家门外繁花似锦的山谷,心里有了一个想法,没隔两天就在山谷里开辟出一片树丛养鸡,100只鸡每天下蛋都能带来不菲的收入,老周每次挑着担子去城里卖完鸡蛋回来都会跟媳妇带上一点胭脂水粉。
慢慢地养鸡场扩大了,100只鸡变成了500只鸡,在养鸡场旁边老周开扩建了养猪场,规模一下子大起来了,村里李老头便自告奋勇要给老周做打更人,负责养鸡场和养猪场的安保工作, 老周一想就应允下来,每个月给李老头2两碎银当作酬劳。
安保工作确定下来,老周心里一块石头也落地了,但平静的时光总是短暂的,没到1个月就发生了偷鸡事件,东厢鸡场一夜之间丢了30只鸡,李老头解释养鸡场和养猪场隔得有点远,两边都要看着,可能会顾此失彼。老周想想也是,于是又聘用了村里的青壮柱子,柱子长得五大三粗,会点功夫。
看着李老头和柱子的老少组合,老周寻思着这下应该天下太平了吧。
没料到柱子入职第三天,西厢养猪场就丢了3头猪。老周很生气,寻思着之前没请打更人时,家里风平浪静,从来没发生过偷盗事件。相反来了两名打更人之后,隔三差五地丢鸡少猪损失惨重,要这两人还有何用,一怒之下开掉了两名打更人。
李老头带着懵逼的柱子灰溜溜各回各家了,但老周家里来来往往的盗贼却不曾减少,没过多久500只鸡又变成了100只鸡,养猪场也临时关掉了,老周回到了过去。
为什么聘用了两名打更人,老周家来的偷鸡贼反而更多了?其实掰开了讲,这里边存在多种可能性。
熟悉的剧情
生活里边还有很多类似的观点。
为什么挣钱多了反而觉得不够用了?
为什么赚钱速度总是赶不上花钱的速度?
当然同样的疑问在安全领域也有人问过。
“我们没上WAF之前屁都闻不到一个,自从上了WAF之后就隔三差五被攻击,这是什么逻辑?!”某WAF厂家销售周日晚上被客户质问。
“你们这态势感知系统这么牛逼咋不上天呢,占用我们300万的预算,结果就是个地图炮biubiubiu,上半年篡改事件都发生两次了,你说我怎么跟领导解释!”某大项目经理被客户信息主管劈头盖脸一顿骂。
“我们安全部门费了老大的力气去争取资源,终于在去年上了安全保障工程二期,总体投入1300万,安全团队也扩员了5人,结果三级安全事件还多了2起,部门投诉多了4次,这下好了,苦心经营下来的高层信任和支撑力度肯定要降低不少了,哎!”某央企安全主管一脸无奈地跟同行诉苦。
“集团安全部要好好反思自己的工作能力和效率,在保持每季度安全投入持续增加15%的环境下,全公司遭受的安全攻击居然比过去要多出一倍,你们到底把钱花到哪里去了?”某互联网巨头CIO在问责安全部老大。
其实前面笔者瞎编的四个段子在业内时有发生,无论甲方乙方,都绕不开这个看似被动而且难以破局的困境。
为什么投入多了反而觉得更不安全了?这句话正儿八经分析其实在绝大多数环境下是不成立的,“投入多了”是既定事实属于安全投入的既定发展,“反而觉得更不安全了”是一种心理暗示或不恰当推理。
4种可能性
为什么这么讲,且听笔者瞎掰一番。
第1种分析:木秀于林
客户当年业务小摊子小不成气候没有贼惦记,而现在家大业大初露峥嵘成了黑客的盘中餐,所以这跟安全投入这个指标相关性没有那么大。客户的安全投入随着业务的发展逐步增加是再正常不过的事儿,但是这丝毫不能阻挡黑客们对你的垂涎三尺。正所谓木秀于林风必摧之,大抵就是这个道理,至于木能扛住多大的风,那得问风。
第2种分析:草木皆兵
unknown unknown,你不知道你不知道的。没有上WAF上其他防护检测手段之前,用户可能就如同生活在桃花源里边,不问世事怡然自得。问今是何世,乃不知有汉,无论魏晋。以前是客户没有手段也没有这个能力来识别自家网络里边的各类攻击,所以就觉得天下无贼,而现在草木皆兵战战兢兢,自然就感觉不如以往安全了,其实这就是业界强调的[看见的能力]。
第3种分析:此消彼长
攻防对抗本来就是此消彼长的过程,安全投入增加正常情况下意味着黑客的攻击成本也在增加,以前是一马平川可纵马驰骋,现在五步一哨七步一岗,敌军要拿下山头的难度自然是要增加不少。然道高一尺魔高一丈,你家的岗哨能拦住一般的江湖宵小但搞不定绿林大盗,这就是人外有人山外有山。
第4种分析:关门开窗
还有一种例外也一并说明下,安全投入多了一定也会增加安全系统或设备,而新进来的安全系统或设备本身的漏洞往往会被忽略掉,这就意味着把自家大院大门进行加固的同时顺道在墙上开了一道窗,黑客就有机会从窗户爬进你家来,这个“关门开窗”场景相信在很多客户家都发生过,咱也不避讳,有则改之无则加勉。
背锅链
客户上了WAF反而经常被攻击,这里边其实有苦不堪言的各种套路,套路之一是A和B都跟了某客户一段时间,最终A搞定了客户,把自家的WAF架上了客户家的机房。B很不爽,所以也想让A不爽,于是发生了前面描述的事实。由于某些不道德的竞争导致的负面结果,客户将锅甩给厂商,厂商当然是宝宝心里苦但宝宝不说。
300万的态势感知系统确实帮助客户单位极大地提升了威胁感知能力,但是千防万防防不住客户帐户遭遇撞库攻击。自己家钥匙被人复制,自然人家就可以光明正大开锁进门而不触发任何监控预警机制。但客户在不清楚真实细节的情况下,仍然会把口水喷向你,不为别的,因为你项目最大,你得受着。
钱花出去了,安全性确实也提升了,但是攻防对抗道高一尺魔高一丈的残酷无情仍让安全从业者背上了一口大锅。
系统价值增加-安全预算增加-系统安全性提升-黑客关注度加剧-遭受攻击次数增加-被黑次数增加-客户和领导质疑-安全从业者被锅
这是一条妥妥的背锅链,无论甲方从业者还是乙方从业者,都逃不掉这个宿命。
尾
合理地增加安全投入只会提升系统安全性,安全事件增加只是因为更高明的黑客在对抗中取得了暂时的胜利,逻辑应该是这样。
没有了打更人,老周家的养鸡场势必会以悲剧结尾。安全投入不随着水涨而船高的话,后果怎么样,相信大家都有答案了。
推荐阅读: