由安在新媒体联合中国网络安全审查技术与认证中心(CCRC)共同举办的第二届“超级CSO研修班”,于2022年2月27日圆满结营。20位学员历时5个月,完成17节专业课程,经历名企参访、课堂作业、私董会和赛歌会,更交付了20篇毕业论文,最终,都以优异的成绩冲刺达标,获得由CCRC和安在新媒体联合颁发的结业证书。
第二届“超级CSO研修班的学员们分布更加广泛,不仅有银行、证券、保险、运营商、互联网,更涵盖了汽车、快递、快消、咨询、智能制造等多个领域。在导师引领和课程启发下,其所完成的毕业论文,也都极具代表性,是各自相关领域网络安全建设、实践与思考的精华之作。
本着分享交流之精神,我们特别精选几篇,以连载的方式呈现公众。希望借“CSO说安全”,让更多CSO们关注、支持并参与到CSO文化的沉淀积累和广泛传播中来。
《鹖冠子》一书中,记录了一个关于扁鹊三兄弟的故事。一天,魏文王问名医扁鹊说:“你们家兄弟三人,都精于医术,到底哪一位最好呢?” 扁鹊答说:“我长兄治病,是治病于病情发作之前。由于一般人不知道他事先能铲除病因,所以他的名气无法传出去,只有我们家的人才知道。我中兄治病,是治病于病情初起之时。一般人以为他只能治轻微的小病,所以他的名气只及于本乡里。而我扁鹊治病,是治病于病情严重之时。一般人都看到我在经脉上穿针管来放血、在皮肤上敷药等大手术,所以以为我的医术高明,名气因此响遍全国。”假如扁鹊三兄弟,都学习了经济学,并将自己改造成了经济人,他们的做法会不同吗?(“经济人”假设最早由英国经济学家亚当·斯密提出。他认为人的行为动机根源于经济诱因。每个人都以自身利益最大化为目标。)
本章节简而言之可浓缩为“一维局限”。具体是指,如果受保护人和保护者如果都满足经济人假设,仅仅在经济利益这一个维度上进行联系,会遇到的难以最大化发挥保护者积极性和潜力的局限。1.1.1 保护者还是攻击者
掌握安全技能的人员(含攻击技术人员),如果是一个经济人,将会面临一个问题:是成为保护者还是攻击者?这需要通过权衡其作为保护者的收益与作为攻击者的收益哪个更大来决定:保护者收益(Bp) = 雇主(被保护者)支付的报酬
攻击者收益(Ba) = 破坏行为收益 - 被处罚风险
Bp = Ba,处于确定状态,很可能保持原有姿态,因为转换有成本;
当随着时间的推移,此人会不断对上述两个值进行评估,当转换的收益大于成本时,姿态就会发生变化。当然有人会说,保护者都需要经历背景调查,犯罪记录调查等,虽然这些调查本身是有成本的,而且会增加姿态转换难度和成本,但并不会改变上述公式。1.1.2 保护者的局限
首先是保护者与被保护者(雇主)之间利益不一致性,各自只关心自身收益,是后续我们谈到的诸多难点的重要根源。其次是临时性,保护者为了最大化自己的利益,需要防止雇主压低其报酬,而且还要力争在市场上找到出价最高的雇主,并随时准备更换雇主。这就导致了保护者认为其与当前被保护者(雇主)的关系是临时的。1.追求短期表现。工作重点往往聚焦当前热点和完成KPI,不会花精力做长期见效的工作。极端情况就是农业领域的砍树比植树积极。
2.以雇主的评价来作为主要目标。因为雇主决定保护者的收益,而雇主往往是非安全专业人员。其关注点往往是其痛点或当下热点。这就变成外行在决定内行表现打分并依次为依据给与利益了。
3.能力培养以市场导向为主而非当前雇主需要。保护者在培养自身能力时,对于该项能力市场价值的考虑会优先于当前雇主的需要。比如,一项技能仅在当前雇主环境用得上,而其他雇主都用不上,则培养动力减弱,而会精力投在市场上更多雇主需求,出价更高的技能。
这些因素限制了保护者的能力发挥,更不用说激发潜能。1.1.3 攻击者“困境”
一个经济人若选择成为攻击者,其会陷入一个保持并不断提升自身技能的循环,从而更坚定地保持攻击者姿态。因为:首先,当作为攻击者的利益更大时,经济人不会主动停止或转变成为保护者,而且转换成为保护者有转换成本。其次,攻击者天然有更强的主动性来提升其技能,通过提升技能来提升攻击行为的收益,降低被惩罚的风险,从而获得更多更安稳的收益。这是一个自我强化的循环。上述两方面原因,分别提高了攻击者切换成为保护者的难度,降低了切换的可能性。1.1.4 攻击者 Vs 保护者
第一,攻击者提升技能对扩大攻击收益、降低被惩罚风险有直接帮助,是直接的正反馈;而保护者提升技能无法直接反馈到其收益上,需要通过被雇主认为必须,而且在市场上处于供不应求状态,才能获得更高的收益。第二,攻击者和保护者的斗争中,攻击者强烈希望超越甚至消灭所有保护者;而保护者对于攻击者的态度是复杂的,既不希望其太强而无法应付,也不愿意将攻击者压制得过于弱小或者完全消灭,因为那会让自己的市场需求降低而利益减少。1.2.1与保护者间的关系
经济人雇佣了安全人员来从事安全保护工作,此处简称卫士。下图展现了雇主及其所雇卫士之间在经济方面的关系。
■ 安全工作提供的总价值:包含对安全风险的降低、支持企业进入原先无法进入的业务领域等所有价值的总和。其中一部分价值较为显性、容易度量,因而包含在了雇主和保护者设立的KPI中;不便度量和未进行度量的部分,在上述等式中就放在“KPI不反应部分”中。■ 安全工作成本:是指所有安全工作的成本,包括人员成本、工具成本和非安全部门承担的安全工作的成本。例如,我们建立了一个漏洞发现和响应流程,IT运营部门需要进行漏洞修复的实施,业务部门需要分析修复工作对业务SLA影响并做好客户通知和业务连续性管理。运营团队和业务团队付出的成本在上述等式中归到流程成本中。■ 图例:用不同的底色区分不同角色的诉求、文字颜色区分追求最大化还是最小化、文字外框的虚实区分此部分是否显性(易度量和被度量)。
1 雇主和保护者追求的利益在经济上不完全一样,甚至有冲突● 雇主追求“安全工作收益”“安全工作提供的总价值”最大化,同时希望安全成本越低越好3 雇主更容易在显性部分获得胜利;在隐形部分方面保护者拥有的知识和能力优势;● “安全工作提供价值”的“KPI反映部分”的提升● 人员成本方面虽然是双方决定,雇主仍然具有一定主动权;5 保护者当经济利益受限,积极性受挫时,可能的选择除了跳槽,还有
● 降低“安全工作提供价值”的“KPI不反映部分”6 结论是,在一维的纯粹经济利益驱动环境中(或当经济因素影响力权重过大,其他因素不占主导甚至可以忽略时),雇主和保护者无论多么努力,并不能确定地带来“安全工作收益”的增加。1.2.2缺乏对保护者信任的影响
上一节已经描述了雇主和保护者的利益不一致,因此雇主难以完全信任安全人员。这一点造成的影响是广泛和深远的。首先,雇主不会将其秘密和盘托出,比如当前正在进行的某些业务,未来的计划等。安全人员在识别当前风险、为未来做准备时,缺少信息输入而缺乏针对性和预见性;更不用说,安全人员感知到受信任程度较低,其积极性、参与感也会降低。其次,因安全工作需要的专业知识量巨大而且更新很快,雇主与安全人员之间存在巨大信息差,再加上前面的双方信任程度较浅的因素,就会加剧对于道德风险的担忧。如果世界上都是经济人,则经济人无论是选择提供还是接受信息安全服务,都会遇到上一章节中描述的局限,难以发挥其最好的水平。有什么办法呢?本章节简而言之可浓缩为“三维化境”。具体是指,如果受保护人和保护者如果能在智慧、荣誉、利益三个维度进行广泛深入的结合,在理想情况下,能充分发挥保护者积极性和潜力的一种场景。借用柏拉图在《理想国》中构建的一个最好的城邦这一理念,来设想一个安全管理架构。
在柏拉图的理想城邦中,由爱智慧和知识的人来领导,由爱荣誉和胜利的人来辅助领导,由爱利益的人负责从事生产。我们全社会信息安全工作的领导者、保护者和生产者分别对应谁呢?
■《老子》曰:“天之道损有余而补不足”。我党追求共同富裕,可谓合天道;对于跳出“历史周期律”的不懈探索可谓求智慧;按《理想国》的理念,谈到信息安全工作,整体上也应由我党来领导。■ 我国的军队和警察队伍,听从我党指挥,珍视荣誉,适合在保卫网络空间主权和数字化社会公共安全中承担关键和基础的保护工作。■ 各类安全企业,通过为社会提供各类有市场竞争力的信息安全资源、工具和各种个性化的增值服务,合法追求自身经济利益。将上面的架构关联最近的实际生活,我们看到一个有趣的现象。当接到一个诈骗电话后,很快会有一个公安部门或国家反诈中心②的提醒电话或短信。将一些最为常见的、危害最广泛诈骗活动(如,骗取个人各类金融账号,隐私信息等),由政府牵头、公安为支撑来打击,远比单个企业或个人聘请反欺团队/服务来的高效,且能大大降低社会成本和企业负担。当然少数重要的部门和企业仍需自建或外聘业务安全团队来为该企业及其用户提供额外的反欺诈保护。
2.2.1国家机关承担更多社会安全保护职能
集合上面诈骗的例子,网络勒索、DDOS攻击、恶意的国家级APT攻击若是也由国家队作为主力承担,将会有以下优势:
● 效果更好:国家队具备条件可以组建符合上述理想安全管理架构。而普通企业往往受限于本身是经济人定位,难以突破上一章节描述的局限。
● 社会成本更低:国家队对于这种危害巨大、防护成本很高但对于普通企业发生概率又不大的威胁进行管理,能产生规模优势,整体社会成本更低。
2.2.2重点企业不可困守,应尝试突破
对于少数重要的、规模较大的企业,若是国家提供的安全服务还不足以满足企业全部安全需求,为了规避、缓解第一章中讨论的局限,可考虑一些方法:● 企业最高管理层掌握一定信息安全能力或直接吸纳CSO进入最高管理层:这样可以对安全管理中的显性和隐性部分有全面了解和管理。● 突破“一维局限”尝试值得。我们无法穷尽所有可能的尝试,当前也难以预测何种方式会适合特定的组织。但基于“一维局限”的讨论,所有追求更高安全能力的组织,任何在高度竞争环境下的组织,都非常值得进行这方面的尝试。例如,给予保护者以安定的生活环境(如住房、子女教育、经济收入参考CPI增长),定义好使命和目标,让保护者(尤其是一些有智慧、荣誉等方面追求的个体)可以全身心地发挥其在经济利益维度之外的追求。这样不仅能更好发挥保护者个体的积极性、潜能,而且能让保护者与雇主产生除经济之外的多维纽带,形成更牢固的结合,从而为雇主提供更大的保护价值。可能的路还有很多,需要我们携手探索实践。
欢迎您对本文提出批评指正。若您有意进行尝试突破“一维局限”,或您已有解决方案甚至经验,作者都热烈地期盼您的信息,在微信66341024或邮件66341024@qq.com恭候。