多年來，我目睹了網(wǎng)絡安全領(lǐng)域的許多趨勢和模式。有些趨勢和模式是樂觀的，讓我對安全的未來充滿希望，而有些則不那么樂觀。

在所有這些模式中，有兩種模式最為突出，我稱之為網(wǎng)絡安全的大忌：

網(wǎng)絡安全領(lǐng)域的從業(yè)人員常常認為，我們行業(yè)今天遇到的每一個挑戰(zhàn)都是新的，其他領(lǐng)域的從業(yè)人員從未遇到過。這種想法讓我們浪費精力，試圖重新發(fā)明輪子，而不是首先借鑒比我們更成熟的行業(yè)的知識，如軟件工程、質(zhì)量保證、信息技術(shù)、心理學等。

從事網(wǎng)絡安全工作的人常常認為，我們自己今天遇到的每一個挑戰(zhàn)都是新的，在我們這個行業(yè)中還沒有遇到過。這種想法讓我們在了解過去是否曾遇到過同樣的問題，并記下上一代安全從業(yè)者、創(chuàng)始人和行業(yè)領(lǐng)導者是如何解決這個問題的之前，就急于尋找解決方案。

我在以前的許多文章中討論過前者，例如"將軟件工程原理、系統(tǒng)和流程引入網(wǎng)絡安全" 和" 五重測試如何反映質(zhì)量保證的演變" 。在這篇文章中，我將介紹后者。

1995年，在有300多名與會者參加的Crypto '95會議（當時被認為是規(guī)模較大的網(wǎng)絡安全活動）上， Adi Shamir發(fā)表了題為 "密碼學--神話與現(xiàn)實" 的演講。正是在那次演講中，他提出了著名的商業(yè)安全十誡。

Adi Shamir并不為新一代安全創(chuàng)始人和實踐者所熟知，但他應該為人熟知。1977 年，在麻省理工學院工作期間，Shamir、Rivest和Adleman開發(fā)了 RSA，一種用于保護互聯(lián)網(wǎng)安全的加密算法（RSA 是他們姓氏的首字母縮寫）。今天的 RSA 會議（RSAC）就是以他的名字命名的。后來，Shamir與Ronald L. Rivest和Leonard M. Adleman一起被授予圖靈獎，被稱為計算機科學家的諾貝爾獎。

近 30 年后的今天， Shamir的 10 條戒律 仍像當時一樣有效。

1.不要追求完美的安全性

"因此，要實事求是，量力而行。粗略地說，你應該把安全支出增加一倍，把風險降低一半"。- Adi Shamir

三十年前，人們就知道不存在完美的安全。安全團隊總是可以做得更多，但到了一定程度，新投資的回報就會越來越低。安全領(lǐng)域最不快樂的人是理想主義者，因為他們總覺得企業(yè)不夠關(guān)心。務實者明白，在安全方面不僅僅是要贏取更多的安全預算，每一分錢的分配都必須能為整個公司帶來最高的回報。有時，如果根本沒有安全計劃，那很可能就是安全問題。但在其他時候，投資于國際擴張、市場營銷、研發(fā)或其他能產(chǎn)生最高回報的領(lǐng)域更有意義。

網(wǎng)絡安全是一項業(yè)務支持部門，因此安全團隊必須習慣于非線性擴展，這一點與人力資源或 IT 等其他部門類似。這也意味著很難明確計算安全投資回報率（ROI）。比方說，如果我們在安全項目上再投入一百萬美元，我們的安全性會提高多少 ？1%?10%?60%? 這很難衡量，更難衡量是否真的取得了成功。與此同時，我們通?？梢愿_定投資回報率，比如說，在銷售上投資一百萬美元。安全領(lǐng)導者絕對應該繼續(xù)倡導安全需求，同時也要認識到，他們需要利用現(xiàn)有資源盡最大努力。

這一原則同樣適用于初創(chuàng)安全公司。無論他們?nèi)绾闻?，都不可能阻止所有的安全漏洞、消除所有的零日、檢測所有的高級持續(xù)性威脅（APT）。任何提出相反建議的人都會立即失去信譽，因為安全根本不是這樣運作的。網(wǎng)絡安全廠商不應追求或承諾完美的安全性，而應腳踏實地，專注于提供可能和可行的服務。

2.不要解決錯誤的問題

"例如，美國銀行每年因支票欺詐損失 100 億美元，但網(wǎng)上欺詐僅損失 500 萬美元"。- Adi Shamir

概括地說，安全需求有三個驅(qū)動因素：

● 對手的活動。壞人每天都在尋找新的方法來實現(xiàn)他們的目標，其中包括尋找新的漏洞和新的攻擊載體。

● 監(jiān)管變化。政府和其他監(jiān)管機構(gòu)不斷評估哪些安全措施應強制執(zhí)行，哪些應作為最佳實踐推薦，并制定新的指導方針、標準和要求。

● 技術(shù)變化。技術(shù)在不斷發(fā)展，采用新技術(shù)就必須采用新方法來確保其安全。

安全團隊一直在監(jiān)控正在發(fā)生的事情，并決定他們應該如何應對。新情況總是層出不窮，因此，既要跟蹤所有這些情況，又不能失去重點，這需要大量的紀律。安全領(lǐng)導者和從業(yè)人員必須確保在任何時候都能專注于解決企業(yè)最重要的問題。要集中精力解決最重要的問題，就需要有第一原則的思維，找出對特定組織影響最大的問題的根源，然后對癥下藥。要做到這一點并不容易，因為安全需求的三個驅(qū)動因素--對手活動、監(jiān)管變化和技術(shù)變化--都會促進新創(chuàng)公司、新方法和解決老問題的新途徑的出現(xiàn)。初創(chuàng)企業(yè)從投資者那里籌集到資金后，會努力向買家宣傳他們正在解決的問題。如果聽取創(chuàng)始人的意見，不需要太長時間就會發(fā)現(xiàn)，無論他們的公司在做什么，都必須成為 CISO 的頭等大事。正是這一點導致了 90% 以上的漏洞（如果不是這樣，明天肯定也會這樣，所以安全領(lǐng)導者最好未雨綢繆）。

在所有這些噪音中，安全領(lǐng)導者必須始終關(guān)注他們受雇保護的組織的利益。很多時候，這意味著他們要抑制對新技術(shù)的興奮，回歸基本面。雖然一些新的人工智能生成的威脅或新的民族國家 APT 明天可能確實會成為一個問題，但今天他們主要關(guān)注的可能仍然是 MFA 執(zhí)行和電子郵件安全。同樣的道理也適用于初創(chuàng)企業(yè)。創(chuàng)始人往往會對新技術(shù)感到興奮，卻忽略了一些最 "棘手 "的問題是那些已經(jīng)存在了一二十年、已被充分理解但仍未解決的問題。

3.不要自下而上地銷售安全產(chǎn)品

"（在人事等級方面）"。- Adi Shamir

三十年前，人們對市場的了解足以表明，自下而上的銷售方式在網(wǎng)絡安全領(lǐng)域行不通。更令人難以置信的是，這一點幾乎沒有改變，而這并不是因為缺乏嘗試。

幾十年來，我們一直在努力尋找一種方法，讓安全從業(yè)人員支持他們喜歡的解決方案，但在大多數(shù)情況下，我們都沒有成功。但也有一些例外，每個例外都有很多注腳。例如，

● Auth0 在產(chǎn)品導向型增長（PLG）方面取得了令人難以置信的成功，但如果我們仔細觀察，就會發(fā)現(xiàn)他們并沒有向安全團隊銷售安全產(chǎn)品。相反，他們銷售的是一種將實施身份驗證的復雜性抽象化的工具。我們已經(jīng)充分了解到，由于種種原因，除了云原生風險投資初創(chuàng)公司的安全工程師之外，安全從業(yè)人員沒有足夠的能力讓廠商完成銷售流程。軟件工程師、IT 團隊和其他人員也不認為安全是他們需要擔心的事情，因此他們不會購買安全工具。

● Sourcefire 在自下而上的銷售方面取得了成功，但這是因為它是建立在 Snort 的基礎上的，而 Snort 是一個開源項目，當時已經(jīng)獲得了巨大的影響力。值得注意的是，雖然有幾個開源項目隨著時間的推移發(fā)展成了非常成功的公司，但它們都是在維護者看到了擴展社區(qū)喜愛和采用的東西的機會時有機地發(fā)生的。另一方面，據(jù)我所知，試圖通過首先設計一個開源版本，然后將其作為商業(yè)產(chǎn)品的 "特洛伊木馬 "來構(gòu)建商業(yè)安全產(chǎn)品的做法從未產(chǎn)生過令人難以置信的結(jié)果。

我有幾篇關(guān)于自下而上地銷售安全產(chǎn)品的文章，我通常不鼓勵初創(chuàng)企業(yè)的創(chuàng)始人試圖將產(chǎn)品主導的采用作為增長的主要手段。

4.不要過度使用加密技術(shù)

"即使是糟糕的加密技術(shù)，通常也是系統(tǒng)的強項"- Adi Shamir

這一點在我看來是一個很好的提醒，即安全團隊應該尋求利用他人已經(jīng)構(gòu)建的系統(tǒng)，這樣他們就可以專注于針對其環(huán)境的未解決的問題，而不是不必要地重新發(fā)明輪子。雖然最初的觀點是關(guān)于密碼學的，但我認為它幾乎適用于任何其他領(lǐng)域，在這些領(lǐng)域中，人們可能會受到誘惑去做所謂的"無差別的繁重工作". 。

我注意到，許多安全人員都有一種強烈的傾向，那就是專注于自己最熱衷的領(lǐng)域，而忽略了最需要關(guān)注的領(lǐng)域。這并不是安全領(lǐng)域獨有的現(xiàn)象，例如，軟件工程師也喜歡這樣做。不同的是，在軟件工程等領(lǐng)域，我們已經(jīng)建立了堅實的系統(tǒng)和實踐（如產(chǎn)品管理），力求在任何時候都將團隊的工作與業(yè)務的最高優(yōu)先級保持一致。由于種種原因，安全領(lǐng)域仍然缺乏這種思維模式，在許多公司，安全從業(yè)人員將時間和精力投入到了對處于成熟階段的組織來說并不是最有價值的領(lǐng)域。

解決非關(guān)鍵問題的模式在網(wǎng)絡安全初創(chuàng)企業(yè)的創(chuàng)始人身上重演。他們中的許多人創(chuàng)辦的公司本質(zhì)上都是激情項目，與行業(yè)的實際需求相去甚遠。尤其是安全純粹主義者，他們經(jīng)常花費數(shù)年時間，試圖將某項工作做到 99.9%，而 80% 就足夠了。當然，追求令人興奮的問題并沒有錯，但當這些公司籌集資金時，他們往往會陷入困境，因為客戶滿足于 "足夠好 "的解決方案。

5.不要把問題復雜化

"這提供了更多攻擊系統(tǒng)的機會，并鼓勵用戶想方設法繞過安全系統(tǒng)"。- Adi Shamir

今天，我們經(jīng)常談論這樣一個事實：安全工具無序擴張是危險的，因為它擴大了公司的攻擊面，使壞人更容易發(fā)現(xiàn)和利用漏洞。盡管至少從 1995 年起，我們就已經(jīng)知道了潛在的風險，但最終還是出現(xiàn)了廠商無序擴張的問題，這實在令人費解！?

控制措施越復雜，安全團隊就需要花費越多的時間將其整合到一個有凝聚力的計劃中，長期維護起來就越麻煩，安全領(lǐng)導者也就越難了解哪些方面有良好的覆蓋，哪些方面有欠缺。毫無疑問，不必要的復雜性會增加安全團隊的工作難度，但真正的危險在于它對員工的影響?？刂圃綇碗s，對用戶體驗的影響越大，人們就越有可能找到規(guī)避控制的方法。這完全合情合理，因為用戶總是會尋找摩擦最少的方式來完成他們的工作（即使這也意味著最不安全）。

在網(wǎng)絡安全領(lǐng)域，我們經(jīng)常重復安全團隊需要少花錢多辦事的口號。偶爾，我也會想--也許我們應該努力做到......更少？也許，減少控制，但專注于影響最大的項目，可以帶來更強大的安全保護。在安全方面，最好的方法是通過設計來構(gòu)建安全的系統(tǒng)；其次是將安全分層，使安全行為成為最無摩擦的行為。與安全地做事相比，當人們不得不付出額外的努力去做不安全的事情時，我們就會知道我們做事的方法是正確的。

同樣的原則--"不要把事情搞復雜"--也適用于廠商構(gòu)建和營銷安全解決方案的方式：

● 很多時候，創(chuàng)始人推銷公司的方式讓人無法理解他們的工具究竟能解決什么問題。他們愛上了技術(shù)，卻忽略了對買家來說什么才是最重要的。

● 安全領(lǐng)導者和從業(yè)人員能夠理解公司推銷產(chǎn)品的方式是極為罕見的。人們可以花幾個小時閱讀營銷材料和面向公眾的文檔，但仍然不知道解決方案（或問題）是什么。我們的營銷過于復雜。

● 大多數(shù)安全產(chǎn)品的構(gòu)建方式不僅忽視了用戶體驗方面的最佳實踐，也忽視了這些工具的構(gòu)建者與軟件本身的交互方式。我們習慣于使用界面混亂的笨重工具，需要花幾個小時閱讀文檔、參加培訓和學習新術(shù)語。圍繞用戶體驗的問題不僅增加了安全工具的總擁有量，還使安全從業(yè)人員更有可能錯誤配置這些工具，無法維護安全覆蓋范圍，或完全利用廠商提供的服務。人們在部署了安全工具并支付了訂閱費用之后，卻發(fā)現(xiàn)該產(chǎn)品本應提供的 50% 的覆蓋范圍被禁用. 這種情況并不少見。

6.不要讓它變得昂貴

網(wǎng)絡安全成本高昂，作為一個行業(yè)，我們已經(jīng)習以為常。不僅如此，我們還認為必須如此。由于安全采購的主要驅(qū)動力是合規(guī)性，而大型上市公司往往受到最嚴格的監(jiān)管，因此廠商主要針對資金雄厚的大型企業(yè)構(gòu)建產(chǎn)品。這樣做的后果之一是，大多數(shù)安全工具對于無法為安全分配數(shù)百萬甚至數(shù)十億美元的企業(yè)來說根本負擔不起，這導致了網(wǎng)絡安全貧困線. 。

習慣于為新功能支付高昂費用的安全領(lǐng)導者，每當某些廠商的收費低于其競爭對手時，就會產(chǎn)生難以置信的懷疑。我聽說過好幾個故事，說的都是一個優(yōu)秀的解決方案如何在與競爭對手的競爭中敗下陣來，因為 CISO 認為他們的要價低得可疑，因此他們的產(chǎn)品在覆蓋范圍和可靠性方面肯定更差。安全領(lǐng)導者更傾向于購買更昂貴的工具并通過談判獲得一些折扣，而不是一開始就考慮價格更低的替代品。這種悖論并不是安全領(lǐng)域獨有的，它只是我們學會了如何看待價格與質(zhì)量之間的關(guān)系。這些心理因素也是我們認為購買 "打五折"、折扣后最終售價為 100 美元的產(chǎn)品比購買一開始售價就為 100 美元的產(chǎn)品更好的原因。

不僅僅是網(wǎng)絡安全買家和賣家將 "安全是昂貴的 "這一事實常態(tài)化，整個技術(shù)行業(yè)也是如此。安全從業(yè)人員對所謂的 SSO 稅 和 審計日志稅 非常不滿。各種規(guī)模的技術(shù)公司都學會了讓客戶支付高昂的費用，以便獲得基本的安全功能。這無異于允許汽車行業(yè)因提供安全帶而額外收取 50%-1000%的費用。然而，由于這種情況已經(jīng)常態(tài)化，我們不太可能看到任何改變。正如我以前解釋過的， 這些問題源于技術(shù)行業(yè)產(chǎn)品管理實踐的低成熟度 ，以及安全需求是 SaaS 公司在產(chǎn)品定價時可以依賴的一個非常方便的捷徑。

7.不要使用單一防線

"有幾個層次，這樣就可以保持安全，無需昂貴地更換主線路"。- Adi Shamir

"不要使用單一防線 "是我們這個行業(yè)一直全心全意奉行的原則之一，同時也是我們完全忽視的原則之一。

從積極的方面看，公司依靠防火墻或防病毒軟件等單一安全工具來防范一切可能出現(xiàn)的問題的時代已經(jīng)一去不復返了。這一方面是因為我們作為一個行業(yè)已經(jīng)成熟，所以我們明白沒有萬能藥，另一方面是因為潛在攻擊載體的數(shù)量已經(jīng)激增。現(xiàn)在，人們通過框架和合規(guī)性標準更加牢固地認識到，整體安全計劃需要涵蓋許多領(lǐng)域--從網(wǎng)絡到端點、身份、云和應用程序安全，再到電子郵件安全、API 安全、SaaS 安全、數(shù)據(jù)安全等等。

不那么積極的一面是，在我們希望將所有安全工具整合到 "單層玻璃 "下時，我們正滿懷信心地邁向這樣一個世界：幾個大型廠商同時變成了一道防線和一個故障點。正如我在 之前的一篇文章 中解釋的那樣，"......任何單體平臺的安全性都會隨著其規(guī)模的擴大而降低。有機會使用過 SAP、Salesforce 或 Workday 等大型傳統(tǒng)平臺的人都知道，平臺越大，效率就越低。而且，

● 大型平臺淹沒在技術(shù)債務中。

● 大型平臺的支持渠道不暢。

● 大型平臺變得異常難以實施，尤其是在需要定制的領(lǐng)域。

● 大型平臺之所以昂貴，是因為大多數(shù)客戶要為他們永遠用不上的眾多功能付費。

● 大型平臺之所以昂貴，是因為它們嵌入客戶工作流程的程度越深，覆蓋的領(lǐng)域越多，就越難更換，平臺廠商對買方的控制力也就越強。

最后但同樣重要的是，平臺越大，其表面積就越大，最終引入的漏洞也就越多。更重要的是，壞人更容易集中精力在一個能打開所有門的工具上打洞，從而導致最大的安全產(chǎn)品也可能成為最不安全的單一故障點。

作為一個行業(yè)，我們在試圖減少廠商數(shù)量時必須注意不要走得太遠。這不是一個容易解決的問題，因為一方面我們需要簡化我們的堆棧，另一方面我們必須避免組裝安全怪物。我最近意識到，整合工具并不一定會導致簡化。事實往往恰恰相反。我們必須關(guān)注兩個方面：技術(shù)和預算。從采購和預算的角度來看，將多種功能整合到一個廠商那里幾乎總是會帶來簡化。這是有道理的，因為 CISO 可以只與一家廠商打交道（一家廠商、一份合同、捆綁價格、一個支持團隊等），而不是與比如說五家廠商打交道，談判五份獨立的合同，這些合同都有各自的定價、續(xù)約周期等。問題是，通常情況下，轉(zhuǎn)向單一廠商會使技術(shù)方面變得復雜。許多所謂的平臺實質(zhì)上是由數(shù)十個互不關(guān)聯(lián)的工具拼湊而成的一個解決方案。有些公司可能投入了大量的時間和精力來整合這些單獨的工具，其中大部分可能是收購而來，而不是內(nèi)部構(gòu)建的，但有些公司卻沒有這樣做。這些工具都有各自的數(shù)據(jù)標準、應用程序接口規(guī)范、架構(gòu)差異等，處理這些拼湊起來的工具可能會耗費巨大的成本。這就是說，合并合同可能會簡化采購，但卻會使技術(shù)環(huán)境復雜化，增加總體擁有成本。

8.別忘了 "神秘攻擊"

"即使在不知道出了什么問題的情況下，也能重新生成安全性。例如，智能卡是可以攻擊的，但卻可以快速廉價地恢復。- Adi Shamir

盡管我們擁有成千上萬種工具，專注于檢測用戶、網(wǎng)絡、端點、應用程序和數(shù)據(jù)等不同資產(chǎn)類別，但我們不能指望能夠預防、檢測和修復每一個威脅。難免會有漏網(wǎng)之魚，而這些漏網(wǎng)之魚可能完全出乎我們的意料，難以解釋，甚至根本無法解釋。因此，我們的重點應放在恢復能力上，而不僅僅是預防、檢測和響應。

對于不同的人來說，復原力意味著不同的東西。從根本上說，它是指確保公司能夠抵御攻擊并從中恢復。在過去的十年中，我們在災難恢復和復原力方面取得了一些進步。然而，許多想法仍然只是想法，許多最佳實踐在很大程度上仍然被忽視。例如，關(guān)于自愈 API、自愈網(wǎng)絡和其他能夠抵御威脅和意外變化（無論是由壞人還是系統(tǒng)故障引起）的自愈系統(tǒng)的討論不絕于耳，但到目前為止，這些大多還只是想法。

安全廠商應打造能夠應對神秘攻擊的產(chǎn)品，并為客戶提供更易于預防、檢測和恢復的工具。這可能包括追溯威脅的遙測存儲、超越靜態(tài)規(guī)則、實施異常檢測的機器學習等。

9.不要信任系統(tǒng)

2024 年，"零信任 "無疑已成為我們行業(yè)的流行語。越來越多的公司開始接受 "系統(tǒng)不可信 "的理念，實施微分段、設備信任、持續(xù)驗證、工作負載監(jiān)控、安全訪問服務邊緣（SASE）解決方案以及其他看似新穎的方法。然而，讀一讀早在 1995 年就被列為安全核心支柱之一的 "不要信任系統(tǒng) "就會明白，零信任并不是什么新鮮事物。

在網(wǎng)絡安全領(lǐng)域，需要對每個人和每件事進行持續(xù)驗證的理念已經(jīng)存在了幾十年，我們花了這么長時間才開始在行業(yè)層面將其付諸實施。這里的 "開始 "一詞很關(guān)鍵：雖然61% 的公司聲稱正在實施零信任計劃，但零信任的實際采用深度仍不清楚。這是因為零信任首先是一種架構(gòu)系統(tǒng)的方法，而不是公司為實現(xiàn) "安全 "而購買的工具。真正的零信任需要大量的用心，需要從根本上重建公司授予、驗證和撤銷系統(tǒng)訪問權(quán)限的方式。要做好這一點并不容易，如果十年后，人們再次推動零信任的迭代，我也不會感到驚訝。

不信任系統(tǒng)的另一個層面是確保我們不盲目信任所依賴的第三方。這無疑是一個痛苦的話題，因為第三方風險已經(jīng)變成了用 ChatGPT 填寫調(diào)查問卷的游戲，而投資供應鏈安全的夢想仍然只是一個夢想。安全廠商尤其要謹慎對待自己的第三方依賴關(guān)系：由于網(wǎng)絡安全產(chǎn)品獲得了大量的訪問權(quán)限和高度敏感的權(quán)限，初創(chuàng)企業(yè)有責任確保它們不會變成攻擊者的 "特洛伊木馬"。

10.不要信任人

很多時候，我們會覺得如果有一件事是業(yè)界完全同意的，那就是我們不應該相信人這一要素。然而，當我們仔細研究這方面的問題時，事情很快就開始變得撲朔迷離。

安全從業(yè)人員在對他們要保護的公司員工建立零信任心態(tài)方面一直很有一套。然而，這種心態(tài)往往會在財務、銷售、市場營銷和客戶支持部門終結(jié)，而這些部門是 "眾所周知 "的在安全方面最嚴重的違規(guī)者。要保護開發(fā)人員的安全，更要保護公司高管和董事會成員的安全，事情就變得復雜了。因為首席執(zhí)行官或董事會成員（具有諷刺意味的是，這些人有很多權(quán)限訪問高度敏感的文檔）不愿意處理額外的摩擦，所以公司在 MFA 方面創(chuàng)建例外情況或規(guī)避其他一些常識性控制措施的情況并非沒有發(fā)生過。

雖然作為一個行業(yè)，我們已經(jīng)學會了不信任公司員工，但令人著迷的是，我們在其他情況下仍然信任別人。例如，

● 雖然我們并不缺乏持續(xù)合規(guī)監(jiān)控的工具，但在大多數(shù)情況下，我們?nèi)匀灰蕾嚱貓D和書面證明等時間點證據(jù)。這些 "證據(jù) "并不能證明公司在任何時候都是合規(guī)的，而只能證明公司在接受審核時是合規(guī)的。

● 網(wǎng)絡保險承保仍然側(cè)重于高層次的問題，即使這些問題變得越來越細化。我們不是想方設法收集證據(jù)來證明買方確實在做他們聲稱在做的事情，而是繼續(xù)詢問 "您是否啟用了MFA？有還是沒有？

● 第三方風險的整個領(lǐng)域都建立在合規(guī)性的自我證明上。雖然在大多數(shù)情況下，實際的第三方風險是通過合同和廠商協(xié)議轉(zhuǎn)移的，但我們?nèi)栽诶^續(xù)玩這種申請和回復安全問卷的游戲。如今，隨著人工智能和 ChatGPT 的發(fā)展，市場上充斥著各種工具，一方面可以幫助填寫這些問卷，另一方面可以讓買家 "總結(jié) "廠商的答復。

● 在購買過程中，業(yè)界仍然依賴專家的評論和認可。行業(yè)分析師的意見、CISO 社區(qū)的認可、客戶的評價以及其他類型的信任因素在很大程度上影響著初創(chuàng)企業(yè)獲得早期發(fā)展的可能性。

● 在評估控制措施的有效性時，我們?nèi)匀灰蕾囉趥髀勛C據(jù)。Daniel Geer、Kevin Soo Hoo 和 Andrew Jaquith 所描述的 "神諭和占卜者" 現(xiàn)象繼續(xù)存在，而且?guī)缀鯖]有證據(jù)表明這種現(xiàn)象會很快改變。

作為人類，我們不能一直生活在零信任的狀態(tài)中。歸根結(jié)底，我們需要信任他人，與他人合作，并與周圍的人建立有意義的關(guān)系。重要的是，我們要明智地選擇信任的對象，并了解在任何情況下都有哪些激勵因素在起作用。我們在這方面已經(jīng)取得了很多進展，例如 出現(xiàn)了安全領(lǐng)導者私人社區(qū)和 ISAC 等 ，但我們還可以做得更多。

自 Adi Shamir 發(fā)表著名演講并提出商業(yè)安全十誡以來，已經(jīng)過去了近 30 年。對于我們的行業(yè)來說，30 年是一個很長的時間（這也是 CISO 角色存在的時間），但對于法律、醫(yī)學或會計等其他成熟的知識領(lǐng)域來說，這不過是滄海一粟。

年輕一代的安全從業(yè)人員一直被誤導，認為我們行業(yè)如今面臨的問題都是些新問題。正如本文所要強調(diào)的，這些問題并不新鮮。三十年前，我們曾有人警告我們不要自下而上地推銷安全，不要浪費時間去解決那些對我們的安全沒有意義的問題領(lǐng)域，不要讓我們的基礎設施過于復雜。三十年前，有人警告我們系統(tǒng)和人都不可信。這是否意味著整個行業(yè)又回到了從前？當然不是。這意味著我們必須繼續(xù)關(guān)注基本要素。安全領(lǐng)導者、安全從業(yè)者和安全創(chuàng)始人都必須牢記什么是真正的優(yōu)先事項，以及大多數(shù)攻擊的源頭在哪里。具有諷刺意味的是，這一點也沒有太大的改變（盡管不可否認我們已經(jīng)取得了很大的進步）。

在我們展望未來安全的時候，讓我們都記住Adi Shamir和我們的前輩留給我們的十條戒律。

原文鏈接：https://ventureinsecurity.net/p/10-principles-for-building-cybersecurity