最近看了一本书《反脆弱(antifragile)》,纳西姆-塔勒布写的。这位大咖还写过《黑天鹅》,是一名非常出名的商业思想家和风险管理理论学者。
出于自己的本职工作(信息安全风险评估和风险管理),以及对商业风险管理的个人兴趣(源自本人一直想找到将安全风险评估和商业风险管理的结合点),我拜读了这部大作。看完之后,整个人顿时陷入了一种“自我否定”和“怀疑论”的臆想。或许是我理解能力偏弱,误解了作者的想法,也可能是我杞人忧天,但是一些东西还是想说一说,再看看历经风雨的大牛们的意见。
首先,是对安全行业存在价值和存在模式的思考。根据个人的理解,安全行业的诞生和发展实际是依托于安全事件的发生。有了安全事件,人们的惯性思维会想着:“嗷,这太糟糕了,有什么办法能避免吗?”于是,就有人去研究已经发生的安全事件存在的规律,专门去处置各类安全事件,久而久之,就形成了以研究和处理安全事件,并以此提供产品和服务来盈利的安全产业。这个过程是不是听着很熟悉。没错,商业风险管理的诞生和发展也是如此一个过程。
但是,不得不说的是,看过塔勒布的两本大作后,我突然对我们传统的惯性思维模式,也就是安全产业诞生所依赖思维模式,“如何避免安全事件的发生”产生了疑惑。为什么呢?如果将信息安全与商业风险管理相类比(两者的共同点太多了,个人感觉只是对象和理论发展阶段不同而已),我们会发现一个事实,大部分的乙方安全从业人员,包括给我们钱的甲方主管人员,都没意识到一个问题:和各大金融危机和重大商业事件一样,安全事件是一种“黑天鹅”事件。也就是说,安全事件本质上是不可预测的。也就是说,我们安全行业所面对的是什么?是“不可知的未来”。我们在事后的各类分析,搭建事件预测模型等等,以及宣称推出可以放置类似事件再度发生的安全机制和安全产品,本质上是人性的作用,即人性天生就排斥“不可预测、不可掌控的东西”,而倾向于更平稳的、更线性的状态呈现。所以,我们以所谓的理论模型、总结分析来解释和说明每一起安全事件的起因,表示这事并非意外。这从根本上来说,这是一种可预测性错觉,偏了方向。
那么,是不是说我们所做的一切都毫无意义呢?并不是。读了《反脆弱》这本书,我突然感觉,应该换个角度来看待我们做的事情和研究的东西。安全行业的价值并不在于弥补脆弱性,而在于强化反脆弱性。根据塔勒布的说法,反脆弱性是脆弱性的对立面,拥有反脆弱性的事物,能”在各种冲击中受益,当暴露在在波动性、随机性、混乱和压力、风险和不确定性下时,它们反而能茁壮成长和壮大。”什么意思呢?就是事物的三元结构理论,将信息网络看作一个事物,那它就具有脆弱性、强韧性和反脆弱性,脆弱性是我们现在发现的各种漏洞、隐患。强韧性是什么?强韧性是我们采取的所谓防护措施,虽然采取了防护措施会弥补脆弱性,但是这些措施是否会引发新的脆弱性(也就是所谓的”副作用“),是否能有效阻止”黑天鹅“安全事件的发生,这是未知的。那反脆弱性是什么?反脆弱性更像是一种褒义的投机机制,当安全事件发生时,能通过必要的手段及时、迅速地进行事件的处理,将事件压制在微小、良性,甚至是可逆的范畴内,从而让网络在整体角度来看,不是在事件中受损,而是在事件中获益。这也就是”自由探索和反复试错“类的网络安全理念。可以说,目前Fireeye的发展理念与这种理念极为类似,每次的安全事件发生,迅速止损是必要的,但最重要的如何建立一种安全机制,让用户的网络和系统能不断在各种可控的安全事件中获益,提高反脆弱性,从而变得越发强大,直至足以对绝大部分的安全风险进行快速及时的响应。
那么,如果安全行业的价值在于强化信息网络或者网络空间的反脆弱性。那么安全行业的未来发展方向应该是哪呢?传统的防护理念注定是跟不上时代潮流和事物发展规律的。多少事例证明了,一个网络即使用了再多的安全设备,配了再多的安全人员,也会在不可预测的时间发生不可预测的安全事件。塔吉特、摩根大通、斯诺登都是如此。甚至很多时候,安全系统自身反而是造成安全事件的源头(自身安全性、与业务便利性的冲突、安全系统造成的风险集中化等)。而现在热度超高的安全威胁情报虽是正确的道路之一,却在情报在安全体系中的定位(情报是作为安全体系中策略机制的数据来源?还是纯为获得情报而搞情报?)、如何基于情报进行分析(哪些情报有用?有什么用?)、分析结果如何指导实际工作(也就是情报与安全机制的映射关系,怎么用的问题)等问题上没有体系的支撑,所以现在很多时候给我个人的感觉,国内搞大数据安全威胁情报,只是为了情报而搞情报,并没有多少企业理清了整个情报利用的脉络。
那么,理想中的安全行业未来的核心价值在哪呢?咨询。看上去是老调重弹,但是现在很多人都意识到,安全要想体现价值,必须和现实业务挂钩。安全自身是不创造价值的,安全的价值只能在业务价值上间接体现。原来常说,”不出事就是安全的价值“。如果用更理性的观念来看,不出事不是安全的价值,因为你没办法保证不出事。安全的价值是有办法将出的事快速处理掉,并让企业或网络在出事的同时“投机”获益。也就是说,安全的价值观应该是“让用户从出事中获益”。怎么获益呢?我这里分享个自己的案例,我们帮某个央企做安全评估,没有EVT,用了场景化的定性评估方法,把一个个风险合成,再展示给用户看,你不重视安全,行,我就可以用数百种方法把你弄得天翻地覆,业务都没法开展。这样的结果是,他们任命了CIO统管安全,安全部门变成了强力专职部门,系统不通过安全测试就不给上线,然后企业自己也投入资金力量开始建统一的管控平台,并且用业务安全评估手段把一些业务上的漏洞堵死,避免被有心人利用漏洞导致资金流失……等等。从小来说,企业安全部门获利了,从大了来说,企业整体也获利了。因此,借助攻防手段、威胁情报手段,进行攻防模拟、预警,实际是将安全事件的发生先控制在一个较小的范围内,锤炼企业的应对能力,当出了控制不住的大事情时,企业的危机公关和应对表现才能为其减少损失,甚至印象加分。这对于天天面对大量商家、消费者、金融机构的互联网企业来说,这尤为重要。
其次,构建网络信用体系。不记得那位牛人说过,人与人之间的交易,不是在交易物品,而是在交易信用。个人对此表示赞同。安全的价值除了进行防护、检测、响应、恢复等等传统意义的工作,还在于如何为企业或网络或业务构建一定的反脆弱性机制,最典型的应用就是网络信用体系的建立和优化。网络空间就是另一个现实世界,没有信用体系,网络空间就像混乱的地狱一样,永远无法获得秩序。因此,基于大数据分析和数据挖掘的信用体系建设在未来必然成为安全行业发展的核心。实际现在Fireeye的业务模式有些这方面的感觉,不断的针对国内的黑客共计报告、大批量的全球网络攻击数据采集、沙箱和网络安全联动防御机制等等,其核心目的是给各个国家、各个企业、各个域名、各个服务器、各个系统或工具、各个个人(黑客)逐步建立一个信用体系。可以畅想一下,到了成熟的时候,网络安全信用体系会不会变得和现实世界的穆迪信用评级、国家个人信用评价体系等一样,成为衡量一个主权国家、一个企业、一个人,甚至到一个域名、一个系统、一个服务器、一个产品或工具的信用等级的东西,而这个东西最终决定着它们在网络空间中商业价值。
以上就是我的一些瞎想。还请指正。