为什么网络安全做了这么多仍然不安全-优快云博客

本文链接：https://blog.youkuaiyun.com/2302_76672693/article/details/144557290

前言

2024年的网络安全产业更加困难，有大环境影响的因素，经济不景气，降本增效，对安全这种出现和解决问题依赖概率的保障成本作为非刚性成本的职能预算，砍起来自然首当其冲。当然，在面对僧多粥少的安全产业收缩的情势下，为了业绩冲市场在竞价模式下低与成本的恶性竞争进一步压缩安全产业的体量，导致安全产业形成螺旋下降的趋势，实在是屋漏偏逢连夜雨。

恰好这两天，第十批医药国采出台，低价中标的背景下，外企集体跑路，一声哀叹的前提下，大家不禁反思谁是真正的受害者。相比医疗产业，网络安全产业的外企撤退得更早，虽然价格不是主要因素，但网络安全产业总算领先了。

调侃之余，从受害者有罪的思维，不妨做下反思。虽然，受害者有罪这事是有违政治正确的人人喊打的不合群思维，但已经摆烂成这样了，又有何所谓。竞争，本质上不就是适者生存的所谓内卷式进化吗？为了所谓的公平正义的口号而当真摇旗呐喊，那真是中了资本家劝服无产者躺平的洗脑说辞的圈套。

一、 为什么做了那么多，依然不安全

前面写文章，说了目标定义为合规免责的思维，贻害无穷，只能把安全产业拖进死地。但行业集体认知如此，谁也逃脱不了认知藩篱，大致只能眼睁睁的看着，而无能为力。这也是没什么办法的事，既然只要按照合规的要求，安全的规范，圈定的范围，按照标准的方法，确定标准的风险，制定执行标准的策略，记录标准的流程与操作，获得标定的检查和认证，出了事与我无关，那为什么还要吃力不讨好的说服领导，说服业务，说服同事，说服监管，说服客户，在影响效率，影响效能的前提下，去做一个针对潜在风险和问题但不知道花了钱，花了资源是否有效的处理手段，实在是强人所难。

躺平不香吗？香是香，但不管具体场景，不管变化的环境与业务，不管潜在的风险和问题，刻舟求剑的做安全，做再多，依然不安全，出事也是个概率问题而已。所以，看到这么多光鲜亮丽的企业爆出安全丑闻，也只能视而不见，反正热点置之不理很快就会被下一个热点掩盖，互联网的记忆和鱼差不多，至于是7秒钟还是7天，有什么重要。

牢骚和抱怨谁都会，关键我们还是想解决问题的。那么，除了意识形态的问题之外，认真改变产业环境，从风险驱动做安全的角度来说，是不是就能做到真正的安全，不出事。

其实挺难，上次跟一个朋友聊天，聊出来一个框架，做一下分享。

安全的维度很多，从安全可见，可管，可控串起来的维度，就拿我近几年关注的从资产安全属性的角度来看安全，分析一下安全控制哪些能做到，哪些无能为力。

首先以网络安全的通用维度关注IT资产的安全管理，IT资产从运维，配置，管理的角度来看，一般SRE或运维部门通过CMDB资产配置管理库进行管理。当然在IT数字化的进程中，CMDB也从原来静态的录入，扫描采集过渡到动态的资产生命周期管理的数字化过程中，因此，结合信息管理与运维作业管理的数字化CMDB已经成为SRE数字化作业的核心平台。当然，没达到这个水平的企业IT的SRE和运维而言，请节哀。

假设具备了相关的数字化IT运维基础设施，那就首先看一下是不是所有已知资产均纳入了安全管控的范围，结果不是那么乐观，数字资产的安全属性是否登记，变更措施是否受控，资产的生命周期是否具备侵入式安全措施的实施。简单点，是否漏洞依然可以修补，会不会因为安全措施而难以运行？相信在历史的屎山上的多元IT资产，难以经得起如此的灵魂拷问，妥协的结果，能有相应的补偿措施，加上良好的监控就相当OK了。即使过了资产自身这一关，部署安全的检查和监控措施成本如何，性能效率影响如何，成本和业务影响是不是可以接受，要不要妥协。

答案是显而易见的，在降本增效的前提下，在业务性能优化的刚性要求下，安全的优先级不妨往后站，所以这时候谈什么覆盖率，谈什么安全第一，只能是自取其辱。

安全措施覆盖不了已经登记的安全资产，这件事还好解决，毕竟是个已知问题，已知方案的送分题，平衡，妥协，风险决策就可以决定，无非是个时间和资源问题。

第二个问题是未管资产，安全策略已覆盖。这是个容易被忽略的有意思的现象。只所以存在，主要还在于数据驱动安全的发展，当流量成为安全自上而下管理之外的手段，就能反哺SRE的资产管理和数字作业系统。无论是该下线未下线的僵尸系统，还是影子IT，都会在流量监控和审计下无所遁形，那些黑色的，灰色的，业务不想为人所知的under table的交易也暴露在朗朗乾坤之下。安全翻出的这些帐，炸到了谁，影响到谁不得而知，悲催的是，虽然为企业做出了巨大贡献，但也可能招惹了不该招惹的对手，说不定下次的晋级考核，升级加薪因此而泡汤。但顶天立地的安全人，岂能怕了这些魑魅魍魉，干就完了。

安全措施发现的未被管理的IT资产，纳入企业数字化资产管理的范畴，该下线下线，该简化简化，该惩治惩治，也是安全为降本增效做出的巨大贡献。这也是属于已知问题，已知方案的处理，只要有决心，有时间，有资源，有开刀的勇气，也算不上难。

第三个问题是安全策略上了这么多，究竟是否达到了设计的安全目标，真正的防御了安全风险。无论是预防，检测、监测、响应、处置脆弱性，威胁和事件都能涵盖。有效性这个问题，近几年安全行业已经比较受重视，大家从检出率，有效性，等安全风险度量指标的角度，作为安全运营关注的重点，BAS等安全产品也从技术的角度对漏洞利用的防范进行测试，提供了有效性验证的技术手段和依据。但感觉做的还是不够，对配置管理和运营，对变更的管理和运营，对数据的持续分析和运营，仍缺少体系化的数字化的管理。数据驱动的安全，除了是数据驱动的安全策略，还应包含数据驱动的安全效果。

安全有效性的评价和评估这个理论上属于安全部门管理能力提升的专项，同样属于问题清晰，解决方案明确的已知范围，难就难在安全措施都不一定投入预算和资源，安全部门优化提升管理这事能有多高的优先级，要看企业的整体认知水平和决策了。凭运气，好自为之吧。

第四个问题是有多少资产是未纳入管理，而又没有安全策略的。这好比潜伏的特务，他不主动暴露，你其实很难发现。内部静默的站点，在不发生流量的情况下，通过流量发现资产的路径也归属于无效。

未知的未知，就像塔诺布所谓的黑天鹅，只能发现才处理，这是安全很难解决的。所以，0day这件事属于天灾人祸，能做的就是具备完备的应急响应措施，及时响应，把损害降低到最低。

所以，做了这么多安全依然不安全确实有无奈的成分。这是仅从资产安全属性管理的角度而言。从其他角度，也会有不同的说辞和观点。但不妨按照这个逻辑架构进行分析，只要把安全和你要分析的角度用维恩图进行分析，总难找到可以解决的问题和难以入手的困难。要解决问题，首先要找到问题。

二、还能做些什么

看到了问题自然不会袖手旁观，束手无策当然也不是我们的风格。不妨把上述问题套入框架，然后有条不紊的持续攻坚，有目标，自然不会无聊。

把安全和关心的维度分成两个坐标，就划分成四个象限，仍以资产管理和安全策略为坐标系举例分析：目标是所有资产都纳入数字化管理的范畴，安全属性受到安全策略的有效管控，也就是把所有风险和事件都影射到第三象限。

对于已经纳入资产管理但安全策略未覆盖的部分，根据风险等级，有计划有步骤的从第二象限推进到第三象限。

对于没有纳入资产管理，但安全策略已经覆盖的部分，SRE等资产管理部门应逐步推动落实资产的有效管控，从资产生命周期的维度持续推动第四象限进入第三象限。

对于没有资产管理，没有安全控制策略覆盖的第一象限，这种未知的未知处理，能做的是首先找到一部份变成已知，要么通过资产的扫描，发现，排查，等各种手段发现资产，把第一象限推动到第二象限，先实现资产管理。要么是通过白帽黑客，互联网暴露面管理，品牌维护，甚至是安全事件，先用安全策略覆盖未知资产，把第一象限推动到第四象限。无论是第二象限还是第四象限，当无知的无知变成了有知的无知，那么推进到第三象限，路径就相对清晰了。

因此，能做的就是持续优化求解已知问题，逐渐消灭有解的问题，把无解的问题从两个维度变成有解的问题。

写作从一本正经的风格变成了冷嘲热讽的风格，好像年龄又从稳重的中年大叔变成了愤青。男人应该没有更年期吧？为什么最近情绪总是莫名亢奋或悲秋伤风，奇了怪哉。