在當今這個數(shù)字化時代，網(wǎng)絡(luò)安全的重要性與日俱增。然而，盡管政府和企業(yè)不斷強調(diào)其重要性，網(wǎng)絡(luò)安全行業(yè)的發(fā)展卻似乎陷入了一個怪圈。

在斯諾登事件后的黃金十年中，網(wǎng)絡(luò)安全行業(yè)取得了飛速發(fā)展，但是近年卻陷入低谷和“至暗時刻”，無論企業(yè)營收利潤還是創(chuàng)投融資，都呈現(xiàn)頹勢。在數(shù)字化和人工智能技術(shù)革命的紅利期，到底是什么阻礙了網(wǎng)絡(luò)安全行業(yè)的發(fā)展？

今天，大多數(shù)企業(yè)面臨最大安全難題不是黑客攻擊，而是安全工具整合。

以網(wǎng)絡(luò)風險管理為例，在不同規(guī)模的組織中，網(wǎng)絡(luò)風險管理可能包括大量的技術(shù)，如攻擊面管理（ASM）、漏洞管理（VM）、云安全態(tài)勢管理（CSPM）、網(wǎng)絡(luò)威脅情報（CTI）源、配置管理數(shù)據(jù)庫（CMDBs）、滲透測試、紅隊工具等。那么，安全團隊如何將所有這些工具和技術(shù)整合在一起呢？忘掉人工智能吧，許多組織仍然依賴于手動流程和電子表格。

安全平臺模式存在局限性

平臺化是Gartner等公司強調(diào)的網(wǎng)絡(luò)安全市場最熱門的趨勢之一，也是對網(wǎng)絡(luò)安全廠商最具吸引力的概念之一。在平臺模式下，企業(yè)只需從一家安全廠商那里購買所有技術(shù)和服務(wù)，并讓廠商代表企業(yè)進行整合工作。這聽起來很有吸引力，平臺可能對小型企業(yè)有用，但對于大型企業(yè)來說，平臺有嚴重的局限性。

對于大型企業(yè)來說，“平臺”是供應(yīng)商鎖定的代名詞，這是企業(yè)需要盡量避免的情況。假設(shè)一個大型企業(yè)對平臺感興趣，它可能需要數(shù)月甚至數(shù)年的時間，才能從分散的工具遷移到一個集中化管控平臺。鑒于此，平臺供應(yīng)商需要說服許多不同的人，讓他們相信這種努力是值得的——對于持懷疑態(tài)度的網(wǎng)絡(luò)安全專業(yè)人士來說，這是一個艱巨的任務(wù)。

今天，威脅態(tài)勢和相關(guān)安全需求的快速變化往往會超出平臺功能范圍。企業(yè)將如何彌合這些差距？當然是通過為特定用例設(shè)計額外的點工具，這最終將導致企業(yè)墜入復雜性的深淵。

依靠API整合安全是一個錯誤

現(xiàn)實中，擁有復雜IT基礎(chǔ)設(shè)施和應(yīng)用環(huán)境的大型企業(yè)可能不想用“樣樣通，樣樣粗”的安全技術(shù)平臺來滿足安全需求，那該怎么辦呢？

毫無懸念，企業(yè)安全主管們會掏出網(wǎng)絡(luò)安全工具箱中的大殺器——API，期待不同的技術(shù)通過API實現(xiàn)互操作。

但是，依靠API整合安全是一個錯誤。理論上，API連接聽起來不錯，但在實踐中的成效卻極其有限。要讓API正常工作，安全廠商必須向其他廠商開放其API。有時他們會這樣做，但更多時候，他們拒絕這樣做。即使廠商開放了API，仍然存在問題。

假設(shè)客戶計劃將漏洞管理產(chǎn)品與EDR（端點檢測和響應(yīng)）工具集成，此前客戶已經(jīng)安裝了Crowdstrike、SentinelOne和Trend Micro EDR的產(chǎn)品。然后，漏洞管理廠商將需要與所有三個供應(yīng)商合作，并與三個不同安全產(chǎn)品的API進行集成，這意味著大量的工作。

網(wǎng)絡(luò)安全企業(yè)“互相卡脖子”

主流網(wǎng)絡(luò)安全技術(shù)/產(chǎn)品存在嚴重的互聯(lián)互通問題，這本質(zhì)上是利他主義和資本主義之間的沖突。不幸的是，對安全行業(yè)的所有人來說，資本以很大的優(yōu)勢贏得了這場戰(zhàn)斗，這表現(xiàn)為安全廠商為了保住競爭優(yōu)勢而“互相卡脖子”。

個別安全廠商可能贏得了“互操作”局部戰(zhàn)斗，但整個行業(yè)輸?shù)袅藨?zhàn)役。舉一個簡單的例子，沒有一個主流漏洞掃描器會直接從競爭掃描器中攝取數(shù)據(jù)。因此，如果你的環(huán)境中有各種掃描器，你必須自己將數(shù)據(jù)作為你的風險緩解任務(wù)的一部分進行整合，盡管每個掃描器執(zhí)行幾乎相同的基本功能。

如何修復網(wǎng)絡(luò)安全行業(yè)的脫節(jié)

網(wǎng)絡(luò)安全行業(yè)需要采取開放架構(gòu)方法，例如ESG的安全運營和分析平臺架構(gòu)（SOAPA）或Gartner的網(wǎng)絡(luò)安全網(wǎng)狀架構(gòu)（CSMA），這些架構(gòu)依賴于一些開放標準的創(chuàng)建和協(xié)議：

• 數(shù)據(jù)格式標準。開放網(wǎng)絡(luò)安全框架（OCSF）看上去令人鼓舞，但它來得太遲了，太多的供應(yīng)商沒有加入。期待OCSF取得更多進展。
• 標準API。沒有理由需要用多種語言與同一技術(shù)類別的不同工具進行連接。每個領(lǐng)域的供應(yīng)商，或者某個中央治理/工程機構(gòu)，應(yīng)該幫助創(chuàng)建和管理這些項目。
• 補救措施的標準。如果我們想阻止一個入侵指標或生成一個虛擬補丁作為補償控制，我們需要能夠與所有類型的端點安全軟件、防火墻和IDS/IPS系統(tǒng)進行通信。應(yīng)該有一種方法告訴每個安全控制統(tǒng)一采取行動。幾年前，我們對名為Open C2的標準充滿希望，履行這一角色。希望這正在發(fā)生，但如果是的話，很少有人知道。

有人認為網(wǎng)絡(luò)安全的標準化進程可能會變得混亂，最終變成一個爛尾的工程科學項目。但我們無需悲觀，一些安全標準已經(jīng)取得了顯著的成效。例如STIX/TAXII標準提供了一種一致的方式來描述和傳達威脅情報細節(jié)。通過這種方式，STIX/TAXII提高了威脅情報分析及其隨后的風險緩解行動的效率和效果。

誰能推動網(wǎng)絡(luò)安全標準的努力？一個政府機構(gòu)或者可能是MITRE、ENISA，或者某種協(xié)作項目。金融服務(wù)行業(yè)的大型組織可以讓他們的安全工程師聚在一起，制定一些標準，然后向行業(yè)發(fā)號施令。

其實早在二十多年前，曾經(jīng)有個名為Jericho Forum的致力于定義和推廣去邊界化的網(wǎng)絡(luò)安全行業(yè)組織。該組織吸引了亞馬遜、CrowdStrike、微軟或Palo Alto Networks等科技巨頭，以及波音、寶潔、勞斯萊斯、渣打銀行等更多行業(yè)企業(yè)加入。

最終，Jericho Forum 的理念和工作對后來的零信任安全產(chǎn)生了深遠的影響。零信任安全的核心理念是“永不信任、始終驗證”，最早的雛形正是源于Jericho Forum。

網(wǎng)絡(luò)安全最大的敵人是自己

Jericho Forum的成功表明，網(wǎng)絡(luò)安全行業(yè)可以跳出納什均衡博弈陷阱，達成雙贏甚至多贏局面。有了標準的管道，安全廠商可以集中資源和精力在理解客戶需求和創(chuàng)新功能上競爭。

1972年，漫畫《Pogo》引用了美國海軍指揮官奧利弗·哈澤德·佩里的一句名言：“我們遇到了敵人，那就是我們自己?！?/p>

不幸的是，這句話點中了網(wǎng)絡(luò)安全行業(yè)最深的痛點。資本凌駕于行業(yè)生態(tài)健康之上，正將所有人（包括關(guān)鍵基礎(chǔ)設(shè)施和無價的數(shù)據(jù)資產(chǎn)）都置于風險之中。反過來，對資本和市場（競爭）的迷信和高度依賴也正將網(wǎng)絡(luò)安全自身帶入危險境地。

現(xiàn)在是所有網(wǎng)絡(luò)安全社區(qū)團結(jié)起來，尋求合作的時候。在一個日益復雜和危險的數(shù)字叢林時代，網(wǎng)絡(luò)安全行業(yè)需要通過拯救自己來拯救所有人，當然，政府和資本也應(yīng)該意識到這一點。