“知物由学”是网易云易盾打造的一个品牌栏目,词语出自汉·王充《论衡·实知》。人,能力有高下之分,学习才知道事物的道理,而后才有智慧,不去求问就不会知道。“知物由学”希望通过一篇篇技术干货、趋势解读、人物思考和沉淀给你带来收获的同时,也希望打开你的眼界,成就不一样的你。
原文:The next 50 years of cyber security
作者:Ryan Mcgeehan
网络安全现在可谓“道高一尺、魔高一丈”。作者分析了网络安全行业发展滞后的原因,希望未来的网络安全风险能够像天气那样可量化、可预测。提出要对数据泄露根本原因进行分类,要在数据泄露通知中出现根本原因的详细描述,而不是模糊地说遭受了黑客攻击。安全工作必须要有一个概率结果。作者是一个有情怀的人,希望能够成为彻底变革网络安全行业的一份子。
要使得网络安全风险能够像天气那样可量化、可预测
世界需要在网络安全方面取得更大的进步。让我们从整个行业的角度出发,试着探索一下阻碍网络安全行业进步的一些特定障碍……
虽然这个问题看起来非常宽泛,但我们将只讨论其中的特定问题领域。
这不是一篇有什么动机的文章,以下包括整个行业的待解决事项。
当前网络安全行业发展滞后归因于:
围绕数据泄露的根本原因缺乏分类方法;
数据泄露的根本原因缺乏透明度;
那些从事网络安全的人缺乏概率方法。
这些不足阻碍了网络安全行业以合理、科学和有组织地方式运行。
风险衡量的局限阻碍了信息安全的发展
只有驱使这个行业及其社区朝着可量化方法和目标集体推进,才能构建一个让我们引以为豪的未来。
首先,解说一下我的几项言论,然后探索特定的机会领域。
能否以效率为中心“解决”网络安全问题?
研究不同的行业历史,就可以了解它们是如何快速发展的,这样网络安全行业存在的不足就变得清晰。我会简要描述这种模式,并讨论从长期来看信息安全行业的具体目标。
许多行业通过衡量实现了自我革新。
与信息安全行业类似,这些行业也是在一段时期内,行业内的问题得到了很好的理解,没有任何大规模的冲击。
也就是说,直到一种衡量观念模式的出现,它要求行业变得更加高效。
举几个例子:
现代流行病学带来了无数的创新。看医生增加了病人的存活期而不是预示即将面临死亡。
亨利•福特对生产线效率的痴迷引领我们进入了一个现代化的制造时代。
气象学的巨大进步始于1950年左右,当时定量预测可以满足日益强大有组织的测量能力。
接下来,将对网络安全和气象学进行比较,它们有许多相似之处。
从1900年到1950年,气象学以发现、理论和实验为特征。1950年以后,它很容易被描述为全面致力于构建数据丰富、可访问以及定量预测的基础建设。
就像1950年以前的气象学一样,网络安全的历史总是关于创新的。网络安全行业已经发明和构建了大部分的工具、基础设施、技能和语言,以便能够完成降低风险的工作。我们有一个引以为豪的行业来证明我们的理念,但是失败了。
开始一个类似气象学“50年”的工作需要什么?它需要大量的协作、行动、监管以及合适的预测方法。
这将如何改变安全策略?
概率安全基础设施应该将如何改变安全策略作为一个产业,有完全不同的安全团队以及社区,这样更加有效和合理。
纵观行业取得的集体进步,迄今为止,作为一系列不同的安全创新事物,大部分彼此之间相互独立。独特的产品,创新,系统,工具,或是帮助我们塑造自己独特的安全方案的规范。
除非能将这些成果统一和引导成理性的方法处理安全问题,否则就像大量冲突的目标,无法有一个焦点。
我们错过了什么东西。它是一个有着很多名字的怪兽。
它被粗略地描述为“定量决策”,这几乎是每个已经找到成熟和规模方法的行业的基础。
一旦一个行业拥有了必要的战备工具和创新理念,它就开始对自身进行密集的衡量,以便在更高层次上进行竞争或生产。
这里有一些时髦术语可以用来探究这些思维方式的特点:
流行病学
工艺优化
六西格玛
精益生产
改善
TPS. DFM.
质量管理
有效学习
泰勒主义
运筹学
投资策略贯穿于衡量、迭代改进和定量决策的始终。将如何命名我们的策略呢?那么,它又在哪里呆了这么久?
为什么不像其它行业那样来衡量网络安全?
这个问题的根本原因颇具讽刺意味,是不去研究数据泄露根本原因的多轨追踪。