所有已知的安全概念给出一个关于“坏事”是否会发生的意见。由于某些原因,我们害怕预测“坏事”,因为没有完整的数据用来预测,也担心被指责是猜测。
事实正好相反:未来风险具有不确定性恰好在预测的时候是有价值的,安全行业的所有创新在很大程度上影响我们的不确定性。安全行业完全基于一连串的猜测,当把直觉应用于安全问题的时候,这样做并不依赖于那些不相关的科学。
事实上,随着数据变得越来越稀疏,预测的作用似乎越来越广泛。“如何衡量任何东西”的丛书是我所能找到的对预测严谨性已知研究的最佳组织。也许我们能够比其它行业更进一步地拓展预测方面的科学,仅仅因为安全行业的问题空间极其不稳定。
在缺少数据的情况下,预测或评估填补了空白,并创建对更多数据的需求,改进预测等等。众所周知,有一些方法可以降低主观观点的偏见,使它们可以量化,具有更好的一致性和降低波动性。
网络安全预测的这个方面是我目前花费大部分时间的地方,因为它弥补了我前面提到的两个方面的不足。如果预测失败,数据必须迎头赶上。如果数据没有跟上,那只能靠预测填补。我们可以构建安全计划,武器化定量决策原则,并研究一个真正能够开始自我学习的行业。
结论
我想成为一个能够彻底变革网络安全行业的一份子。我的信念是,如果不接受概率对安全目标的作用,安全行业将继续表现不佳。需要对数据泄露的反馈回路进行规范和研究。需要为安全行业创建高质量的验证性学习的实践,并且每个人都可以参与这些方法。
希望行业领袖会花时间去了解,希望认识到对风险衡量价值转变的必要性,风险衡量对工程师来说是有用的。需要有能力去衡量哪些创新影响最大。
点击免费试用网易云易盾安全服务。