几周前,我发表了《运用行为科学构建更坚固的防御体系》一文。之后,有位读者主动联系我,称布鲁斯・施奈尔(Bruce Schneier)多年前曾就高度相似的主题做过一次演讲。我对此颇感兴趣,于是四处搜寻,最终找到了他们所指的那篇演讲。下文既是对施奈尔观点的总结,也包含我个人对这些观点在当下共鸣之处的思考。

布鲁斯演讲的核心,是一个简洁却深刻的洞见:安全感兼具感受与现实双重属性。二者并非总能保持一致 —— 人们可能主观上感到安全,实际却并非如此;也可能客观上处于安全状态,内心却仍充满不安。在本文中,我将深入探讨这种 “脱节” 现象:既要重新梳理布鲁斯演讲中的核心观点,也要凸显人类心理的奇妙之处(有时甚至与直觉相悖),并探讨这种脱节对我们设计产品的方式会产生怎样的影响。

为何我探讨过去的思想

在深入探讨之前,我想先说明一下,我为何对学术界以及数十年前的洞见抱有浓厚兴趣。由于我的博客聚焦于初创企业与未来趋势,偶尔总会有人疑惑:为什么我会认为,那些数十年前的文章或是十五年前的视频,至今仍具有现实意义?

原因其实很简单:技术的发展速度固然很快,但多数行业的基本准则,以及我们人类自身的本质,变化速度要慢得多。退一步看就会发现,尽管我们依赖的技术在不断更迭,但激励机制、组织动态与人类心理这些核心要素,始终高度稳定。

正因为如此,许多多年前提出的观点,如今看来仍和首次提出时一样具有现实意义。近二十年前,伊恩・格里格(Ian Grigg)将安全领域描述为一个 “寻求灵丹妙药的市场”;尽管从那以后,技术几经迭代,Gartner的行业分类也新旧交替,但在我看来,这一解读框架依然能精准描述我们行业的运作方式。同样,尽管诸多细节已发生变化,但大体而言,微软提出的《安全领域的 10 条不变法则》(10 Immutable Laws of Security),如今仍和 25 年前一样站得住脚。

布鲁斯·施奈尔多年前的博客、文章和著作至今仍具有惊人的影响力,尽管自出版以来许多领域已发生巨变。若您尚未观看他在TEDxPSU的演讲《重新构想安全》,我强烈推荐您观看。若您已看过,希望本文仍能为您提供启发,或至少带来些许趣味。

安全从来不只是安全

当大多数人想到 “安全” 时,会将其视作某种具体的事物 —— 比如锁好的门、防盗报警器、防火墙或加密技术,一种要么存在、要么不存在的事物。

然而,正如布鲁斯・施奈尔在 15 年前的演讲中所阐释的,事实要复杂得多:安全至少包含两个层面,一是我们对自身安全的感受,二是我们实际所处的安全状态,二者并非总能保持一致。人们可能在身处真实危险时,却完全觉得自己安全,比如开车时发信息的司机,还 “感觉没什么问题”;与此同时,也有人实际处于安全状态,却无法感受到安全 —— 比如乘坐现代客机的人,尽管从数据上看,航空旅行是人类历史上最安全的交通方式之一。

这些情况在现实生活中的一个典型例子,就是电子商务网站。让这些网站具备安全性的,是端到端加密、完善的漏洞管理、产品安全体系以及 HTTPS 协议的使用等技术手段。但在线浏览商品的用户对这些一无所知 —— 他们关心的是浏览器地址栏里的绿色小锁、默认隐藏的 CVV 码输入框(因为 “这是敏感信息”),以及信用卡输入框旁那个 “100% 安全” 的图标。

安全永远是权衡取舍的结果

在演讲中,布鲁斯・施奈尔点出了一个令人不安的事实:安全始终需要付出代价。当我们提升自身安全水平时,几乎必然要放弃一些东西 —— 可能是金钱、便利性、时间、自由,或是某种能力。经济学家将这种情况称为 “权衡”,相较于 “是否更安全” 这种简单化的问题,用 “权衡” 的视角来评估安全会更有意义。

想想机场安检就知道了。我们都曾被迫排队等候很久,接受侵入性安检,还得扔掉随身携带的液体。这些措施真的能显著降低恐怖主义风险吗?或许能,但它们无疑让我们付出了代价 —— 集体生产力的损耗(累计浪费数小时时间),以及个人自由的受限。作为一个社会群体,我们大体上接受了这种 “权衡”,认为它是换取安全感(当然,在某种程度上,也是换取实际安全)的合理代价。

另一个典型例子是建筑规范。有时候,人们可能会觉得 “要是能随心所欲地对自己的房子或公寓做结构改造就好了”—— 比如加个阳台、拆面墙之类的,但作为社会整体,我们已经达成共识:不能这么做。相反,任何可能涉及结构的改造,都必须经过建筑检查员的审核。当然,有些人可能会觉得这很麻烦,但我们都明白,另一种选择(房屋倒塌致人伤亡)会糟糕得多。

在数字生活中,网络安全同样充满权衡。曾有人跟我说过,最安全的系统,是那种断网后深埋地下、深到没人能找到的系统(而且越深越好)。显然,我们无法追求 “极致安全”,只能在特定场景下寻求可行的方案。多因素认证(MFA)虽然麻烦,却能大幅降低账户被盗用的风险,所以我们接受了它;加密信息传递能让攻击者更难窃取他人数据,但也会给执法部门的调查工作带来阻碍;防火墙能拦截恶意软件,可也可能拖慢合法的业务流程。在这些情况里,真正该问的问题从来不是 “这能提升安全性吗”,而是 “收益是否大于代价”。有时候答案是肯定的,但很多时候并非如此。并非所有安全领域的从业者都明白这一点,那些不明白的人,往往会因为 “企业不重视安全” 而格外不满 —— 要是事情真这么简单就好了。

人类在判断风险方面非常糟糕

就其本身而言,安全存在权衡这一事实并非问题。真正的问题在于,人类很少能理性地比较成本与收益;相反,我们会依赖直觉和主观感受来判断何为安全、何为风险。

布鲁斯・施奈尔解释道,人类并未进化出计算概率的能力。我们的大脑天生适合在小群体中求生,而非应对复杂的全球网络环境;因此,我们总会以一些可预见的方式,持续误解各类风险。

我们更在意惊险刺激的风险,而非寻常的风险

通常,我们的想象总是被罕见、不常发生的事件主导,而非那些实际可能发生的事。我也经常谈到这一点。美国国家安全委员会制作的一份信息图表,就很好地说明了美国人常常在为不必要的事情担忧。比如,该图表着重指出:

1.乘车时的死亡概率(1/470),远高于遭雷击的死亡概率(1/164968)。

2.意外死亡的概率(1/31)远高于遭受枪支袭击的概率(1/358)。

3.在街上行走或横穿马路时遭遇致命事故的概率(1/704)远高于被蜜蜂、大黄蜂或黄蜂蜇伤的概率(1/55,764)。

人们更担心恐怖主义,却不太在意淋浴时滑倒,尽管这两件事发生的概率相差甚远。安全领域的从业者往往会选错优化重点,而商家则会利用这种恐惧心理,大肆渲染那些概率低但后果严重的场景。但事实上,对大多数企业来说,遭遇钓鱼链接入侵的可能性,要远高于遭遇零日漏洞攻击。只是我们不愿把精力放在日常那些枯燥的事情,以及基础安全防护措施上。

我们害怕未知的事物,却对熟悉的事物感到安心

人类的心理特点就是,陌生的事物会让人感觉更危险。施奈尔提到了一组有意思的数据:父母们担心陌生人绑架自己的孩子,但有明确证据显示,绝大多数绑架行为都是由亲属或熟人实施的。在网络安全领域,很有意思的一点是:有些人会害怕那些穿着连帽衫的厉害黑客入侵自己的系统,却对内部威胁视而不见 —— 而内部威胁不仅更常见,通常破坏性也更大。

我们对拟人化的威胁比匿名威胁更感到恐惧

前两个事实我已经相当熟悉,但这一点对我来说是新的。布鲁斯解释道,有名有姓的反派要比无名无姓的可怕得多,他还以奥萨马・本・拉登为例 —— 本・拉登已然成为了恐怖主义的化身。我以前从未想过这一点,但现实中确实如此,这非常合理。在网络安全领域,我们早已习惯 “APT29” 或 “Lazarus Group”(Lazarus 组织)这类名称占据新闻头条,甚至不会对此产生任何质疑。像 CrowdStrike 这样的公司,甚至已经将这些恶意行为者打造成了一种符号化形象。

像未打补丁的服务器 —— 它们是无数安全漏洞事件中的真正罪魁祸首 —— 或是糖尿病这类问题,无疑比现代最著名的恐怖分子夺走了更多人的生命,却没有像这些被人格化、类人的角色那样获得足够多的关注

能掌控的风险,比无法掌控的,感觉更小

这是施奈尔在演讲中探讨的另一个有趣的认知偏差:人们觉得开车比坐飞机安全,尽管实际情况恰好相反。同样,产品安全工程师往往会低估第一方代码的风险,因为他们觉得这些代码在自己的掌控之下;与此同时,他们会高估第三方库的风险,因为这些库超出了他们的掌控范围。

几周前,在我另一篇深入分析的文章中,我阐释了认知偏差与心理扭曲如何影响网络安全行业(内容范围超出了布鲁斯・施奈尔在演讲中所涵盖的内容)。这些认知偏差与心理扭曲并非只是些有趣的 “值得了解” 的知识点 —— 它们还会影响国家安全预算的制定、企业风险策略的规划以及个人选择的做出。

媒体让稀奇变得寻常

我们的风险认知由我们所听闻的信息决定。心理学家将这种现象称为 “可得性启发法”—— 越容易回忆起某件事的例子,我们就越会认为这件事是常见现象。。

施奈尔对人们说:“如果某件事上了新闻,就不用为此担心 —— 因为从定义上来说,新闻本身就是几乎不会发生的事。” 停下来想一想就会发现这话很有道理,但我认为这是一个极具深度的见解!车祸发生得太过频繁,反而很少登上头条;而空难极为罕见,一旦发生,我们接连一个月都能听到相关报道。同样地,每年造成数十亿美元损失的日常诈骗不会成为新闻,但某些不常见的零日漏洞攻击事件,却能吸引所有人的关注。布鲁斯解释道,新闻报道会反复提及罕见风险,而这种做法会让我们把注意力放在那些就其本质而言极不寻常的事情上。当媒体不断重复这些罕见风险时,它们就开始让人觉得常见 —— 这也是为什么我们会害怕绑架和恐怖袭击,却忽略了车祸、鸦片类药物(问题)和家庭暴力的原因。

网络安全领域,就是媒体如何吸引所有人注意力、并影响风险优先级排序的绝佳例子。尽管像Equifax或SolarWinds那样的大规模数据泄露事件占据着讨论焦点,但弱密码、糟糕的网络分段这类日常却致命的漏洞,仍在幕后悄然存在,鲜少有人关注。

模型

施奈尔的演讲还涉及许多其他精彩话题 —— 比如讲故事的重要性(我也写过一篇关于这个主题的文章)、“安全表演” 之所以如此泛滥的原因(大家需要观看完整视频才能找到答案),等等。这些内容非常丰富,远非我一篇文章所能涵盖。不过,有一点我必须展开讨论,那就是他对 “模型” 的定义。。

布鲁斯・施奈尔解释道,之所以安全领域的问题会更加复杂,核心原因在于:为了理解世界的复杂性,人类会依赖 “模型”—— 即那些能帮助我们理解过于复杂而难以直接把握的风险的框架。这些框架就像地图一样:有了它们,我们无需掌握所有待处理事务的完整信息,也能应对日常生活中的不确定性。而 “感受、现实与模型” 三者之间的这种相互作用,几乎影响着我们所做出的每一个安全决策 —— 无论是作为个人、组织,还是社会整体。

我们需要模型,因为仅凭直觉无法应对复杂系统。我们无法 “感知” 全球变暖的风险,也无法直接把握人工智能模型被利用的概率;要理解这类风险,我们需要借助抽象概念、科学方法和框架(即模型)。但模型存在一个问题:它们并非中立的 —— 其构建会受文化、政治和利益驱动的影响。政府、行业、宗教组织和利益团体都会推行各自的模型,这些模型往往相互冲突,导致我们很难判断该相信谁。例如,烟草行业曾花数十年时间淡化吸烟的危害。即便要推翻这一特定的(错误)模型本应不算困难,却花了近 40 年时间才改变人们对吸烟的固有认知。这个例子足以说明 “模型之争” 有多艰难:早在 20 世纪 60 年代,就已有大量证据证明吸烟有害健康,但我们花了 40 年时间,通过诉讼、公共卫生宣传以及文化观念的转变,才让人们的感受、认知模型与现实趋于一致。

围绕安全的讨论,很少只聚焦于事实本身;这些讨论往往是围绕行业应采纳何种模型的争论。政策制定者、企业、初创公司、媒体及安全从业者,都在竞相推动构建那些将决定行业未来走向的模型。相关争议不胜枚举:

  • 风险模型应侧重国家行为体攻击者,还是内部威胁?

  • 配置错误应被视为比零日漏洞更严重的风险吗?

  • 是合规定义安全,还是合规是安全的结果?

这些本质上都是“模型”的范畴。零信任(Zero Trust)就是一种模型。二十年前,“安全”几乎等同于“网络安全”;后来,终端安全(Endpoint Security)开始被视为更为重要的领域——这便是一次模型的转变。如今,人们正讨论着“将终端视为可丢弃设备”“将办公网络视作咖啡馆(开放式环境)”,以及“将安全控制转移到浏览器中”——这又是一次模型的转变。

让我觉得很有意思的一点是,在安全领域,不同的模型并非相互取代,而是彼此共存。网络及网络安全仍将至关重要,终端与终端安全亦是如此;而转向浏览器的思路,对部分使用场景适用,但并非所有场景都如此。在安全领域,从来没有 “非此即彼” 的选择,核心在于弄清楚哪些模型适合哪些使用场景。

这一切对初创企业创始人意味着什么

安全作为一种感受的重要性

安全的 “现实属性” 与 “感受属性” 这两个概念,对行业内哪些类型的产品能取得成功、以及安全领域创业者应采取何种行动来提高创造实际影响力的概率,都产生着巨大影响。以下是连续创业者、现任 Root Evidence 公司创始人兼首席执行官的杰里米娅・格罗斯曼(Jeremiah Grossman),在为我的著作《面向构建者的网络安全》(Cyber for Builders)撰写的序言中,对此作出的解读:

“布鲁斯・施奈尔曾说过:‘安全既是一种感受,也是一种现实,二者并不相同。你可能感觉安全,实则不然;也可能身处安全之中,却毫无察觉。’作为创业者,将这一概念应用到安全控制措施(即防火墙、漏洞管理、防病毒软件等)上至关重要。有些安全控制措施能提供强有力的防护,却未必能带来切实的安全感;另一些措施虽能让人感到安全,却未必能提升实际的安全水平 —— 这类措施通常会被嘲讽地称为‘安全表演’。理解二者区别的一个简单例子便是加密技术。加密技术能提升安全性,但让人们感觉到自己正受到保护的,却是网页浏览器里那个小小的‘绿色锁’图标。尽管这看似微不足道,但理解这一区别,对于制定合理的信息安全战略、做出明智的安全投资决策,以及推动业务成功而言,都至关重要。事实上,一款安全控制措施能在多大程度上提升人们的安全感,有时甚至比打造一款功能有效的产品更重要。一个简单的现实是:无论产品的实际效果有多好,若不能先给人带来安心感,就没人会听信你的推荐,更不会购买你的产品。不妨做个思维练习:跳出信息安全领域,想想生活中那些你会因安全感而购买、或因缺乏安全感而拒绝购买的安全相关产品 —— 你会发现什么?”

在当前的网络安全文化中,我们面临的挑战在于:大多数从业者都习惯于专注于、且只认可那些旨在降低风险的安全控制措施。而出于某种原因,我们很少花时间关注,也不重视我们有责任保护的那些人的 “感受”。在我们这个领域,人们素来认为从业者常常带着居高临下的态度,并且会对那些不会主动听从和遵守(安全规定)的普通大众感到不满。无论是对信息安全从业者还是创业者而言,这个盲点都是一个巨大的缺口 —— 它会限制他们本可获得的影响力与成功。就像 “通过隐匿实现安全”(security WITH obscurity,注:网络安全领域术语,指依赖 “隐藏风险点” 而非 “主动防御” 的安全思路,通常被认为是不可靠的)那样,我们更应追求 “既感到安全,也真正安全”(feel secure AND be secure)。

我曾亲眼见证过不少原本潜力十足的公司 —— 它们拥有出色的团队和优秀的产品 —— 最终走向失败,原因很简单:它们没能给人带来安心感。而且,即便这些人是才华横溢的工程师,却未能充分认识到一点:要用有吸引力的方式,向那些专业知识远不如他们的人讲述自己的故事 —— 这种做法本身蕴含着重要价值。

正如史蒂夫・乔布斯曾说过的:“世界上最有力量的人是讲故事的人。讲故事的人能为即将到来的整整一代人设定愿景、价值观与发展方向。” 千万别忽视这个道理。

在过去的几十年里,许多网络安全厂商将市场推广策略的核心放在营销活动和会议派对上,并为此投入了巨额资金。有些厂商确实通过这种方式成功打开了市场。他们的营销活动通常旨在实现三个目标:吸引关注、制造紧迫感、带来安心感。

仅此而已。而他们在做这些的同时,其实也清楚自己正在兜售那些根本无效或无法兑现承诺效果的产品。我们将这类产品称为 “蛇油”(喻指 “虚假宣传的无效产品”),而我们行业中这样的例子比比皆是。

任何有职业操守的安全从业者,都会对这种商业策略感到反感。这本质上就是一种骗局,而在信息安全领域,这种做法还可能在过程中伤害到众多人。暂且不论这一点,我们仍能从中得出关键启示:在现实世界中,人们内心深处对安心感的重视,其实远超对安全保障和风险降低的承诺。你尽可以严苛地评判人们的这种心态,但事实就是如此,我们必须对此有所认知。幸运的是,我们完全没有必要在 “安全感” 与 “实际安全” 之间二选一。两者可以同时提供!这正是最优质的安全控制措施,以及最成功的信息安全企业所践行的准则。”—— 来源:《面向构建者的网络安全》(Cyber for Builders)

对于杰里米娅在前言中这段简洁却极为精辟的阐述,我不确定在这个话题上还能补充多少新内容。对许多安全从业者而言,当他们思考 “感知与现实”,或是 “让人产生安全感的控制措施” 与 “真正提升实际安全水平的控制措施” 这两组关系时,往往会忽视人的感受,一味追求实现安全的 “正确方式”。然而,最成功的产品恰恰能两者兼顾 —— 既保障人们的实际安全,又能让人们产生更强的安全感。

心智模式的重要性

对于创业者而言,有一点必须牢记:人们在思考时会高度依赖思维模型与启发法,以此作为思维捷径。当我们接收到新信息时,会本能地试图弄清楚它该归到哪个认知范畴里,因此会主动寻找类比、相似概念、其他领域的例子等等。正如我们之前所讨论的,新认知的形成往往需要很长时间,因此,将公司的目标与用户已有的某个思维模型锚定在一起,会是一种很有效的策略

初创公司运用这种策略的例子比比皆是,不过我最青睐的两个案例是 “防火墙” 和 “态势管理”。每当新的攻击面出现时,总会有人试图为其打造一款 “防火墙”,这绝非偶然:“防火墙” 的概念早已深入人心,人们对其普遍比较熟悉。这也是如今市面上涌现出大量 “AI 防火墙” 的原因 —— 无论这是否是保障 AI 安全的正确方法,买家都能轻松想象出一款名为 “AI 防火墙” 的产品会具备哪些功能。另一个例子是 “态势管理”。尽管态势管理工具相对较新,但该概念已被广泛接受。因此,当有人说 “我们正在打造一款针对 AI / 网络韧性 / 数据(诸如此类)的态势管理产品” 时,所有人都能大致勾勒出这款产品的运作方式和核心功能。

我并非在说,创新的唯一途径就是打造能完美契合现有模型与买家思维模式的产品。但我确实认为,构建新模型比开创新品类难得多。

通常情况下,当某样不符合人们现有认知范式的新事物崭露头角时,即便其技术本身十分可靠,要让人们关注它也会是一场艰难的斗争。而我意识到的是:

1.新的思维模式可能需要十年或更长时间才能形成并被广泛接受。

2.如果某项事物流行起来,且多家公司共同推动同一理念,成功的可能性就会增加。

3.偏离普遍接受的模型的程度越大,就越难获得采用。

一个关于 “成功模型如何转化为成功产品公司” 的绝佳案例,便是零信任(zero trust)与安全访问服务边缘(secure access service edge,简称 SASE)。Zscaler公司创始人兼首席执行官杰伊・乔杜里(Jay Chaudhry)曾在《网络深处》(Inside the Network)播客中提到:公司刚起步时,他们交谈过的人中,十有八九都不明白自己为何要关注(零信任与 SASE)。人们对变革充满抵触;尽管Zscaler最终成为了一家大获成功的公司,但这一成果的背后,是 15 年的坚持,以及一位连续 5 次创业的创业者(指乔杜里)甘愿投入 5000 万美元自有资金才得以实现的。

虽然有一些思维模型成功转变的案例,但失败的案例要多得多。我认为,想法越激进,就越难引起人们的共鸣。有些概念解释起来相当简单,比如 “我们已经有了 AI 安全运营中心(AI SOC)分析师,因此也需要 AI 产品安全(AI ProdSec)工程师”—— 逻辑清晰且简单易懂。但另一些想法则极难解释,比如 “彻底摒弃私有网络,让所有 IP 地址通过公共互联网进行通信” 这类概念。

创业者必须记住,并非所有品类创新都要求人们建立新的思维模型(事实上,大多数品类创新都不需要!);但所有需要人们接受新思维模型的理念,往往最终都会催生出新的品类。尽管品类创新本身难度不小,但相较于要求人们接受新的思维模型,前者要容易得多得多。

原文链接:

https://ventureinsecurity.net/p/to-feel-secure-can-be-more-important

声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。