为什么会这样？国内网安行业的特点思考

FreeBuf · 公众号 · 互联网安全 · 2024-09-02 18:58

正文

前言

前几天各大厂家的半年财报发布（总结依旧可以看云头条的文章），以及昨天行业内刚过完众所周知的春节，几件大事儿凑一起好不热闹。如果说演练行动是对个人技能水平、团队水平的一次大考，那么财报就是对一家公司、甚至网安行业的一次大考。怎么说呢，悲喜交加五味杂陈？不知道大伙们会用什么词儿来形容这俩大考（可以评论留言我帮你们置顶）。

我之前写过很多义愤填膺、抨击这、抨击那的文章，以及很多同行也多有犀利观点，想必大家也看爽了看腻了。现在看到财报和各种大公司裁员、降福利的消息，我个人更多的是无奈一笑，虽然行业亏损跟当下经济大环境不好也密切相关，但是终究内因是根本，外因只是触发条件，内因不改，等到外因变化的时候，估计也只有量变没有质变。当然，我也没能量影响整个行业内因，因此只是讲下自己的观察和思考，理性看待当下网安行业的特点，以便身处行业的我们个人更好的安身立命罢了。

安全实在难以被证明

讲后面的特点都得以这个为前提，大家才能比较好的去理解，以及很多大家看到的各种乱象，深入想想均是来源于这个特点，扩展来说：好的安全建设难以被证明，差的安全建设也难以被证明。

我们从安全的本质攻防出发，好的安全建设对企业的直接结果是什么？是不出安全事故，安全事故来源于攻击者发起攻击，这个行为按我们目前的观察可以分为不定向攻击、定向行业攻击、定向单位攻击，那么实际情况是有组织、无预谋的不定向攻击，占安全告警的绝大多数，这类攻击说白了就是碰运气，用工具全网扫，安全实在做的太差了可能才会中招，攻击者就是广撒网，捞到几条是几条，这种攻击占绝大多数。有组织有预谋的定向行业单位的这类攻击，可能只占所有告警的1%甚至还不到，很多企业好几年也不会碰到一起真正的定向APT攻击。所以不出安全事故的第一种情况是：根本没人有组织有预谋的定向打你，这也是大多数单位的情况。

话分两头，我们国内比较重点的行业和企业，还是经常受到有组织有预谋的定向攻击的，这点毋庸置疑，这个比例也不是1%了，可能更高，但是即使被高水平的APT定向攻击打了，我们也不一定知道，这类情况在有定向攻击里也占大多数。举个例子，小偷进家门，把你家重要的文件抄了一份走了，小偷走后会昭告天下吗？谁不是偷偷摸摸的发财呢？所以只要不是你主动发现了，你可能永远不知道自己被打了，当然现在也有点儿背的，数据被拿到暗网出售或者泄露出来了，不过那都是离偷东西那个时刻已经过去很久很久了。所以不出安全事故的第二种情况是：你实际上不知道已经出了安全事故，大家也不知道已经出了安全事故，只有攻击者自己知道任务完成了。这也解释了为什么差的安全建设也难以被证明，因为恶果只是静默而已。

最后一种情况呢，接着上面小偷的例子，你自己回家发现家里有被翻的痕迹，也发现重要文件有被翻过情况，但是你转头一想，这报告上去不仅自己这一家之主地位不保，整个家还要受罚，百害而无一利，于是你假装什么都没有发生，也确实什么都没有发生啊，文件还好好的在这里，外面有风言风语的时候再说喽，反正你啥也不知道。不过，我们现在很多政策里的网络安全责任制度、处罚制度，实际上是在防止这种情况。

所以大家能看到，好的安全建设和差的安全建设，对不定向攻击基本都能防（如果连批量捞鱼这种不定向攻击都防不住的，可以归类为很差很差的或者基本无安全建设），差别在于那1%的定向攻击里，这1%里再除去特别高水平我们发现不了的攻击，剩下的，好的安全建设能多防一点，差的安全建设少防一点，但是两眼一抹当没看见也不是不行。

所以，安全建设的效果要如何证明呢？实际上行业里现在有两个趋势是一定程度上解决了这个问题的，一方面是勒索病毒，因为勒索病毒入侵后不静默，立马造成巨大损失，但是很可惜勒索病毒大多是不定向攻击，安全非常非常差或者不做的可能才中招，定向投勒索病毒的情况是有的，但是很少。另一方面就是演练行动，但行动搞了这么多年，已经有一些躺平的声音了，有高高举起轻轻放下的趋势，是否把结果处罚从罚酒三杯改为廷杖三十，这就不是我能考虑的问题了。

下面可以简单讲几个这个根因导致的现象：

安全结果难以被证明怎么办呢？不证明肯定不行啊，还是要证明我自己干的活有价值，才有源源不断的资源投给我啊，于是我们走向了另一条路，用政策合规来证明安全，过合规代表做的不错，不过代表做的不行，我们都知道国内的网安是九龙治水，很多人说了这样的问题，但是真的是监管机构一方的问题吗？合规证道、攻防证道，难道不是我们也都选择了前者吗？大概是因为一方面对国际形势预判，我们未来面临的攻击更严峻因此要加强监管，另一方面前者出问题还有改的机会，后者出问题代价太过于沉重，所以很少人愿意挤攻防证道这条路。

另一个现象，既然安全的结果难以用攻防证道、容易用合规证道，那么现在安全厂家产品在市场上售卖乱象，一切情况都有解释了。比如价格战、低价冲标，说白了买哪家都差不多，买好的只是在攻防方面多防一点，我刚刚也分析了，多防的这部分，事件发生的概率很小，这好产品比差产品更厉害的地方，在客户那放几年都不一定能发挥一次作用，所以为啥我不买大屏更炫酷，报表更易于汇报，更能体现工作量，使用更方便的产品呢？那些产品还可以低价呢，安全产品也是有边际效益的，在高水平的维度更多防一点、少一点误报，投入的是十倍百倍，这些投入导致产品成本高，但是在客户侧发挥效果的概率低呀。再比如招投标，招标参数都是功能参数，少有安全能力参数，根据我们以上的分析说明，是不是感觉这事儿挺正常的。

宁误不漏，责任在你

特点1主要是甲方安全建设的问题根因，特点2就是乙方安全产品的问题根因了，这个特点有个前提，就是安全产品做不到100%的精确，也无法给100%的承诺。其实我相信稍微懂一些技术的大家，都可以理解这个问题，安全产品无法做到100%无误报无漏报，厂家也不敢承诺说买了这个东西以后这方面安全就不用担心了。

但是问题出现在，误报和漏报总要选一条路，但大多数安全产品厂家选了误报，因为只要安全产品不漏报，那么出了安全事故后，责任就在客户没认真看告警。但是殊不知很多安全产品一天几万条告警，根本不是人能看的过来的，结果明明是为事中服务，发现威胁及时处置的安全产品，活生生做成了为事后服务，审计告警、调查溯源的东西。这么做有诸多好处啊，简直太多了，下面我给大家列举一下：

第一，出了问题责任不在我，都是客户没好好用，甚至买了根本没用，我还可以喊冤，哎呀客户不懂安全啊，都不看不开机。

第二，客户想看根本看不过来，怎么办，我可以继续给你卖安全运营服务啊，现场运营、远程运营、帮你看帮你出报告，你不用管，就等我消息，等每周、每月出个报告就行，客户再买我的运营服务，按年按人天付费，实在完美。

第三，这么多告警，不仅是看不过来，处置更处置不过来，真正的威胁还会被漏掉，咋整，这风险很大啊，别急，我们还有siem、soc、soar，帮你把这些告警做关联分析，降低误报，集中管理，自动处置，减少了巨多你的工作量，用大模型来帮你研判告警，安全平台化！安全自动化！安全智能化！买！

各位可以看到，只要坚守这个特点，不仅有源源不断的服务、还可以创造源源不断的新产品，不断在这个根因上打补丁，找方法，安全体系永远有新东西建设，永远可以申请新的预算。

IT架构和工具的发展从物理机、到虚拟机、到云和云原生，为了效率和便捷性一步步的演进。那安全架构和工具为安全的效率和便捷性演进的在哪里呢，是否有个产品可以说，我宁可漏报，决不误报，漏报了我厂家自己担责，我报告的都是要处理的。如果非审计类的安全产品都有这个气魄，可能做安全、建设安全，对甲方来说变成一件很轻松的事情了。

风险意识原因

最后其实还有一个特点是风险意识的问题，但是展开讲没什么好讲的，就在最后提一下，我们自古就是从实践里摸索道理的民族，祭拜神仙都是选能干活的、灵的，一切以实际出发，那么注定风险意识会略有欠缺，如果风险意识很强，也会意识到网络安全在未来防范风险上产生的价值，但是要我们这样面朝黄土背朝天的人普遍具备很强的风险意识，为“未来”“可能”发生的风险付出很多代价，是反人性的，这也是保险在国外比国内做的好的原因。

总结：市场小、竞争多

市场小，竞争厂家多是目前网安行业的现状，也是各家都比较惨淡的原因。

市场小又是由安全本身难以被证明，边际效益严重，投入多少区别不明显，加上我们自带的风险意识不足决定的。

安全厂家多则是代表安全产品的门槛并不高，可以误报、不用精准、不用担责当然喽，而不漏报只是工作量堆人堆策略的问题，这门槛确实不够高。

目前这些网安的特点就是现状，根因也很难去改变，但是我们可以去思考在事物具备当前特点和发展规律的情况下，是否有自己比较好施展拳脚的机会，洞察特点、顺应趋势，总能找到的。

*本文来自【安全产品人的赛博空间】公众号

【FreeBuf粉丝交流群招新啦！

在这里，拓宽网安边界

甲方安全建设干货；

乙方最新技术理念；

全球最新的网络安全资讯；

群内不定期开启各种抽奖活动；

FreeBuf盲盒、大象公仔......

扫码添加小蜜蜂微信回复「加群」，申请加入群聊】

https://github.com/plummm/SyzScope
https://github.com/seclab-ucr/SyzBridge/blob/master/SyzBridge-Camera_Ready.pdf