或许我对信息安全行业最大的贡献是引入了#yolossec的概念,这是我在2017年的“黑帽谈话”(Black Hat Talk)中引入决策树作为一种威胁建模工具1时首次讨论的。我不会让一个可靠的垃圾白白浪费2,我想对这个概念进行扩展和阐述,并引入它在意识形态上的对立面:#fomosec。大多数安全措施的效率都低得可笑,但通常只有一端(#yolosec)被调用。这一点在今天有所改变。
这篇文章将探讨为什么YOLO安全(YOLOsec)和FOMO安全(FOMOsec)都是对信息安全防御的有害服务,以及如何发现它们以便从组织的安全策略中发现它们。
Tl;dr是#yolosec和#fomosec与企业的目标和需求脱节,放弃了实用主义和审慎,转而偏爱狂热的鲁莽。YOLOsec反映了一种由“你只活一次”的心态驱动的安全战略-这种心态鼓励人们忽略未来对安全的担忧,以实现今天的满足感。FOMOsec反映了一种由害怕错过的恐惧驱动的安全战略-这种战略吓坏了人们,让他们把资源错误地分配到让他们对自己的安全努力感觉更好的地方。
如果你把你的组织想象成一艘航海船只,信息安全公司的目标是确保这艘船能够在克拉肯或挥舞着大炮的海盗中幸存下来,并成功地完成它的旅程。如果你忽视海上恐怖的存在(#yolossec),你可能无法到达目的地,除非波塞冬给予你仁慈的通行证。如果你把防御放在船的任务之上(#fomosec),你会发现自己在一艘战舰上,这艘战舰完全不足以运输创收的货物。
在深入定义#yolosec和#fomosec之前,我想为这些概念建立适当的上下文。这两种“战略”方法固有的潜在危险在于理解安全与私营部门组织的相关性3.不那么肮脏和不那么秘密的肮脏秘密是,信息安全远没有信息安全行业所宣扬的那么重要。在商业风险的宏伟计划中,它即使不是底部四分位数,也是稳固地处于下半部分。
贵组织更关注吸引和留住客户,在不断变化的市场中成功竞争,与其行业相关的宏观经济因素(特别是现在,在新冠肺炎经济放缓的情况下),运营中断和停机时间,大宗商品价格波动,未能维持品牌形象和公众认知,财务预测不足,产品组合变化对盈利能力的影响,维护与供应链合作伙伴的关系,季节性的影响,他们的诉讼和监管风险概况,国际贸易关系的变化,气候变化的影响,汇率和利率波动,无法获得外部融资,预测消费者偏好的能力,希望您现在就明白了。
就技术人员而言,组织主要关注IT系统的中断或不足,因为这些系统为持续的业务运营提供动力,并在不同程度上推动其收入增长。对于在座的运营读者来说,祝贺你们,你们对大多数行业的现代商业运营至关重要!对于我的信息安全读者,我当然不是说你不重要,而是说,意识到自己对周围现实的影响是至关重要的。
尽管如此,信息安全也不是完全没用的7.攻击者绝对可以造成操作中断和停机,最明显的是通过DDoS攻击、勒索软件或云计算超载来勉强维持计算机货币。除了这些示例之外,安全事件通常需要恢复和响应工作,这需要金钱、时间,而且经常需要系统停机(因此需要金钱、金钱,而且经常需要金钱)。安全事件导致公众认知受损8或公众市场估值受损的证据有限。
因此,可以认为信息安全对组织很重要,因为它可以:1)最大限度地减少攻击者操作带来的负面运营影响;2)增强改进业务运营的质量,例如IT系统的速度、稳定性或规模。需要明确的是,几乎没有证据表明Infossec以任何有意义的方式实现了这第二条公理。安全团队鼓励采用标准化API或基础映像可能是唯一有充分理由的例子。然而,它仍然是一个同样重要的理由,尽管在当时是理论上的,证明了Infossec与企业的相关性。
现在我们可以探索#yolossec和#fomossec,以及为什么它们的表现如此惊人。
YOLO是“你只活一次”(You Only Life Once)的首字母缩写,这是一句现代的颂歌,最具讽刺意味的是千禧一代的口号,意在表达生命在当下最充分的无拘无束的生活,认为当前是至关重要和独特的10,几乎不考虑未来。YOLO驱动的行为往往表现为寻求风险的活动,比如跳伞,或者就拿破仑·波拿巴的百日事件而言,在流亡期间潜入法国,撕开你的外套,勇敢地向你的前军队开枪,与上述军队一起向巴黎进军,夺回你的皇帝头衔,参与与欧洲主要列强的战争,在滑铁卢输掉比赛,然后重返流亡生活。
YOLOsec,以及我带有讽刺意味的标签#yolossec,是一个用来描述体现“你只活一次”心态的安全策略的术语。一个yolosec策略说,“将我们的S3存储桶中的客户数据公之于众会让我们更快地部署我们的服务,还会出什么问题呢?”YOLOsec在你耳边低语甜蜜的谎言,告诉你特权分离和访问控制等基本安全对策是明天的问题-完全知道明天将扩展到几个月或几年。而且,这种诱惑可能会在您的系统和组织中扩散。
#yolosec很少受到对安全重要性的驳斥;它的源泉往往是可以说是对特定业务目标的短视关注,而这些目标可以通过忽视或忽视安全考量更容易或更快地实现11。与汉龙的剃刀一样,#yolosec几乎肯定是由于无能,而不是恶意。
例如,开发人员并不是专门针对编写漏洞如此之多的代码,以至于沼泽公司会嫉妒,他们也不是以明文存储API密钥来表达对黑客的热爱-尽管这两者都构成了#yolosec。或者,在高流动率的组织中,新的工程团队可能几乎不了解遗留系统是如何工作的,这使得升级或从当前不安全的条件迁移的操作显然令人望而生畏。
因此,工程团队的默认状态是在执行其工作时忽略或忽略信息安全问题,这是可以理解的,尽管这是不可取的。这很少是因为屈从于诱惑,而仅仅是工程团队缺乏实用的安全智慧13。
FOMO是“害怕错过”的首字母缩写,现代的“攀比他人”意在表达由于没有参与他人参与的经历而产生的焦虑和遗憾-通常是在通过社交媒体见证这些经历的背景下进行的。“FOMO”是“害怕错过”的首字母缩写,意思是表达没有参与他人参与的经历所带来的焦虑和遗憾。“信息自由法”围绕着人类想要了解正在发生的事情的基本愿望展开,尤其是想要与其他人的经历保持联系的冲动14。
FOMO可以代表一种感觉,别人的生活比你过得更好,你在社交圈子之外,你的生活比别人落后,或者一切都很美好,除了你对每个人都没有伤害。人脑天生就是根据感知的现状16来判断结果,并在经历感知的损失时感觉不好17,所以FOMO非常不幸地呈现出一种“买一份认知偏见,送一份免费”的交易。简而言之,有两个主要维度驱动着FOMO:对归属感的渴望18和对孤立的焦虑19。
FOMOsec和相应的标签#fomosec是一个术语,用来描述一种由害怕错失及其心理基础驱动的安全策略。#fomosec策略说,“如果你不能从字面上完美地保护所有的东西,你到底在做什么?”FOMOsec在你面前咯咯地笑着,嘲笑你对组织系统安全的无能控制,以及相对于你的对手的效力和对你在工程和运营方面的IT同行的铺天盖地的赞美,你的防御是多么软弱。
在FOMOsec的背景下,优先化和实用主义淡出了人们的视线;聚光灯下获得的好处是摆脱了不充分的感觉-重新获得了自治和控制感,而不考虑结果。在#fomosec下,当你咬紧牙关,抓着方向盘的域空间狂喜变白时,你会流下幸福的泪水,轻松地忽略了方向盘没有连接到任何东西上,以及你所谓的方向盘正在让你陷入停滞。
从安全工程师到CISO的捍卫者不会因为憎恨业务增长或改进而故意破坏和阻碍组织运营。每个人都渴望属于21岁。捍卫者不能幸免于这一基本的人类需要,也不能幸免于其亵渎战略思维的能力22。
人类渴望被社会认同相同的群体认可和接受,这是最能引发“信息自由法”的原因--寻求包容甚至比避免被排斥更有威力23。然而,这两种冲动的结果基本相同,因为感到被排斥的人的目标是加强他们与社会群体的联系,并更紧密地将他们的群体成员身份与他们的自我认同联系在一起24。最终,FOMO驱使人类改变自己的行为来模仿他们选择的社会群体25中的其他人,而不考虑具体的潜在动机。
即使是单纯的信息安全行业的游客也可能意识到其成员令人震惊的硼格化倾向,最终导致大胆定义的共享身份在群内信号机制上过剩。无论是被误解的诺查丹玛斯(他们必须将虚弱的用户从自己手中拯救出来)的身份,还是那些如果存在需要本地访问、特殊配置设置和海豚跳过环0的漏洞而将一款软件视为“完全崩溃”的人的身份,信息安全文化和集团的性质肯定表明,朝着巩固群体身份和获得群体批准的目标存在模仿的存在。而这反过来又支持了#fomosec存在的可信度。
我相信嫉妒浇灌了#fomosec的根。嫉妒最好的描述是建立在钦佩基础上的敌意、自卑和怨恨的痛苦感觉。26当你钦佩或尊重别人的处境,并将其与你自己的处境进行比较时,信息和嫉妒混合在一起就成了一种特别强的毒药27。
信息安全羡慕的目标是攻击者和软件工程师--他们都拥有可衡量和有意义的目标,能够带来切实有意义的工作。对于攻击者来说,显而易见的目标是“你进去了吗?”对于工程师来说,显而易见的目标是“您是否交付了客户将购买和使用的软件?”进攻获得了傲慢的胜利,软件工程师获得了有利可图的赞誉。信息安全的目标是模糊的或自私自利的,它的衡量标准要么不存在,要么无关紧要,它的成功充其量是抽象而苦乐参半的。
为了回应我自己的工作28,我目睹了信息安全专业人士对采用平均恢复时间(MTTR)等运营指标来告知他们自己的工作的想法感到愤怒。Infosec似乎想要自己的特殊指标,尽管采用与运营目标一致的指标是显而易见的逻辑。这种明显低效的感觉特殊而不是追求更有意义的工作的优先顺序,不仅是由通过嫉妒的FOMO驱动的,也是通过社会认同的FOMO驱动的。
29岁的归属感让嫉妒变得更加强烈。社会认同感甚至可以被认为是从FOMO中绽放出来的,这也因为对归属感的渴望而变得更加强烈。将这一点延伸到信息安全,FOMOsec可能是整个行业发现的赤裸裸、共享身份的催化剂。事实上,在许多方面,信息安全社区与在线游戏社区没有什么不同--以行会(如CISO集团和SecEng教派)、服务器范围的活动(如会议)和高度活跃的聊天渠道(如Twitter和松弛群组)为特色。而且,就像网络游戏成瘾一样,人类对归属感的需求可能会助长信息安全对坚持“局外人”这一共同身份的痴迷。
不幸的是,#fomosec阻碍了实践者做出务实的预算决策,而做出的选择会让他们觉得自己被他们想要的社会群体所接受,无论是同行的CISO还是安全工程师。这种对他人赞扬和声望的渴望导致了基于对他人如何看待消费的预期的消费行为,而不是优先考虑产品质量31。在对社会包容的基本需求的推动下,人们购买和使用象征着他们希望与之建立联系的群体的产品--他们愿意为了社会福祉而牺牲“个人和财务福祉”32。
购买威胁狩猎、花哨的威胁情报报告或针对利基、民族国家威胁的保护等工具,可以被视为奢侈品,作为产生人际接受的昂贵信号机制33。在将机会成本考虑在内之前,在组内采用时下流行的框架(如MITRE ATT&;CK目前就是这样)是一种成本较低的信号机制。安全工程师建造自己的暹罗,与孩子们用冰棒和胶棒建造宏伟的塔楼的尝试相匹敌,无论是在人力时数上,还是在该组织产生的机会成本上都是昂贵的。然而,它代表了一项值得同行钦佩的壮举,尽管有很大的缺点,这与#fomosec的精髓如出一辙。
FOMO不仅会促使人们过度消费,忘记自己的真实需求,还会导致人们在做出购买商品或服务的决定时咨询同龄人-两者的结合导致了远不具战略性的冲动购买。34虽然关于安全领导者如何进行购买的研究很少,但数据显示,同行是决策中影响较大的因素之一,特别是如果你通过研究分析公司包括间接的同行影响。
因此,#fomosec为蛇油主义的蔓延创造了完美的条件。FOMOsec的萌芽来自于捍卫者担心成为IT家族的弃儿,担心总是落后于攻击者一步,担心鉴于失败的必然性,他们的工作毫无意义,以及担心当事件出现在公共新闻头条时,在同行面前显得很愚蠢。“FOMOsec”的萌芽来自以下几个方面:防御者担心成为IT家族的弃儿,担心总是落后于攻击者一步,担心鉴于失败的必然性,他们的工作毫无意义。该行业非但没有促进对商业目标的专注,反而鼓励他们解雇、羞辱和责备捍卫者,并怂恿他们放弃预算,购买追求完美的产品--这是一种遥不可及的理想,默默地助长了自我对英雄主义的渴望。
尽管#yolosec暗示对安全的关注严重不足,而在光谱的另一端,#fomosec暗示对安全的绝望和利己主义的痴迷,但它们都导致了令人痛心的糟糕的安全结果。我认为,它们代表了安全战略的两端,在它们的极端形式下,它们的结果几乎是难以区分的。
当你使用FOMOsec时,你倾向于平等对待所有资产的安全和对这些资产的威胁,或者更糟糕的是,在“必须抓住所有人”的心态下,对利基威胁(如0day或民族国家行为者)矫枉过正。在前一种情况下,即使是预算最高的最大团队也不能针对所有类型的事故完美地保护所有系统。其中一个结果是,为了最大限度地扩大覆盖范围,将努力分散得太细,或者集中在感觉上最大的差距上,而忽略了其他方面。
他们都爱上了他们从喷泉里喝到的数据,喷泉像雪崩一样从山上倾泻而下。
那些#fomosec的人认为,一个人必须收集所有可能的数据,因为错过表明事件的一条线索将是灾难性的、令人尴尬的,或者导致一些其他定义不清的悲剧37。整个行业都有一种共同的、有点戏剧性的信念,即攻击者只需发现一个缺陷就能获胜,而防御者必须掩盖所有缺陷才能获胜。从攻击者拥有(不公平)信息优势的假设可以看出,获得优势来自于对普遍存在的信息不对称的再平衡。也就是说,防御者可以通过积累足够的数据来提升自己相对于对手的地位,而“足够”的量化一直是含糊不清的。
通过这个数据积累的镜头,FOMOsec驱动的行为的最终结果看起来与YOLOsec生成的结果非常相似。引用哥伦比亚大学的内泽教授的话(引用安德鲁·朗的话),“很多人使用数据就像喝醉了的人用灯柱来支撑,而不是照亮。”38这样做显然是YOLO的氛围,即使它是由FOMO培育的。
当FOMOsec忽略了中心极限定理的基本智慧和在提高性能和减少错误方面数据集大小回报递减的现实39时,它就更接近YOLOsec了。数据是在面对未知时改善结果的工具,但解决不确定性带来的好处是有限的40--因此,数据提供的回报是有限的,而且是递减的。
就像一条龙慢慢地将自己埋藏在宝藏中,FOMOSEC咆哮着,“我们需要囤积所有的数据…”。YOLOSEC咆哮着,“…。而且,谁会在乎这会不会在未来造成运营上的分心和管理上的头疼呢?“。FOMOsec扭曲的成本/收益模型不仅夸大了数据积累的好处,而且还忽略了以经典的短视YOLOsec方式处理所有这些数据41的成本。
FOMOsec告诉你,你迫切需要收集所有的东西(并购买可以帮助你做到这一点的奇特技术),因为否则你不知情,而YOLOsec告诉你收集所有的东西,只是因为你有能力。这些冲动在味道上几乎难以区分,而且同样具有破坏性。你不应该仅仅因为你可以42就去衡量事情,因为这会通过信息过载导致一种形式的自我破坏,这会导致认知过载43,这会导致各种问题,可以概括为严重的人类表现下降44。
《信息自由法》的社会因素也体现在信息45中。信息安全团队拒绝利用运营团队部署的数据源和工具,这将简化预算并促进协作,这暴露了数据积累实际上并不意味着更好的业务结果。相反,安全团队似乎拒绝放手。预算被视为一种地位信号,FOMOsec副掌控者的安全领导人没有动力采取让他们感觉影响力下降的行动,即使这对他们的组织和团队来说是正确的举措。
#fomosec的防御者寻求其他防御者及其组织的认可和赞扬-执行具有挑战性的工程壮举有助于满足这种冲动。正如一项针对亚马逊大数据实践的研究发现的那样,“大数据”的积累大多被视为一个引擎
.