什么是安全贫困线？你的企业达标了吗？

网络安全贫困线代表着底线

Cyjax CISO伊恩·桑顿·特朗普（Ian Thornton Trump）将网络安全贫困线视为“用更少的资源去做更多的事”，因为这总比理解为“因为我们缺乏资源，所以什么都做不了”要来得积极。特朗普表示：“或许是缺乏对业务战略的理解，也或许是几乎所有部门对安全都充满着敌意，这大环境使得安全团队在任何想做出改善的情况下都会碰壁，安全团队毫无士气可言，最多就是更新下自己LinkedIn上的个人资料，这就是我想说的贫困线，能看到吗？我所描述的是一种情绪状态，总体而言就是网络安全计划完全跌入谷底，2023年的网络安全贫困线和‘安全部门领导层彻底完蛋’保持一致。”

安全卫生学家詹姆斯·博雷（James Bore）避免将网络安全贫困线简单地定义为“组织无法购买和使用基本的安全工具”，因为“基本”两字在各组织之间差异很大，他表示：“我更倾向于根据组织具体的综合水平来定义安全贫困线，因为无论怎样规模的组织都有适合它的安全基线和体系，企业只要满足了自己的安全贫困线，就能极大地避免安全风险。”

对于ISTARI的全球负责人威尔·迪克森（Will Dixon）而言，网络安全贫困线代表了公共安全的底线，政府和其他相关机构应该适当地介入以支持组织开展安全计划，并确保组织不会受到侵害。

国外某大学网络犯罪意识诊所主任瓦西里奥斯·卡拉吉安诺普洛斯博士补充道：“这或许是一个恶性循环，在安全方面的投入贫困会导致相关的网络安全资源被进一步抛弃，从而会导致更多的组织低于网络安全贫困线，这样下去必然会产生更多对侵害的妥协，这不仅会影响到其他企业，也会影响到消费者和用户。”

2023年是独特的一年

卡拉吉安诺普洛斯认为，在过去一年左右的时间里，随着疫情逐渐退出人们的生活，混合办公带来了更具挑战性的未来，网络安全贫困线的概念变得更为重要。卡拉吉安诺普洛斯说：“与此同时，地缘政治因素也加剧了网络环境的复杂和危险，民族主义黑客团体的激增是不可避免的，更多的国家会为自己准备‘黑客军队’，这对各行各业来说都是最坏的消息。”他补充道，这些事态发展，以及随之而来的能源危机和供应链挑战，极大压缩了安全贫困线以下企业的生存空间，尽管许多国家的政府正在努力将网络安全这一主题放在最重要的位置，甚至提供免费的指导和工具，但事实上，压力、威胁的发展速度要远超我们的计划。

Radiant Logic的CISO Chad McDonald也表达了类似观点。“当我们濒临衰退的边缘时，安全贫困线会在2023年变得尤为重要，2023年对IT领域而言是一个非常独特的时代，是过去几代人从未经历过的时代。”他预测，网络安全贫困线将沿着三条主要轴线来定义：正在进行的数字化转型、继续向云端迁移以及迈向零信任。他补充道：“安全团队的成功将取决于这每个项目的进展，以及这些进展是否得到了适当的支持。”

谁在网络安全贫困线以下？

DNSFilter的高级威胁研究员亚历克斯·阿普尔盖特（Alex Applegate）表示，各行各业的组织都可能因不同的原因而低于网络安全贫困线，一般来说，医疗保健、初创企业、中小企业（SME）、教育、地方政府和工业组织在安全上的部署更有可能低于安全贫困线。这些领域的组织在预算方面非常有限，比如医疗保健中会有大量广泛、繁琐并过时的网络，再比如初创企业中的IT部门通常不具备成熟的流程和安全体系，而教育机构则对网络有着庞大的需求，往往在安全上供不应求，至于地方政府，他们有着法定义务和预算使用限制，而在工业方面，组织则需要大量特定功能、特定配置构建的定制软件。与这些原因类似，关键国家基础设施（CNI）公司和慈善机构也大多处在网络安全贫困线以下。

卡拉吉安诺普洛斯表示，据英国国家网络安全中心（NCSC）的说法，对大多数微型、小型企业而言，网络安全往往是他们的次要问题，相关证据表明，公司规模越小，其更容易处在安全贫困线以下。“传统上不涉及IT技术的企业对网络安全是没有概念的，部署安全防护并不便宜，所以对他们来说要么成本太高无法参与，要么技术水平太高，他们根本理解不了。”

Bore说，企业规模确实是一大影响因素，因为尽管大多数小公司都在安全贫困线以下，但很可能就其业务性质所关联到的风险是非常小的。他认为企业规模越小，不法者对其进行攻击的动机就越少，因此小企业就越能依靠基本的安全防护来进行预防，而不是将资金投入到价格过高的解决方案中。

相反，Bore在接触了那些对安全有过大量投入的公司后发现，尽管他们为各种解决方案投入了巨额资金，但这些公司仍在安全贫困线以下。他对此解释道：“一般来说，这种情况的发生，是因为企业对安全性缺乏足够的认知，以及他们可能过度依赖解决方案来处理安全问题，而不是花时间通过提升自己的安全团队来进行防护。所以企业得有自己的安全意识和体系，而不是根据外部最佳实践来决定要做什么。”Bore表示，在这些方面最具破坏性的就是MSP和供应商，因为他们不懂安全还要指手画脚。

费尔南多指出，正如对国家而言有所谓的经济贫困线，其在每个地区都是有所差异的，因此安全业也必须在网络安全中应用类似的概念。“互联网是一个巨大的均衡器，没错，但它还不足以为所有领域、所有组织都总结出统一的安全贫困线，每家企业都得衡量自己的安全贫困线，私营面包店和世界五百强公司就有着不同的安全贫困线，所以组织得找到自己的基线。”

卡拉吉安诺普洛斯说，天时也会将企业推向安全贫困线以下，比如疫情所导致的混合办公就是一典型的例子。混合办公迫使组织采用了新的技术工具和流程，这种转变几乎发生在一夜之间，因此使得许多组织的安全水准在安全需求成倍增加的情况下，被迫降低到了安全贫困线以下。他补充道：“对企业而言，能否活下来一定是优先事项，尽管许多情况下，漏洞会影响企业的生存能力，但无论什么规模的组织一定更关注收入和运行，因此显而易见的，安全会成为企业的次要问题。”

安全贫困线之下所带来的风险

低于安全贫困线后，风险是各种各样的，勒索攻击、商业电子邮件欺诈、APT攻击、DDos攻击、合规问题等等，最终都会导致企业花费更多的资源和金钱来弥补这些风险所带来的后果。

阿普尔盖特表示：“最主要的风险一定是攻击。许多行业、企业都深深低估了攻击威胁，因为他们对自己企业所拥有的价值并不清晰，因此他们不相信自己会受到攻击。”比如那些第三方承包商，他们通常都是小企业，而由于他们的安全态势更弱、更容易被利用，所以攻击者往往会顺着第三方承包商侵入进他们主要客户的网络中。

阿普尔盖特说：“除此之外，告警疲劳也是一大问题，即使在误报基本消除的环境中也一样。新攻击、新漏洞、新威胁层出不穷，这会使得安全工作毫无成效，以至于有所倦怠。虽然所有行业都面临着这些风险，但网络安全贫困线以下的组织更容易受到这些风险的影响。”

McDonald表示，企业对自身低于安全贫困线最直接的做法是削减成本，但这可能会加剧安全问题。“若只是单纯的缩减成本和工具，企业可能会增加其网络中遗留的、过时的和过度配置的帐户，以及企业应用程序的数量。通常这些帐户和应用软件不受安全团队的监控，因此最终相反会为不法者提供漏洞，从而扩大了企业的攻击面。”

阿普尔盖特对此表示同意，当企业在安全贫困线以下时，这种“技术债务”最有可能成为问题。“许多决策都是因为成本而滞后的，但解决问题所用的时间越长，修复成本就越高，而网络攻击的受害者总是会低估自己的成本，无论是在金钱还是在声誉上，他们常常会后悔当初没有投资，直到事后才意识到早期应该采取更好的网络安全措施。”

卡拉吉安诺普洛斯表示，对于没有安全预防、应急响应和恢复流程的企业来说，网络攻击会严重影响到他们的运转，甚至导致破产。Dixon补充道，另一方面是关于如何借用其他渠道来缓解风险所带来的影响，比如网络保险。“特别是在网络保险市场因勒索软件而面临更大压力的情况下，如果没有网络保险公司的渠道，许多企业将处于更大的风险中。”

卡拉吉安诺普洛斯指出，那些高于安全贫困线的企业也不要因此自我感觉良好，网络安全不存在绝对的价值，因此评估组织是否高于安全贫困线，只是更有助于衡量其个体或社会性的风险状况，而不是用来定位“安全社会阶层”的，若那些高于安全贫困线的企业为此掉以轻心，一样会被不法者侵害。

生存在网络安全贫困线以下

综上所述，“在安全贫困线以下”的处境或许让人望而生畏，但即使是陷入此困境的企业也可以通过采取一些适当的措施来保持基本运作。蒙特内哥罗说：“综合性的建议不是让你焦虑，而是让你知己知彼的，让你至少知道安全贫困线是什么概念，而你的组织又处在什么境地，然后作为安全人员你可以从基础做起，比如先利用好现成的资源，先做好相关的安全计划，再去通透组织为什么会安全贫困线之下，是缺乏管理层的支持，还是缺乏相关技术，这是安全人员目前就可以完善的内容。”

卡拉吉安诺普洛斯表示，确定、找寻组织可用的现有资源确实是一个很好的建议，NCSC或大型网络安全公司提供的免费资源可以让那些低于安全贫困线的企业迈出巨大的一步。卡拉吉安诺普洛斯补充道，在企业的网络安全文化中，将安全定位为业务的推动者而不是障碍，这点也非常重要，因为找工具、用工具都需要时间和精力，只有一切以业务为主，用业务驱动，才能在这个过程中找到最适合的部署和流程。

Cyjax的桑顿·特朗普（Thornton Trump）表示，他更倾向于锁定组织的外部攻击面，并使用大量免费服务来监控黑名单，告警新的开放端口，通过NCSC预警服务在外部资产中执行漏洞扫描。他还主张提拔、雇佣或聘用乐于讲故事的安全人员，这些安全人员可以向领导层解释安全问题、解决方案和计划。特朗普补充道：“我们要激励安全团队参与业务，为在家办公、在公司办公或出差的员工提供相关的支持和建议，并建立这种可以提供建议的群和平台。”

基于相关风险的网络安全方法对安全贫困线以下的组织具有更大的意义。Dixon说：“作为安全人员，你必须知道企业最关键的系统是什么，企业最有价值的数据在哪里，只有确保了这些内容的安全，安全部门才有存在的意义。然后以此为基点，可以逐步向外拓展，评估其他方面的安全保护水准，评估所需的投资，等等。规模再大的企业也不可能把所有风险都处理得面面俱到，所以得从核心出发，一点点完善体系，这就是为什么要基于相关风险来做好安全部署。”

国内安全专家的建议

对于在安全贫困线之下，企业会遇到怎样的风险，在安全投入不足时，企业又该如何更好的运营下去，国内安全专家如此建议。

某互联网企业安全负责人刘欣表示，对于安全贫困线的概念在国内提的较少，个人感觉不好直接拿来用，安全场景不同、企业阶段不同、业务模式不同等，安全贫困线无法cover住这么大的内容。

刘欣指出，企业的生存不能只看投入资源的多少，而要看企业风险情况、行业监管强度以及企业发展的阶段，因此他建议：

1. 企业风险情况：比如说一家电商公司持续遭受薅羊毛攻击，投入相关安全资源防范薅羊毛势在必行。

2. 行业监管强度：比如说金融公司面临国家强监管，不满足监管就意味着停业整顿。

3. 企业发展阶段：比如说初创企业与成熟企业之间对安全的依赖程度不同，不能单纯的拿“一个人的安全部”与庞大的安全组织进行比较。说到底安全只是业务的一个属性，业务没有盈利，何谈安全资源投入。

“简单来说，企业安全建设可以间接参考，不可直接效仿。”

而OWASP中国广东分会负责人、某企业高级安全架构师肖文棣表示，“安全贫困线”的概念比较新鲜，但是他认为真正的贫困是意识上的贫困，而不是物质上的贫困，所以简单用安全的物质投入来计算安全贫困线是不恰当的。“安全首先是意识上的，安全的第一责任人应该是公司的负责人，因此要做好企业安全工作的基础，然后才去考虑投入多少。”

肖文棣认为，安全是设计出来的，安全的漏洞很多是设计的漏洞，所以对于初创公司或者资金缺乏的企业，首先要审视他们的系统和设计，做安全的威胁建模，发现系统中存在的风险，然后才是决定如何修复这些风险。这个过程不会有太多的投入，但确实很容易被忽视的。

安全是全员的工作，不仅仅是安全部门的工作，此中的意识培养非常重要，安全部门要加强对全员的安全意识的培养，这个过程也不会有太多的投入，但是这种投入的投资回报率却非常高的。

最后肖文棣指出，现在很多企业都面临勒索软件的攻击，所以企业使用安全的DNS是非常有用的，比如OneDNS等，这个投入也不会非常贵，但是可以有效拦截恶意的网址和IP，可以对企业提供一个比较好的防护。

另外，如果企业需要更多的防护，比如WAF还有EDR，这些就需要专业的方案，但是作为初创企业，可以考虑安全托管的模式，这个模式的好处也是开始费用比较低，企业可以根据自己的需求定制。

“再重申一遍，真正的‘安全贫困线’是意识的贫困，如果以物质的’安全贫困’来说安全困境，更多的是借口，实际上通过分析，安全并不需要花很多钱也可以建设出比较好的效果。初创企业可以自己考虑一下是不是这个道理。”

而比特大陆CISO张鲁表示，从马斯洛需求层次理论来说，安全需求处在需求初级阶段，仅高于生理需求。“这个角度上，企业如果长期处在安全贫困线以下最直接的风险就是影响企业正常运转。像不合规导致影响业务开展，遭遇勒索、APT攻击导致财产、商誉及知识产权受损、受监管处罚甚至业务停摆等等。往往企业为此付出的代价是正常安全投入的几十甚至上百倍，同时伴随着时间成本。”

张鲁认为，导致企业处在安全贫困线以下的原因一般和企业经营状况及管理者的意识有密切关系。因为业务的变化带来激增或是减少的安全需求及预算不属于真正意义上的安全贫困，真正的贫困是企业管理者对安全的重要性、复杂性和挑战性没有意识。这种情况下企业经营状况再好，在安全上多投入一个人、多停留一分钟、多花一毛钱都会被认为是多余的，更深层次的影响是这种意识在上行下效的作用下会影响企业里的每个人，最后安全团队沦为救火队，安全工作进入死亡螺旋。

张鲁提出，企业管理者的安全意识水平决定了安全贫困线的位置，内部和外部事件能在一定程度上起到促进作用。回到马斯洛需求层次理论上，安全需求之上承载的是社交需求、尊重需求和自我实现。换而言之，安全进一步需要思考的是如何协助业务取得商业成功。

“在安全投入上平衡成本和收益是个永恒的话题，我认为在大部分企业安全上最首要的基础设施仍然是终端安全和流量安全，两者在日常防护、事件检测和回溯中非常重要。结合零信任的理念，考虑端到端的一站式防护是最基础也是性价比最高的选择。其次也是最核心的身份密钥凭据的保护，几乎所有的安全事件都涉及凭据失窃或权限分配的不合理。”

最后张鲁表示，还需要重视的是自动化工作，能最大限度释放安全人员的时间精力。安全的本质是对抗，对抗的核心是认知，安全团队满负荷奔波于日常工作中不是一个健康状态，每个岗位上都需要有人有时间和空间思考潜在威胁和为之布局。