在當今這個數字化時代，網絡安全的重要性與日俱增。然而，盡管政府和企業不斷強調其重要性，網絡安全行業的發展卻似乎陷入了一個怪圈。

在斯諾登事件后的黃金十年中，網絡安全行業取得了飛速發展，但是近年卻陷入低谷和“至暗時刻”，無論企業營收利潤還是創投融資，都呈現頹勢。在數字化和人工智能技術革命的紅利期，到底是什么阻礙了網絡安全行業的發展？

今天，大多數企業面臨最大安全難題不是黑客攻擊，而是安全工具整合。

以網絡風險管理為例，在不同規模的組織中，網絡風險管理可能包括大量的技術，如攻擊面管理（ASM）、漏洞管理（VM）、云安全態勢管理（CSPM）、網絡威脅情報（CTI）源、配置管理數據庫（CMDBs）、滲透測試、紅隊工具等。那么，安全團隊如何將所有這些工具和技術整合在一起呢？忘掉人工智能吧，許多組織仍然依賴于手動流程和電子表格。

安全平臺模式存在局限性

平臺化是Gartner等公司強調的網絡安全市場最熱門的趨勢之一，也是對網絡安全廠商最具吸引力的概念之一。在平臺模式下，企業只需從一家安全廠商那里購買所有技術和服務，并讓廠商代表企業進行整合工作。這聽起來很有吸引力，平臺可能對小型企業有用，但對于大型企業來說，平臺有嚴重的局限性。

對于大型企業來說，“平臺”是供應商鎖定的代名詞，這是企業需要盡量避免的情況。假設一個大型企業對平臺感興趣，它可能需要數月甚至數年的時間，才能從分散的工具遷移到一個集中化管控平臺。鑒于此，平臺供應商需要說服許多不同的人，讓他們相信這種努力是值得的——對于持懷疑態度的網絡安全專業人士來說，這是一個艱巨的任務。

今天，威脅態勢和相關安全需求的快速變化往往會超出平臺功能范圍。企業將如何彌合這些差距？當然是通過為特定用例設計額外的點工具，這最終將導致企業墜入復雜性的深淵。

依靠API整合安全是一個錯誤

現實中，擁有復雜IT基礎設施和應用環境的大型企業可能不想用“樣樣通，樣樣粗”的安全技術平臺來滿足安全需求，那該怎么辦呢？

毫無懸念，企業安全主管們會掏出網絡安全工具箱中的大殺器——API，期待不同的技術通過API實現互操作。

但是，依靠API整合安全是一個錯誤。理論上，API連接聽起來不錯，但在實踐中的成效卻極其有限。要讓API正常工作，安全廠商必須向其他廠商開放其API。有時他們會這樣做，但更多時候，他們拒絕這樣做。即使廠商開放了API，仍然存在問題。

假設客戶計劃將漏洞管理產品與EDR（端點檢測和響應）工具集成，此前客戶已經安裝了Crowdstrike、SentinelOne和Trend Micro EDR的產品。然后，漏洞管理廠商將需要與所有三個供應商合作，并與三個不同安全產品的API進行集成，這意味著大量的工作。

網絡安全企業“互相卡脖子”

主流網絡安全技術/產品存在嚴重的互聯互通問題，這本質上是利他主義和資本主義之間的沖突。不幸的是，對安全行業的所有人來說，資本以很大的優勢贏得了這場戰斗，這表現為安全廠商為了保住競爭優勢而“互相卡脖子”。

個別安全廠商可能贏得了“互操作”局部戰斗，但整個行業輸掉了戰役。舉一個簡單的例子，沒有一個主流漏洞掃描器會直接從競爭掃描器中攝取數據。因此，如果你的環境中有各種掃描器，你必須自己將數據作為你的風險緩解任務的一部分進行整合，盡管每個掃描器執行幾乎相同的基本功能。

如何修復網絡安全行業的脫節

網絡安全行業需要采取開放架構方法，例如ESG的安全運營和分析平臺架構（SOAPA）或Gartner的網絡安全網狀架構（CSMA），這些架構依賴于一些開放標準的創建和協議：

• 數據格式標準。開放網絡安全框架（OCSF）看上去令人鼓舞，但它來得太遲了，太多的供應商沒有加入。期待OCSF取得更多進展。
• 標準API。沒有理由需要用多種語言與同一技術類別的不同工具進行連接。每個領域的供應商，或者某個中央治理/工程機構，應該幫助創建和管理這些項目。
• 補救措施的標準。如果我們想阻止一個入侵指標或生成一個虛擬補丁作為補償控制，我們需要能夠與所有類型的端點安全軟件、防火墻和IDS/IPS系統進行通信。應該有一種方法告訴每個安全控制統一采取行動。幾年前，我們對名為Open C2的標準充滿希望，履行這一角色。希望這正在發生，但如果是的話，很少有人知道。

有人認為網絡安全的標準化進程可能會變得混亂，最終變成一個爛尾的工程科學項目。但我們無需悲觀，一些安全標準已經取得了顯著的成效。例如STIX/TAXII標準提供了一種一致的方式來描述和傳達威脅情報細節。通過這種方式，STIX/TAXII提高了威脅情報分析及其隨后的風險緩解行動的效率和效果。

誰能推動網絡安全標準的努力？一個政府機構或者可能是MITRE、ENISA，或者某種協作項目。金融服務行業的大型組織可以讓他們的安全工程師聚在一起，制定一些標準，然后向行業發號施令。

其實早在二十多年前，曾經有個名為Jericho Forum的致力于定義和推廣去邊界化的網絡安全行業組織。該組織吸引了亞馬遜、CrowdStrike、微軟或Palo Alto Networks等科技巨頭，以及波音、寶潔、勞斯萊斯、渣打銀行等更多行業企業加入。

最終，Jericho Forum 的理念和工作對后來的零信任安全產生了深遠的影響。零信任安全的核心理念是“永不信任、始終驗證”，最早的雛形正是源于Jericho Forum。

網絡安全最大的敵人是自己

Jericho Forum的成功表明，網絡安全行業可以跳出納什均衡博弈陷阱，達成雙贏甚至多贏局面。有了標準的管道，安全廠商可以集中資源和精力在理解客戶需求和創新功能上競爭。

1972年，漫畫《Pogo》引用了美國海軍指揮官奧利弗·哈澤德·佩里的一句名言：“我們遇到了敵人，那就是我們自己?！?/p>

不幸的是，這句話點中了網絡安全行業最深的痛點。資本凌駕于行業生態健康之上，正將所有人（包括關鍵基礎設施和無價的數據資產）都置于風險之中。反過來，對資本和市場（競爭）的迷信和高度依賴也正將網絡安全自身帶入危險境地。

現在是所有網絡安全社區團結起來，尋求合作的時候。在一個日益復雜和危險的數字叢林時代，網絡安全行業需要通過拯救自己來拯救所有人，當然，政府和資本也應該意識到這一點。