信息安全产业该觉醒了,传统安全思维 vs 互联网安全思维
互联网的浪潮汹涌澎湃,互联网思维就像潮头上的水花,流动跳跃,赏心悦目,淋漓尽致。
互联网的浪潮汹涌澎湃,互联网思维就像潮头上的水花,流动跳跃,赏心悦目,淋漓尽致。
相比之下,国内信息安全行业似乎一直保持平静,缺乏具有足够“颠覆性”力量的概念或花招。即使随着国家安全委员会的成立和绿色联盟的上市,也出现了一波趋势,但它们似乎都无法与飞速发展的互联网建立关系。到目前为止,360已经高调承诺进入企业市场,以英美烟草为代表的众神也以各种方式指出了安全问题。这似乎是风云突变。情况变得更糟了。隐藏的是一股强大的暗流正迅速向潮水涌来。
在经历了风风雨雨和多年的平静之后,信息安全行业会迎来第二次革命吗?
事实上,要回答这个问题,没有必要预测结果。在一个变化不可改变的时代,所有的预测都是不可靠的。然而,至少有一件事是可以确定的,那就是绘制另一个与现行法律必然相关的场景。
我在另一篇文章中提到,互联网1.0影响人们的工作方式,互联网2.0影响人们的生活方式,互联网已经进入了3.0时代。它的显著特点是以强大的颠覆能量影响着人们的思维方式。相比之下,信息安全行业(尤其是国内信息安全行业)似乎已经远离了这一点。从以之星、绿色联盟和信为代表的第一代安全厂商开始,信息安全产业走过了十几年的历程。在此期间,只有少数小旗在一个专业的、封闭的和狭窄的独特的领域被改变。外面没有强大的敌人,里面也没有反叛。他们自己玩。我们可以看到互联网发展带来的各种安全问题,但我们看不到对信息安全行业的任何影响或冲击。像大多数传统行业一样,面对快速变化的互联网和信息安全,这里的黎明是宁静的。
到目前为止,移动互联网、大数据、云计算和互联网思维已经出现。许多传统行业无法停滞不前。金融业、零售业、餐饮业、汽车业,甚至那些制造性产品的人都将被推翻。我们发现,几乎在一夜之间,信息安全行业的包围被打破了。当以英美烟草和360为代表的传统互联网老板都在安全问题上摩拳擦掌时,他们能举几面旗帜?
一种全新思维方式的出现不可避免地意味着颠覆的开始。这是旧派和新一代之间的对抗,正统和非正统之间的对抗,从某种意义上说,这就是革命。
当360还在研发终端杀毒软件的时候,没有人认为他是一家安全公司,因为周身上流淌着真正的互联网血液,而在互联网圈子里,免费游戏个人消费市场并没有进入以*和企业市场为主的正统老板们的眼中。但是现在,真正的狼来了。根据Cardinal的声明,我们应该做企业级产品,如个人安全产品,并在用户体验方面尽我们所能。我们应该让首席技术官和首席信息官满意,也让企业员工喜欢它。这听起来很简单,但事实上,那些声称能提供企业级产品和解决方案的传统行业领导者真的能让企业上下满意吗?为什么我们的解决方案总是专注于堆积产品?为什么我们的防火墙、入侵检测系统、入侵防御系统、日志审计、系统芯片、数据链路协议在出售给客户后变成了装饰品?为什么您希望将复杂的策略配置责任转移给客户?为什么企业领导和部门根本不购买安全产品?为什么信息安全总是由黑客或重大事件驱动?还能更复杂吗?会不会更无聊?你能更被动一点吗?它能更无害吗?
一个有趣的现象是,我们总是认为信息安全攻击优于防御。例如,窃取数字和卡片,在自动柜员机上安装磁条来获取密码,比研究密码制造令牌生产设备的技术要好。即使被盗号码和卡使用自动柜员机的实际上只是一些农民工(这里没有贬义),甚至假冒基站欺诈也可以简单到收集垃圾和依靠行李箱进行游击战。然而,我们在信息安全行业的高尚和正派的人仍然像往常一样,神秘而不慌不忙地学习和再学习。然而,他们所谓的“魏郑光”领土相对较大
业内人士都知道渗透测试习惯于“黑对黑”的思维模式。在许多情况下,如果你想打败流氓,你必须先成为一个流氓。这里所谓的流氓其实并不是指坏人或坏事。他们甚至强调他们不会根据常识打牌,也不会遵守规则。就像《亮剑》一样,每个人都喜欢看,但是有多少人能演李云龙呢?每个人都骂周,因为他打破了规则,没有给他留下任何空间,是一个真正的恶棍。但正是这个“小流氓”周迅速颠覆了传统的终端证券市场,以单打独斗的精神面对着行业的全面围剿。目前,360已经进入企业安全市场,凭借其漠不关心的历史包袱、非理性的扑克牌、对邪恶的“邪恶”处理以及快速和极端的方法,我担心它将再次杀出一条血路,杀人并把人翻个底朝天。
为什么人们尊重和害怕360?为什么周让人又恨又厌?说到底,他还是生来就有一种与互联网极其兼容的思维方式,这也是被热捧的所谓互联网思维。
既然我们谈论的是信息安全产业,既然互联网产业正在大规模地跨越国界,我们不妨重新认识互联网思维,或互联网影响下的新的安全思维。如果传统的老板们足够清醒,如果跨境整合足够激烈,如果变革和颠覆足够彻底,我认为互联网安全思维必将取代传统的安全思维,成为推动信息安全产业第二次革命的决定性因素。
互联网思维强调以用户为中心、简单和完美、深度体验、快速迭代、价值重建,当然,更重要的是,在此基础上的改变和颠覆。这些特征几乎与传统安全思维的特征完全相反,传统安全思维强调服从、遏制和集中控制。在这里,让我们逐点比较这两种思维方式。
首先,让我们来看一下大局。
按照传统的安全思想,信息安全产业是封闭的、预防为主的,注定是保守的、集中的、受控的、封闭的。产业应该被监管,政策应该被导向,出口应该被*,网络应该被隔离,管理者应该被分离,信息不对称,甚至产业链本身也应该是分散的。正是这种小模式导致了该行业十多年来发展到只有几十亿的规模。安全也是如此。安全套行业的规模大于整个信息安全行业。相比之下,互联网思维所倡导的绝对是打破壁垒,变被动为主动,在开放、合作、跨境的环境中竞争,打破信息安全的小模式,渗透到工业控制、物联网、交通工具互联网甚至媒体娱乐等传统领域,并逐步扩展成一个巨大的网络市场。在年轻时,个人组织也是如此。面对技术创新甚至颠覆,盲目回避和拒绝只能是变相的幸事。大数据应用如火如荼,无线网络很受欢迎,云计算也如火如荼,BYOD也即将问世。重要的是在吸收和接受的基础上找到一个新的平衡点,而不是以不安全为借口简单地使其丧失能力或孤立它。当然,斯诺登事件收紧了国家间的防线,但就工业环境而言,政策向下倾斜、开放搞活、鼓励创新是一种必然趋势。国家安全委员会的成立标志着全面管理和支持培养的开始。事实上,就整个工业环境而言,需要了解的是地下黑产值。它可以在如此紧密的缝隙中上下连接,构建完整的价值链,展现强大的生命力、活力和繁殖力。高尚和正派的人会怎么想?
此外,传统的安全思维采取专业路线。院士经常带头,权威人士掌舵,而其他保险和再保险、监管准则给人的印象是,你的技术并不高端,你的水平也不可预测,所以你不好意思告诉别人你在做安全的事情。专业路线导致权威的垄断,创新的抑制,整个行业都死了。我们总是说用户不懂安全,但是有多少人能说出什么是安全呢?这是学术权威闭门敲定的技术标准吗?那些漏洞和攻击层出不穷吗?是不是有很多软硬设备?更重要的是,为什么用户必须理解安全性?它被理解到什么程度?专业技术堆积起来的往往不是解决办法,而是更多的障碍,这些障碍是由制造商和用户之间、制造商和制造商之间、用户和用户之间的不对称信息造成的。相反,什么是互联网思维?菜鸟也是一只鸟!屌丝正在兴风作浪!谁说非专业人士不能做专业的事情?要成为一个360在互联网上,所有的终端都可以安装他的东西,没有用户的干扰和担心。用户的感觉是:我从来没有被病毒或木马困扰过,我也不怕在浏览器的小窗口上跳来跳去。这难道不安全吗?至于你声称360有一个后门来窃取用户数据,问题是,当你邀请一个保安去你家的时候,如果他知道你的家庭,你会关心多少人?电话号码是多少?根据红衣教主的话,事实上,这个世界充满了流氓,只有一些人漂白了它。
此外,工业驱动。
在此之前,没有人否认,在很大程度上,信息安全行业是由政策合规性驱动的。“宫保鸡丁”是做什么的?为什么同等保险再保险、SOX、C-SOX和IT审计能够成为信息安全的驱动力?即使在意识和技术都很先进、关系到国计民生的金融、通信和能源领域,信息安全的发展也遵循着监管要求。牵着鼻子走是健康的吗?这是一个长期的解决方案吗?这是国内信息安全行业的步伐和背景。2013年,情况又好了,成立了国家安全委员会,信息安全上升到国家战略层面。该行业喜气洋洋,仿佛久旱逢甘露。但问题是,即使有更多的支持政策,即使有更多的驱动力,以等待蛋糕被分享的心态,那些小鱼小虾还会存在吗?相反,互联网思维是完全市场化的思维。用户受到业务发展或危机感的驱动。用户自发的驱动力引领着市场。就这么简单。你在等政策出台吗?机会转瞬即逝。你想等上面给你红包吗?市场已经开始了新的分销模式。你想等主管给你指示吗?安全问题造成的业务损失可能已经让您不堪重负。合规驱动吗?还是业务驱动?这是政策吗?还是市场?这两种思维方式会给出完全不同的答案。
事实上,不同的驱动力直接决定了不同形式的安全技术或产品。
传统的安全思想是完全面向标准化产品的,防火墙、入侵检测系统、入侵防御系统、UTM、加密机、家庭基站机等。一种问题暴露出来,一群黑客出现,一种产品出来,然后通过渠道和销售输出给用户。不能说错,因为所有的传统产业都是这样发展的。问题是这种模式离用户太远,所以我们的产品专家总是会跟踪新的攻击,发明新的术语,制定新的标准,然后认真地向用户解释。最终,不管它是否有意义,产品的销售者将占上风。从某种意义上说,黑客已经成为我们产品专家最亲密的朋友,而真正应该关注的用户已经成为配角。互联网思维应该能扭转这种局面。你能不跟踪黑客吗?能否首先考虑用户的担忧、顾虑和期望?产品设计能更多地考虑用户的体验和感受吗?信息安全是非常困难的,黑白之间有很多秘密战争,但信息安全也非常简单,如此简单,只需要一种感觉——安全。如果你觉得不安全,即使你穿上防弹衣,有无数保镖保护你,你也会担心自己的命运。相反,我的心里没有鬼,我坚定不移地工作。我为什么要担心被算计?更重要的是,安全感的存在往往不直接取决于安全措施的存在。例如,在我们的社区,监控可能不会比其他地方更好。然而,保安人员很勤奋,帮助寻找停车位,帮助搬运重物,帮助关闭窗户,欢迎交通,做许多本应由物业做的事情,并在发生入室盗窃、抢劫、触摸和擦拭事件时立即处理通知,给每个人一种安全感。信息安全也是如此。严格的拼写技术,360可能不是最好的,但它可以使软件简单,直观,易于使用和有效。如果你用这种产品思维来做企业市场,会不会挂起一股简化之风?互联网时代的产品经理需要强烈的用户感受和艺术直觉,而用户体验往往是第一位的。传统的安全制造商必须学会如何让用户感到安全,而不是安全地使用它们。他们能做到吗?此外,正因为安全的关键是要有一种“感觉”,这种感觉往往不是标准化产品所能做到的,个性化、差异化、可变性、服务性,这些都是实现“安全感”所必需的,单纯的软件或硬件是很难招募新鲜的,软件即服务,硬件即服务,归根到底是要安全即服务。
最后,让我们看看工业发展的目的地,或者可能的方向。
在传统的安全思想中,信息安全基本上是一种进口产品。参考法律,平等采用标准,学习和吸收技术,进口产品。我们的信息安全产业基本上只需要密切关注外国技术和产业发展。从这一点来看,互联网以前的发展是完全一样的。然而,随着国内互联网市场许多独特甚至原创元素的出现,以及阿里巴巴、百度、腾讯等数千亿互联网巨头的国际影响力的形成,我国互联网产业已经开始了一轮真正的创新和发展。相比之下,信息安全产业在互联网思维的影响下应该能够发现一个前所未有的新空间。或许,我们不需要专注于硅谷。只要我们真的能呼吸到市场反馈的新鲜空气,把握住互联网的脉搏,让创新之火燎原,或许未来将是走出去而不是进口。
说到这里,可以总结出,与互联网安全思想相比,传统的安全思想,从封闭到开放,从专家到平民,从合规驱动到业务驱动,从产品导向到用户导向,从标准化到差异化,从安全即产品到安全即服务,从引进到走出去,可能决定着未来信息安全产业新的甚至颠覆性的发展。
事实上,仔细研究一下,互联网思维本质上与这个网络无关。这基本上是事物发展的一般规律。正因为互联网的开放性、*性、共享性和变革性等特点,许多社会和经济发展都受益于此。回首往事,我想说360。虽然我很崇拜周,但我不是360的粉丝。尽管360进入企业安全市场引起了轩然大波,但这并不意味着他会赢。就像很多人在谈论互联网思维,甚至很多人在做互联网,但是在大浪淘沙之后,赢家仍然很少。我相信当号角响起时,沉睡的狮子会一直保持警惕。无论它是否认同所谓的互联网思维,只要它保持开放的心态,总是把用户体验作为自己的责任,牢牢把握时代脉搏。睡狮也是狮子。
互联网公司正在重拾传统安全吗?还是传统的安全注射互联网基因?或者是连通性?
等着看一出大戏吧。
上一篇:可吸放热的衬衫