太多的安全技术失效，为什么？

本文为RSAC2022圆桌论坛“Why does cyber tech so often fail? Addressing the Cybersecurity ‘Market for Lemons’”的解读。为整理解读文章，方便阅读，我们还参考了分享嘉宾的报告“CYBERSECURITY TECHNOLOGY EFFICACY ， Is cybersecurity the new ‘market for lemons’?”。本圆桌论坛从信息的非对称角度讨论信息安全技术失败的原因，是分享嘉宾的合作研究的项目成果。由于买卖双方的信息不对称，卖方占据了信息优势，一些卖方常常会以次充好。而买方由于对于商品的好坏难以判断，就不愿意花高价买可能更好的产品（实际上有可能不好）。因此，市场常常由次品充斥，好的产品因卖不出高价而退出市场。这种现象被称为“柠檬市场”，是由诺贝尔经济学家得主George A. Akerlof在1970年发表的论文“The Market for ‘Lemons’: Quality Uncertainty and the Market Mechanism”（ 柠檬市场：质量、不确定性和市场机制）中提出来的。George A. Akerlof在该论文中举的例子是质量好的二手车由于卖不了相应的高价从而车主不愿意卖，市场上大多为不好的二手车（在美国，不好的车也称为Lemon，即柠檬）。在信息安全领域，有一个称为信息安全经济学的学科，分别从信息安全的外在性、信息安全的非对称性、逆向选择（如劣币驱逐良币、柠檬市场）、道德风险、安全债务等经济学角度探讨信息安全的非技术属性。论坛主持人为Joseph Hubback，论坛嘉宾有Ciaran Martin, Grace Cassy, Greg Rattray。

一、引言

这项工作是基于一百多个1-2小时的深度访谈，访谈对象是一百多个CISO、CIO、CEO，包括来自于安全供应商、技术供应商、评估机构、政府机构、网络安全运营和交付方面的专家。

二、网络安全的失败在于，技术并非那么有效

研究发现我们每年在安全方面的花费和成本都在上升。越来越频繁的成功攻击每年都在增加，它们造成的伤害也在增加。因此，这项研究的目的是试图理解，这背后的原因是什么?如果我们花了更多的钱，为什么我们没有得到更好的安全保障?如图1所示。

图1 网络安全的怪现象

我们对CISO等的采访时询问了他们如何评估安全，以及他们对网络安全如何为他们服务的观点。我们得出的一个结论是，我们在安全技术方面仍然存在不容忽视的问题。事实上，技术并不是安全的唯一问题，但技术是一个关键的组成部分。我们都知道到战略、架构、流程、人员和你的人力，都是达成安全效果的关键。但实际上，我采访过的人中有90%的人说他们从市场上购买的安全技术存在功效问题。技术并没有实现供应商所声称那样的效果，用户也没有从采购中得到好处。

有的CISO说，我们采购，然后祈祷上帝，希望技术是有效的。人们对于网络安全技术的效果信任度很低。

我们深入地研究了这个问题，而不是访谈研究，希望了解了他们说技术不起作用是什么意思。我们得出的结论是，如果你想谈论网络安全的有效性，你需要考虑四个方面的因素。我们的研究小组普遍认为，全面定义网络安全技术的有效性需要四个特征：安全能力、实用性、安全构建和架构的质量，以及供应商和供应链的来源。

图2 安全有效性的四个方面

第一是能力，这项技术是否有能力做好供应商声称它可以做的事情?能够验证我能从中获得安全效果吗?

第二个是是否实际，我能在我的环境中实际使用它吗?这真的是我可以在我的公司里使用的东西吗，而不需要什么顶尖的高手来使用它，让它工作吗?

第三个是质量，即产品的设计和质量如何，能否避免漏洞或负面影响？

第四个是来源，即供应链是否安全。我们的这项研究，是在SolarWinds事件这一著名的供应链攻击之前做的（注：本项研究的报告，发布于2020年10月，SolarWinds供应链攻击在2020年底才被发现）。

下一步是研究，为什么?我们为什么要遭受这些?为什么无效的解决方案会进入市场?真正的问题是什么?

本论坛就是为了分享一些我们参与的关于网络安全技术有效性的独立研究。

三、问题在于经济，不在于技术本身

从访谈中我们发现，买家从本质上遭受了供应商的信息不对称。因为，供应商了解他们产品的一切，而买家发现很难真正评估他们购买的是什么。

CISO们都说，我们可能会做一个POC（概念验证），我们可能会看供应商的材料。但在大量的时间里，我们基本上只是，购买并希望我们购买的解决方案真的会起作用，它们会为我们工作。如果你们学过经济学，就会知道这种信息不对称就是典型的柠檬市场，是由George Jackaloff在1970年提出的。如果有一个信息不对称的市场，卖家比买家更了解产品的质量，那么卖家就没有动力把高质量的产品推向市场因为买家无法正确评估他们购买的产品，这就把高质量产品挤出了市场。

图3 信息的不对称使得卖方处于有利地位

因此信息安全有效性问题的根源主要是经济上的，而不是技术上的。其特征是买家和供应商之间的市场关系破裂（“买家”包括CISO和更广泛的企业团队，而不仅仅是采购员）。核心问题在于双方之间的信息不对称，这阻碍了买家有效地评估技术，并激励供应商为市场带来次优的解决方案（当然，成本更低）。这种不匹配导致产品上市的效果不如承诺的那么有效，并降低了人们对网络安全技术的信任。

四、独立透明的技术评估，也许是解决方案

解决经济问题需要一种新的模式，为供应商创造新的激励措施，为客户创造新的方法。约2/3的研究参与者提出对技术进行独立、透明的有效性评估，作为解决信息不对称问题的途径，并重建客户对解决方案的信任。

独立和透明的有效性评估将为客户提供更好的信息，以做出基于风险的采购决策，并将给供应商更强的激励，以提供更有效的技术。随着时间的推移，改进的技术将明显降低成功攻击的可能性，并将有减少对人员和流程的依赖的额外好处（因此也有可能减少网络安全方面的人才差距）。从供应商的角度来看，有效性透明度可以帮助创新渗透到市场中，减少在市场营销和销售上过度投入以获得吸引力的需求。

为了使有效性评估跟上和支持技术创新，应制定市场标准，而不是技术。评估标准已经存在于一些市场和今天的部分安全领域。然而，它们在这些领域之外并没有被广泛理解或使用。

五、改变市场激励，需要买方通力合作

买家可以采取协调行动，在信任技术之前要求提供有效性透明度，以此来改变市场激励机制，使得好的产品收到欢迎。

供应商、评估人员和标准制定者（通常是行业协会或监管机构）也需要在实现变革中发挥自己的作用，但如果买家创造了需求，就会存在这样做的动机。独立透明技术评估的想法并不新鲜，但在今天的商业市场上没有什么动力：这项研究表明，是时候重新审视这一点了。

买方可以从三个方面有所作为：要求有效性透明评估，支持有效性及其评估的改进，提升内部能力。

六、总结

（解读）关于柠檬市场理论应用于信息安全的有效性方面，早些年我们已经看到了一些研究成果。但是多数都是以此来说明，信息安全问题不仅仅是技术问题，还涉及到经济问题的。但是鲜有提出解决方案的。本论坛提出的解决办法，值得深思，但是施行起来可能会比较困难，涉及到监管方、买家联合体，要这么多相关方协调一致的行动，难度不言而喻。

内容编辑：创新研究院 李德全

责任编辑：创新研究院 顾 奇

本公众号原创文章仅代表作者观点，不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权，严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用，转载须注明来自绿盟科技研究通讯并附上本文链接。