守鸡舍的狐狸：网络安全的商业模式如何制造自己的最大噩梦

Source: Dev.to

当两位网络安全专家对他们本应保护的公司实施 BlackCat 勒索软件攻击并认罪时，业界的反应可预见：震惊、谴责，并保证这些只是个别的坏人。但这忽视了更深层、更令人不安的真相。

网络安全行业已经构建了一种商业模式，系统性地制造了内部威胁得以滋生的条件。从优先考虑攻击技能而非道德审查的招聘做法，到奖励对犯罪手法有深入了解的薪酬结构，再到让银行安保人员都觉得可笑的访问控制，我们已经制造了一场扭曲激励的完美风暴。

Ryan Goldberg 和 Kevin Martin 的案例并非偶发事件，而是我们选择的行业结构必然导致的结果。

事件响应产业复合体

Goldberg‑Martin 案件的细节读起来像是网络安全专业人士的狂热梦魇化为现实。Goldberg 曾是 Sygnia 的事件响应经理，Martin 是 DigitalMint 的勒索软件谈判员，他们利用内部知识实施了本应受雇来对抗的攻击。在 2023 年 5 月至 11 月期间，他们针对多家美国公司，索要的赎金在 30 万美元至 1000 万美元 之间。

讽刺的是，这几乎带有诗意：那些以清理勒索软件攻击后果为生的网络安全专业人士，决定省去中间人，亲自发动攻击。

但这件事应该让每位阅读此文的 CISO 感到恐惧：他们并非潜入行业的外部人员，而是资深内部人士，完全了解事件响应的运作方式、公司为恢复支付的费用，以及——最关键的——调查的展开过程。他们坐在整个网络安全舞台的第一排。

这不是个人品格的失误，而是结构性的必然。

网络安全专业人才的扭曲经济学

考虑其中的经济激励。一名资深事件响应顾问在勒索软件恢复方面的收费可能是 每小时 300–500 美元。如果他们每周工作 60 小时，承担高压项目，且有幸在顶级公司任职，年收入可达 20 万–30 万美元。

与此同时，这些专业人士目睹勒索团伙在一次攻击中收取数百万美元。他们看到公司毫不犹豫地支付 1000 万 美元 的赎金。他们对哪些安全控制真正重要、哪些只是表面功夫了如指掌。最重要的是，他们明白大多数组织的检测能力极差，取证准备更是糟糕。

数学很简单：为何要花数年时间建立咨询业务，而一次成功的攻击所赚的就能超过十年合法工作的收入？

我们已经形成了知识不对称，防御者清楚进攻有多么利润丰厚且相对低风险。于是当其中一些人做出理性的经济选择时，我们却感到惊讶。

招聘矛盾

网络安全行业面临一个根本性的招聘矛盾，而我们却拒绝正视。我们需要能够像攻击者一样思考的人来构建有效的防御。这意味着要招聘那些对犯罪手法有深入了解，或具备快速学习这些手法能力的个人。

但问题在于：使某人成为有效渗透测试员或事件响应者的心理特质——对系统的好奇心、愿意突破规则、对模糊的伦理边界感到舒适——恰恰也是与内部威胁风险相关的特质。

传统的背景调查在这里毫无用处。大多数网络安全专业人士没有犯罪记录。他们拥有计算机科学学位、专业认证以及前雇主的好评推荐。标准的招聘流程是为发现过去的不良行为而优化的，而不是预测未来对经济诱惑的易感性。

与此同时，我们已经把网络犯罪的研究职业化到前所未有的程度。威胁情报分析师整天在编目攻击方法。事件响应者对勒索软件的部署技术了如指掌。谈判专家学习敲诈的心理学。

我们实际上是在为网络犯罪开设研究生院，却在一些学生将所学付诸实践时表现出惊讶。

Access Controls That Would Make Fort Knox Blush

也许最具说服力的是行业如何处理自家专业人员的访问控制。那些绝不会让初级会计师在没有监督的情况下访问财务系统的公司，却经常授予网络安全顾问对其最关键基础设施的管理员权限。

事件响应团队经常获得域管理员凭证、对敏感网络的 VPN 访问权限以及关键业务数据的副本。其理由总是相同的：“他们需要这些访问权限才能有效完成工作。”但这忽视了一个基本的安全原则：访问权限应当与需求和风险成比例。

对网络安全专业人员的风险评估与其他角色根本不同。腐败的会计师可能会挪用数十万美元。而腐败的安全顾问则可以禁用防御、窃取数据并协助部署勒索软件——单次泄露可能让组织损失数千万美元。

本文的其余部分将继续探讨解决方案、政策建议，以及呼吁行业重新调整激励、收紧招聘实践并实施更严格的访问控制制度。

顶级事件响应顾问可以将整个公司劫持为人质

然而我们的访问控制框架却把他们视作相同的对象。我们给了可能导致灾难性内部威胁的角色最不受限制的访问控制。

信任式妄想

网络安全行业在对待自身从业者时，采用我所称的 “基于信任的安全”。我们假设，只要某人拥有网络安全培训和认证，就可以被信任拥有前所未有的关键系统访问权限。

这种假设违背了基本的风险管理原则。在所有其他高风险行业——金融、国防、制药——访问权限都是基于持续验证，而非初始信任。投资公司不会仅仅相信交易员不会进行内幕交易；他们会监控每笔交易，实施冷却期，并保留详细的审计日志。

然而，网络安全公司经常在几乎没有监督、监控有限的情况下，将顾问团队派遣到客户环境中，授予的访问权限足以让系统管理员羡慕。我们为一个风险极高的行业构建了一个荣誉体系。

Goldberg‑Martin 案例 说明了这种基于信任的模型为何根本失效。两位当事人都有合法的理由访问客户系统，了解勒索软件的工作原理，并且与犯罪组织保持联系（用于谈判）。正是这些访问权限和知识让他们成为有价值的员工，同时也使他们成为完美的内部威胁。

反驳论点：市场力量与职业标准

批评者会认为，市场力量自然会防止此类问题。遭遇内部威胁的网络安全公司会失去客户，甚至倒闭。专业认证和行业标准构建了大多数从业者尊重的伦理框架。绝大多数网络安全专业人士都是遵守道德的行为者，绝不会考虑跨越界限从事犯罪活动。

这些论点是有道理的。网络安全行业确实拥有职业标准，而且大多数从业者真诚地致力于防御而非攻击系统。市场声誉对网络安全公司而言确实至关重要，一起重大内部威胁事件足以导致企业破产。

但这一反驳忽视了问题的规模。网络安全行业的增长速度超过了我们对从业者进行充分审查和监控的能力。技能短缺导致公司更倾向于评估技术能力，而非品格。对犯罪活动的经济诱因增长速度也快于行业构建相应伦理框架的速度。

最重要的是，市场力量只有在问题变得可见后才会发挥作用。网络安全中的内部威胁问题在很大程度上是隐形的，因为成功的攻击往往被归因于外部行为者。到底有多少“复杂的外部攻击”实际上是我们未能发现的内部作案？

对安全合作伙伴关系的意义

对组织在网络安全合作伙伴关系方面的做法而言，这一分析的影响深远。传统的 “雇佣最好的网络安全公司并完全信任他们” 模式已不再可行。

组织需要对网络安全供应商实施与对自身基础设施相同的零信任原则。这意味着：

• 持续监控顾问的活动
• 限时授予访问权限
• 专门针对安全合作伙伴内部威胁的取证准备

更根本的是，组织需要将内部威胁风险计入其网络安全投资的成本。最便宜的事件响应公司可能也是内部威胁风险最高的公司。企业应提出严肃的问题：

• 你们如何在初始招聘之外对员工进行审查？
• 你们进行哪些持续监控？
• 你们如何防止顾问在客户网络中保持未经授权的持久访问？

行业还需要专门针对高内部威胁潜在角色制定的新专业标准。可能的措施包括：

• 在处理勒索软件事件后离开行业前，强制设定冷却期
• 类似金融行业的持续财务监控
• 对与犯罪方法密切合作的从业者进行正式的伦理审查流程

不舒服的真相

网络安全行业喜欢把自己定位为数字经济的免疫系统。但免疫系统也可能出现自身免疫性疾病，攻击本应保护的系统。

Goldberg‑Martin 案例并不是关于坏人做出错误选择的故事。它是关于一个行业构建了根本与自身安全需求不兼容的商业模式的故事。我们创建了需要深入了解犯罪手法的岗位，赋予这些岗位前所未有的关键系统访问权限，然后依赖职业道德和市场力量来防止滥用。这种做法之所以奏效，仅因为行业相对年轻，且相较于其他机会，犯罪活动的经济激励相对有限。随着勒索软件支付额持续增长，网络安全专业人员对攻击方法的理解日益成熟，结构性问题只会变得更加严重。

下一个 Goldberg‑Martin 案例不是 是否 会发生的问题，而是 何时 会发生的问题。当它发生时，唯一可以指责的只有我们自己——我们构建了一个让此类背叛不仅可能，而且不可避免的系统。

问题不在于我们能否信任网络安全专业人员，而在于我们能否信任我们为管理他们而构建的系统。

Tags

• cybersecurity
• insider‑threats
• ransomware
• incident‑response
• security‑industry