安全领域中，并非所有行业问题都是业务问题

不可否认的是，我们所在的领域存在诸多问题。只需参加一次行业会议，或者与五位安全专业人士交流一番，就会很快发现，我们有一大堆事情要做。

然而，我注意到并非所有问题都同等重要，而且在所有这些问题中，只有少数属于业务问题。

那些选择解决广泛行业问题，而非聚焦特定业务问题的初创公司，往往会陷入困境。不过，也有解决行业问题的方法，下面我就来探讨一番。

本次，我尝试了一种不同的方式。不再进行长篇深度剖析，而是就这个话题分享一些简短见解。

两种类型的安全问题

安全问题分为两种类型：行业问题和业务问题。

人们常常将它们视作同类，但实际上并非如此。

01网络安全领域的行业问题

行业问题是安全从业者、大学研究人员和标准机构所关注的严重技术、理念和运营挑战。

当你听到“作为行业，我们应该做X”这样的话语时，那很可能就是一个行业问题。

以下是一些例子：

•不同协议中的内存损坏漏洞

•加密算法中的侧信道攻击

•DNSSEC（域名系统安全扩展）采用不足

•蓝牙配对不安全

•在物联网设备中实施TLS（传输层安全）

•代码的形式化验证

大多数关于协议、标准以及让互联网变得更安全的讨论，都是行业问题的典型例子。

行业问题往往听起来激动人心、意义重大且影响深远。

那些想要有所作为的安全专业人士，会被这些问题吸引，因为它们具有真正的规模效应，并能带来持久成果。

例如，像保罗·C·科切尔（Paul C. Kocher）成为安全套接层（SSL）3.0/传输层安全（TLS）1.0协议的架构师，或者像塔图·伊洛宁（Tatu Ylönen）发明安全外壳（SSH）协议那样，肯定会让人感觉很棒。

这些确实是定义路径（此处双关，既指协议路径，也指发展路径）的创新。并非所有发明者都能重塑互联网的连接和信息交换方式，但所有创新都同样重要，因为它们推动了技术和整个社会的发展。

02网络安全领域的业务问题

业务问题是那些通过影响企业收入（即阻止企业赚钱）或影响企业利润（即导致企业亏钱）来影响企业的问题。

这些问题与组织优先级、监管要求、客户期望或盈利能力紧密相关，并且是组织中有人受激励去解决的问题。

业务问题必须与首席执行官（CEO）、首席信息安全官（CISO）、首席技术官（CTO）、首席信息官（CIO）、首席财务官（CFO）或首席产品官（CPO）等高管所关心并愿意花钱去实现的目标挂钩。

以下是一些业务问题的例子：

•防范勒索软件，以免其阻止公司赚钱；

•实现并保持PCI（支付卡行业数据安全标准）或HIPAA（《健康保险流通与责任法案》）合规，以避免罚款并维护客户信任；

•获得SOC2（系统与组织控制2）认证，以便向企业销售产品；

•为远程员工实现安全访问。

这些问题都以某种形式与金钱直接相关（防止停机、避免罚款、获取并留住客户等）。

这些问题看起来较为小众，因为规模效应并不明显，而且即使是最成功的公司，也可能只影响500 – 1000家企业，很少能影响整个互联网。

此外，从技术角度来看，大多数这些问题都相当枯燥，因为它们不需要太多新奇之处，也不需要突破现有技术的边界。

相反，很多时候只是将已经发明的东西进行改编，以便客户能够轻松采用。

以下是一个快速对比：

为何上述问题很重要

并非所有能够改善我们行业的想法，都适合围绕其创建一家安全公司。

许多对如何改进安全有出色想法的人，如果去倡导新标准、开展非营利项目或开源项目，可能会更加快乐。

那些对推动安全学科发展充满热情的安全从业者，可以找到许多方式来传播架构最佳实践，而不必创建一家公司。

当某个想法与业务问题不契合时，试图将其强行纳入业务结构可能会让人非常沮丧。

我遇到过许多创始人，他们对世界不理解他们的愿景而深感沮丧，而现实是，首席信息安全官们没有时间去构想行业的美好未来。

他们大多只是想确保公司不会在自己任职期间遭遇数据泄露，然后下班后能与家人共度时光。

另一方面，一些在安全领域备受尊敬的人从未创办过公司，但他们以任何产品都无法做到的方式改变了这个领域。

对此的反驳观点是，到2025年，实现持久影响的途径是创办一家公司。

走这条路确实可以提供必要的资金，并加速采用曲线，但许多人踏上这条旅程时并没有意识到其中的代价。

另一方面，许多有潜力赚钱并成为优秀业务的想法，并不会重塑行业。

很多时候，这些想法是通过自动化手动任务和提高人员生产力来为公司节省资金，或者通过勾选正确的合规框，以便公司能够销售产品并赚更多钱。

技术创始人有时会认为，那些看起来技术深度不高的想法“枯燥乏味”，不屑于去追求创新技术，结果却发现别人通过销售看似相当基础的工具赚了更多钱。

这就是业务的本质：人们购买的并非新奇之物，而是能够解决他们问题的东西，而大多数问题其实都相当基础。

总会有例外（算是吧）

对于任何规则，总会有例外，所以总会有一些玩家痴迷于解决行业问题，敢于彻底重新构想问题领域。

至少我们是这样认为的。

这些公司和创始人重塑市场、挑战假设、引入新的思维模式，并教育企业为何他们所看到的问题值得关注。

他们是创造新类别或显著扩展旧类别的企业。

不可否认，这是有可能实现的，但要想做到这一点，仍然需要有一个企业应该关注的原因。

在CrowdStrike和Cylance之前可能并没有EDR（终端检测与响应）类别，但CrowdStrike和Cylance并没有发明这个问题，他们只是让那些不知道这个问题存在的企业意识到了它。

换句话说，他们必须向首席信息安全官们解释，为什么如果他们不采取行动，自己的公司将会遭受重大损失，而不是解释为什么整个行业应该以不同的方式做事。

有些时候，某些东西起初是为了解决行业问题，后来却变成了解决业务问题的方案。

我通常看到这种情况以两种方式发生：

•一种新技术出现，解决了行业问题，从而使得能够创建解决业务问题的方案。例如，WireGuard和eBFP的所有应用。

•一个开源项目开始时旨在解决看似行业问题的事情，但在过程中揭示并解决了业务问题。

归根结底，一切都与激励有关

归根结底，一切都与激励有关，始终如此。

阿德里安·萨纳布里亚（Adrian Sanabria）在我的一篇LinkedIn帖子评论中说得非常好：“这确实是我们行业面临的最大挑战之一——找出那些并非业务问题的关键事项的激励措施。

另一个挑战是：有些行业问题无法由供应商解决，因为没有明确的盈利方式，或者盈利策略会损害目标。

所以我们只能希望MITRE、CISA或一些志愿者努力来解决这些问题。

”这确实是个问题，因为作为行业问题的安全本质上是一种公共产品。

就像所有与公共产品有关的事情一样，除非有活动家关心这个事业，否则很少会有事情发生。因此，就目前而言，我认为我们只能按照阿德里安所说的去做——“希望MITRE、CISA或一些志愿者努力来解决这些问题”。

原文链接：https://ventureinsecurity.net/p/in-security-not-every-industry-problem

文章来源：安在