分享

这两天读到著名安全专家Dan Geer的文章 – “Nothing Ventured, Nothing Gained”, 里面有几点很有趣的地方，忍不住和大家分享一下。

1 Dan创造了一个“新颖”的价格指数 – 安全价格指数C-SPI。大家在媒体上已经对消费价格指数CPI和工业价格指数PPI很熟悉了，也知道它们正在天天悄悄上涨，侵蚀大家辛苦赚来的辛苦钱。 这个安全价格指数是什么呢？参看右图。大家都知道有个叫做灰色市场或地下市场的地方，在那里有很多新奇的商品，有信息数据服务，比方说电子邮件地址了、电 话号码、信用卡号、银行账号什么的；有信息发送业务，例如发送垃圾邮件、垃圾短信什么的；有情报业务，例如0-day漏洞什么的；也有较为凶悍的，让 Yahoo, Baidu什么的服务中断多长时间什么的… 在Symantec、McAfee、IBM/ISS等的全球威胁报告中也经常发现关于该市场的报告。可是Dan的这个C-SPI让人感受到专家和学问的力 量。 看看右图，这个指数在悄悄的上升中。价格上升有多方面的原因，除去像中国房市价格这种“观赏勾结浪倍维艰”非市场因素之外，笼统的说，就是供需关系：

• # 很多个人或组织大量涌入该市场，寻求数据情报服务等，导致供不应求，价格上涨
• # 数据情报服务提供者们手中的“产品”生产不够快，成本上升了，或者由于防守一方进步了，或供应链上的从业者减少，或…，或…

尚不清楚Dan统计更新该指数的具体方法和模型，只能就事论事地看一下。总之，价格上升可能导致利润增加，从而刺激该市场的生产和供应，从而引起社 会政府组织个人等的更大损失忧虑担心等，从而引起安全投资的增加，从而引起该市场的“成本”进一步上升， 价格C-SPI继续上升。这个模型会导致正反馈-“自激”吗？原则上说，法律法规管制等是抑制正反馈-“自激”的衰减因子。

2 Dan发现近来网络安全业界获得的投资在大幅减少。一位在投资界做高管的同学也证明这个现象，很多投资人都不愿意继续投资网络安全这个行业，认为这个行业 的投入产出不够理想，甚至这个行业的业务模型就有问题 – 因为网络安全几乎总是被动地应战。文中有几个数字：企业IPO的时间从2000年的4.9年上升到了目前的8.4年（这里的IPO也包括了被购并）；并且 投资收益率也明显下降。另外一位业界名人 -Rich Mogull在一篇引起很多争议的博 客帖子中认为“安全创新”没有了市场。但是Adam Shostack (New School of Information Security的作者)表达了不同的看 法 – 并不是安全创新没有了市场，而是这些创新需要证明自己，市场需求当然是存在的。Adam一直批评当前安全业界的“最佳实践”太缺少数字和事实做支持，呼吁 政府和业界致力于数据分享和基线库的建立等。就目前这个上下文语境来说的话，我个人比较赞同Adam的观点。

这个关系乎整个行业的前途的争论马虎不得，很多名人专家都发表过自己对于行业未来的看法。一个比较基本的观点是，类似于当前的健康行业、保险行业和古老 的保安行业，网络安全会一直发展下去，能够不断地证明自己价值、区分开自己的技术创新将会带来毋庸置疑的市场价值。

把1和2放在一起，我们能分析得到什么吗？能帮助看清这个迷雾吗？

喜欢阅读或收藏原文的朋友，请点 击下载。

分享