稳扎稳打的安全：龟兔赛跑的教训

通过关注基本面，机构可以避免炒作的干扰，并构建长期一致、具有弹性且有效的安全计划。

伊索寓言《龟兔赛跑》在网络安全方面可以给我们很多启示，尤其是在当今这个匆忙的时代。这个故事的寓意是：“稳扎稳打，方能成功”。或者，换个角度来看，看看词典是如何定义“稳扎稳打，方能成功”的：“持续有效的努力才能带来成功。”

对于这一观点，我非常赞同。将这一理念内化，可以帮助企业安全团队和安全供应商更加成熟，并以更务实、更具战略性和更有效的方式行事。

在安全领域，我们似乎总是面对着各种新奇现象、流行风尚和被过度炒作的话题。与此同时，似乎还有无数的“专家”随时准备向我们灌输“革命性的威胁格局”和我们显然现在所处的、必须接受的“新现实”的恐惧。事实上，我们的安全领域令人分心的因素实在不少。

我们中的一些人可能已经意识到，在自己的领域中，分心的诱惑几乎无时无刻不在。那么，我们该如何避免落入陷阱，屈服于这种诱惑，被层出不穷的干扰牵着鼻子走？或者换句话说，我们该如何将时间和资源合理地投入到那些可能带来价值和回报的领域呢？

首先，我建议问自己几个问题：

· 那又怎样？要求我关注的这个新事物实际对我有何意义？它会对我所在组织的安全状况产生哪些负面影响？

· 这会给我的组织带来风险吗？如果这个新事物几乎肯定会给组织带来额外风险，这可能意味着它值得投入精力关注。关键在于客观评估该风险及其影响，而非让炒作主导风险评估。完成风险评估后，团队应依据数据制定应对策略。

· 这会融入整体工作流程吗？若这个新事物确实会带来风险，它很可能最终将被纳入常规安全运营。我们需要规划如何降低风险、确保合规性，并开展与此相关的日常安全任务。正如多年来许多真正的新事物一样，它终将成为我们整体安全战略与规划的一部分。

有了这些问题的答案，现在是时候回归安全的基本原则了。即风险、策略、目标、工作流程、流程与程序、合规性和运营。

· 风险：世界上发生着各种各样的事情，但除非某些因素开始对企业产生风险影响，否则很难投入大量精力去应对。然而，如果某些因素对风险的影响能够客观量化，那么很快就到了接受该风险或制定缓解计划的时候了。

· 策略：所有成功的安全团队都遵循着一套稳固的安全策略。虽然策略会随着风险和威胁的演变而不断调整，但不应仓促调整，更不应在短时间内发生。如果新情况需要彻底改变安全策略，则表明策略可能被夸大了。好消息是，一套完善的安全策略可以进行调整，以稳定、系统地应对几乎任何新出现的情况，前提是这些新情况是真实存在的。

· 目标：执行可靠的安全战略需要设定并实现可实现的目标。如果一项最新举措需要立即重新设定和重塑大量目标，则可能被过度炒作。真正的目标并不需要彻底颠覆世界。相反，它可能需要以非常合理的方式调整目标。

· 工作流程：安全工作流程是安全团队不断完善的，旨在提高生产力、消除瓶颈并更好地保护企业安全。随着新环境的上线、新的日志记录源的出现、监管要求的变化、战略重点的演变以及其他原因，工作流程可能需要不时进行修改。但工作流程不应在短时间内被彻底颠覆。如果发生这种情况，则可能表明炒作胜于实质内容。

· 流程和程序：流程和程序不仅指导安全团队的行动，还能帮助记录和确定企业战略上最重要的事项的优先级。如果安全团队突然发现自己严重偏离了流程和程序，这可能意味着最新的潮流有点被过度吹捧了。

· 合规性：合规性或许并不引人注目，但它的重要性显而易见。当最新事物真正落地时，很可能会产生合规性影响。当然，这些问题需要得到解决。但是，如果某个话题引发的讨论似乎远远超出了其实际合规性影响，那么这很可能表明讨论过度了。

· 运营：安全运营是安全项目日常运作的核心。我从未见过哪个安全团队在安全运营方面人手过剩，因此，确保团队成员专注于重要且能带来增值、能够有效利用时间的活动至关重要。如果最热门的新兴事物将宝贵的资源从这些重要活动转移到其他价值微薄、无法改善组织安全态势的活动上，这对企业来说可能非常危险。这是炒作对企业造成的非常危险的后果。

评估不同事项的相关性，可能有很多方法。通过退一步思考，提出一些问题，并专注于核心安全原则，安全团队可以避免追逐那些最终被过度炒作的事物。我将留给读者自行思考，哪些引人注目的话题值得投入大量时间，哪些话题可以安全地远程监控或者完全忽略。