警惕网络安全的“古德哈特定律”
古德哈特定律是一句格言,经常被表述为“当一个措施成为目标时,它就不再是一个好的措施”。它以英国经济学家查尔斯·古德哈特(Charles Goodhart)的名字命名,他在1975年关于英国货币政策的文章中指出了这句格言的核心思想:
一旦出于控制目的对其施加压力,任何观察到的统计规律都将趋于崩溃。
古德哈特定律在经济学中有广泛应用,例如在理性预期概念中,那些了解奖惩制度的人将优化他们在该制度中的行动以达到他们想要的结果。例如,如果依据每月售出的汽车数量奖励员工,他们就会尝试卖出更多的汽车,即使是亏本。又比如,很多企业虽然在合规审计或SLA指标方面表现良好,但却往往因为低级错误导致重大数据泄露/业务停顿事故。
古德哈特定律催生了两个衍生概念:卢卡斯批判和乔恩·丹尼尔森(Jon Danielsson)的金融风险建模推论。后者指出:
用于监管目的时,风险模型会失效。
有毒的负指标
产品和软件开发领域有个流行语叫“负优化”,但更值得警惕的实际上是“负指标”,后者会造成系统性的风险。硅谷科技圈近年来流行一个“阴谋论”,说OKR和KPI是谷歌这样的巨头在取得垄断地位后发明出来遏制竞争对手的有毒工具。
不可否认,网络安全和其他科技领域一样,“指标化管理”不仅是安全成熟度模型的金字塔尖,也是走上循证科学道路的重要标志。但无论是企业风险管理和网络安全能力建设,在科学化进程中我们也需要格外警惕古德哈特定律。
经济学家霍斯特·西伯特(Horst Siebert)提出的“眼镜蛇效应”强调了“不正当激励”(或者说“安全指标”),将使问题变得更糟。
眼镜蛇效应基于一个真实的故事:在英国殖民时期的印度,由于眼镜蛇造成许多人死亡,英国政府对杀死眼镜蛇实施了赏金计划。于是当地人开始大量饲养眼镜蛇,并杀死它们赚钱。当当局意识到这一点时,他们停止了该计划。眼镜蛇养殖场关闭,农民将眼镜蛇放归野外,眼镜蛇数量成倍增加,因此造成的死亡人数也随之增加。
无论是古德哈特定律还是眼镜蛇效应,都可以用来分析网络安全领域的很多怪现象,例如很多企业网络安全投入越多、工具越多、监管越多,其安全能力并未获得预期提升。
“负指标”和“负激励”的案例在网络安全领域随处可见,例如SOC运营人员批量删除警报来降低“误报率”,或者“告警疲劳”;在恶意软件、勒索软件和威胁情报领域,少数不良企业甚至会“养蛇糊口”。
影响最为深远的案例无疑是GDPR,为了合规并逃避巨额罚款,很多企业不惜隐瞒网络攻击和数据泄露事件,悄悄支付赎金,结果反而成就了勒索软件的繁荣和(全行业)网络安全损失的不断扩大。
“负机制”与“负战略”
网络安全企业的销售们言必称机器学习自动化、零信任、纵深防御、XDR…结果企业客户的核心诉求和痛点反而被忽视。安全企业研发、创业项目和安全投资一窝蜂扎堆热点,结果安全工具五花八门,但企业用户却掉入了“工具陷阱”,工具有效性和集成度都成了吞噬安全预算的无底黑洞,核心关键指标如MTTD、MTTR(平均检测与响应时间)反而逐年下滑。
这个尖锐的矛盾背后,依然有古德哈特定律的阴影:网络安全市场的指标和策略大多基于“工具理性”,但是网络安全外部威胁和内部威胁的主体——黑客和员工,却都是人。
网络安全企业们往往沉浸在Gartner或市场领导者们炮制的安全产品技术分类框架中,开发出了太多让CISO眼花缭乱的产品谱系、技术、指标和框架,但却将“人的因素”,排除在了网络安全实证方法之外。
这就是问题的症结所在:网络安全市场的意见领袖们不仅为客户设置了错误的“负指标”,而且给市场竞争设置了“负机制”和“负战略”,或者说,导致了网络安全资源的无效内卷和内耗。例如,常年困扰安全运营人员的假阳性警报和假阴性警报、人员过劳问题、人均产值偏低、以及网络安全KPI与安全投资和业务目标脱节都是最好的例证。“工具理性”导致人才工具化,而热衷于检测和响应指标导致企业和安全厂商忽视了预测和预防能力的建设,最终导致安全能力的“内分泌失调”。