文章总结: 文档介绍了11种通用思维模型在网络安全领域的应用,强调底层逻辑比追逐趋势更重要。包括史特金定律(90%无价值)、帕累托法则(20%控制措施决定80%效果)、边际收益递减、古德哈特定律(指标变目标失效)、切斯特顿栅栏(不轻易移除旧规则)、康威定律(系统镜像组织沟通)、最小努力原则(安全设计顺应人性)、奥卡姆剃刀(简单解释正确)、汉隆剃刀(不归因恶意)、林迪效应(存在越久越有效)、杰文斯悖论(效率提升增加工作量)以及二阶思维(考虑后果的后果)。结论是回归常识,打牢基础。 综合评分: 84 文章分类: 安全意识,安全建设,安全运营,实战经验
网络安全领域的11种通用思维模型:CISO和创始人实用指南
管窥蠡测 管窥蠡测
安在
2026年7月17日 18:34 上海
在小说阅读器读本章
去阅读
在网络安全这个每天都在诞生新概念、新厂商、新威胁的行业里,从业者很容易陷入一种”追逐最新趋势”的焦虑中。今天是零信任,明天是XDR,后天又是AI原生安全——仿佛不掌握这些最新名词,就会立刻被行业淘汰。CISO们在预算会议上被各种”下一代”解决方案轰炸,创始人在安全投入上常常陷入”要么不投、要么乱投”的两极,一线工程师则在海量告警和无休止的应急响应中疲于奔命。
美国网络安全领域资深撰写者Ross Haleliuk在长期观察行业生态后发现,尽管网络空间看起来有其独特性,但那些在其他行业被反复验证的通用法则,在安全领域同样发挥着决定性作用。很多时候,让团队陷入困境的不是技术不够先进,而是缺乏正确的思维框架。Ross表示,当你真正理解了这些跨越领域的底层原则,你会发现它们在安全工作中无处不在,从预算分配到事件响应,从产品选型到团队管理,几乎所有决策都能找到这些思维模型的影子。
一、史特金定律:
90%的东西本质上都没有价值
史特金定律由美国科幻作家、评论家西奥多·史特金提出,核心观点是“任何事物中,90%都是垃圾”。Ross认为,这个定律在网络安全行业体现得尤为明显,甚至可以说,安全领域的“垃圾率”可能比90%还要高。
仔细想想就会发现,我们每天接触的绝大多数安全内容确实价值有限:大部分安全告警最终被证明是误报,大部分威胁情报不过是公开信息的重复搬运,大部分漏洞披露对绝大多数企业来说根本不构成实际风险,甚至大部分安全产品,在复杂的企业环境中能发挥的作用也远低于宣传效果。Ross观察到一个有趣的现象:很多人在社交媒体上抱怨安全产品都是垃圾,但他们没有意识到的是,不只是安全产品如此——绝大多数行业会议演讲都在重复所有人已经看过一千遍的基础知识,绝大多数安全书籍不值得花时间阅读,绝大多数行业通讯也不过是信息的堆砌。
Ross坦言,即使是他自己撰写的内容,遵循史特金定律,可能也有90%是没有太大价值的。承认这个事实并不是悲观,反而是一种解脱。它能让安全从业者放下”必须看完所有报告、必须跟进所有趋势、必须部署所有工具”的执念,把注意力集中在那真正有价值的10%上。成熟的安全团队不是什么都做,而是懂得筛选和取舍。
二、帕累托法则:
20%的控制措施决定80%的安全效果
绝大多数人都知道”80/20法则”,即80%的结果来自20%的原因。Ross指出,这个法则在网络安全领域的契合度高得惊人,甚至可以说,安全可能是帕累托法则体现得最极致的领域之一。
当前全球有超过5000家安全厂商,细分品类超过100个,每年还有数百家新公司带着”革命性”的技术进入市场。但Ross强调,真正决定企业安全水位的,永远是那少数几项基础控制措施。任何一家企业,如果认真做好了资产梳理、多因素认证(MFA)、终端检测与响应(EDR)、边界防火墙、常规补丁管理、数据备份、访问控制,再加上1-2项符合自身业务特点的专项控制,基本上就能达到90%以上的安全覆盖率。
现实中最常见的误区恰恰相反:很多组织在极端小概率的边缘场景上投入不成比例的资源,对那些真正能挡住绝大多数攻击的基础措施却投入不足。Ross在多篇文章中反复强调一个观点:网络安全其实很无聊。今天能拦住新型勒索软件的方法,和五年前能拦住勒索软件的方法本质上是一样的,和十到十五年前能拦住普通恶意软件的方法也没有本质区别。攻击手法在演变,但最有效的防御措施永远是那些朴素的基础工作。
三、边际收益递减规律:
安全投入不是越多越好
边际收益递减规律可以看作是帕累托法则的延伸,但Ross发现,这恰恰是企业创始人最难以理解的一点,而很多CISO虽然心知肚明,却不敢直白地告诉管理层真相。
最基础、最根本的安全投入能够产生巨大的价值,但随着时间推移,每新增一项控制措施带来的安全提升会越来越小。从零到一部署MFA、从零到一上线EDR,这些动作带来的安全改善是革命性的,能直接挡住绝大多数常见攻击路径。但是,当你已经部署了EDR、MFA、网络防火墙、身份访问管理平台、SIEM,以及其他几项基础控制之后,再新增任何安全工具,最多只能让你的安全水平提升零点几个百分点。
Ross特别澄清,这并不是说这些新增的工具毫无价值,而是说它们的投资回报率远不能和基础控制相提并论。很多安全创业公司不愿意承认这一点,他们总是试图向客户证明自己的产品能带来”颠覆式”的安全提升,但实际上,在基础打牢之后,任何单点工具的效果都是边际的。理解这一点,能帮助管理层在安全预算分配上保持理性,避免在”安全感”而不是”实际安全”上浪费资源。
四、古德哈特定律:
当指标变成目标,它就不再是好指标
古德哈特定律说的是:“当一个度量变成了目标,它就不再是一个好的度量。”Ross表示,一旦你真正理解了这句话的含义,你会在安全行业的各个角落看到这个定律在发挥作用。
合规框架就是最典型的例子。理论上,各种合规标准的设计初衷是为企业设定安全基线,框架制定者会研究威胁态势,筛选真正有效的控制措施,然后给出一套实践指南。但现实中90%的情况是,”度量变成了目标”——企业不再思考如何真正提升安全水位,而是想着怎么用最小的成本通过审计、打勾完成任务。合规变成了纸面工作,而不是安全能力的真实体现。
合规只是最明显也最容易被批评的例子。实际上,安全团队内部的很多KPI都在受古德哈特定律的影响:团队为了完成”关闭漏洞”的指标,优先修复那些容易修复的低危漏洞,而不是真正有风险的高危漏洞;为了完成”告警调查”的指标,快速关闭大量低质量告警而不做深度分析;为了”工单清零”,走形式地处理安全问题而不解决根本原因。这些行为在指标上看起来很漂亮,但并没有带来真正的安全提升。
五、切斯特顿栅栏:
在理解原因之前,不要轻易拆除规则
切斯特顿栅栏的原则是:如果一个旧规则、旧策略或者旧设计看起来毫无用处甚至过时了,不要急着移除它。当初设置它的人,可能掌握着我们不知道的信息,或者曾经解决过我们没有经历过的问题。在你彻底弄明白它为什么存在之前,永远不要随意改动现有的规则。
Ross表示,这是每个安全工程师都踩过的坑。几乎所有人都遇到过那种看起来莫名其妙、完全没有存在必要的配置、例外规则或者安全策略,直到有人手贱删掉了它,然后直接搞挂了生产环境,才发现原来那条”愚蠢”的规则是为了防范某个非常特殊但一旦发生就后果严重的边缘场景。
随着AI技术的普及,我们终于有了更好的方式来关联这些上下文信息,在人们做决策时提供历史背景,但AI并不是魔法。如果相关的上下文信息根本就没有被记录下来,那么再强大的AI也帮不了你。绝大多数安全技术债务的存在,背后的原因早就被人遗忘了,这就使得在做任何变更之前充分理解历史背景变得至关重要。成熟的安全团队对待变更永远保持谦卑,不会轻易给历史规则贴上”不合理”的标签。
六、康威定律:
系统设计永远镜像组织沟通结构
康威定律指出,组织设计的系统,其结构必然镜像该组织的沟通结构。Ross认为,这是安全工作面临的最大深层挑战之一。
安全本质上是一个跨职能问题,但安全责任却常常分散在太多不同的团队手中。安全团队负责整体风险管理,但身份变更是IT部门的人在做,云安全控制是基础设施团队在负责,备份恢复又在另一个完全不相关的部门。类似的例子不胜枚举。随着时间推移,组织边界会逐渐演变成技术边界。不同团队使用不同的工具,遵循不同的流程,有着不同的优先级,哪怕他们都在对同一套基础设施做变更。
这一切最终导致的结果就是控制措施碎片化、可见性碎片化、责任归属碎片化。当没有一个人能完整看清整个环境的全貌时,安全必然会出问题。很多企业花大价钱买各种安全工具,却不愿意调整组织架构和沟通机制,最后发现工具根本发挥不了作用——问题从来不在工具上,而在组织架构上。真正的安全可见性,首先是组织层面的可见性。
七、最小努力原则:
安全设计必须顺应人性
Ross观察到一个有趣的现象:安全创业创始人常常不理解边际收益递减规律,总觉得自己做的”酷炫工具”能带来颠覆性改变;而安全从业者则常常在另一个问题上栽跟头——最小努力原则。
简单来说,人、动物甚至机器,都会自然选择阻力最小的路径,也就是需要付出最少努力的路径。Ross经常听到安全工程师抱怨”员工应该有更强的安全意识”,但说穿了,人就是人。如果没有一个好用的密码管理器自动填充密码,人们永远会重复使用密码;如果审批流程太繁琐,人们永远会想办法绕过审批;如果安全工具太难用,人们永远会找到规避的方法。
如果安全控制措施让用户觉得麻烦,用户一定会绕过它们;反过来,如果安全措施毫无摩擦,采用率就会大幅提升。好的安全设计是顺应人性而不是对抗人性——这意味着,要让人们持续选择安全的方式完成工作,安全的方式必须同时也是最便捷的方式。很多安全团队把所有问题都归结为”安全意识不足”,但实际上,绝大多数用户违规行为,本质上都是安全设计的失败。
八、奥卡姆剃刀:
最简单的解释往往是正确的
奥卡姆剃刀原则认为,当一个事件可能有多种解释时,正确的那个通常是最简单的。
Ross指出,安全团队几乎天天都在违反这个原则。看到一个奇怪的登录?一定是高级持续威胁APT。看到服务器行为异常?肯定是精心策划的攻击者在活动。但现实中,绝大多数安全事件最后被证明只是配置错误、忘记下线的测试账号、写崩了的脚本,或者用户做了什么意料之外的操作。
安全架构设计也是同样的道理。我们常常构建层层叠叠的复杂控制、工作流和例外规则,而实际上更简单的设计往往更安全也更容易运维。复杂性本身就是风险,系统越复杂,出问题的地方就越多,可见性就越差,攻击者能隐藏的空间就越大。在绝大多数情况下,最简单的解释和最简单的解决方案,就是正确的那个。优秀的安全团队有一个共同特质:他们永远怀疑”复杂攻击”的假设,先排查最常见的简单原因。
九、汉隆剃刀:
能用人失误解释的,不要归因为恶意
汉隆剃刀的表述是:“如果某件事可以用疏忽充分解释,就不要归因为恶意。”
网络安全行业的整个思维方式都是围绕“像攻击者一样思考”建立的,这当然很重要,但Ross发现,这种思维惯性常常让人们过快地假设恶意意图的存在。很多安全事件并不是高级攻击者造成的,只是员工点错了按钮、开发人员写了bug、管理员配错了系统,或者团队误解了需求。Ross特别指出,虽然安全工程师总爱说”开发不在乎安全”,但实际上软件存在漏洞不只是因为人们粗心大意,更是因为在大规模场景下构建和维护软件本身就是一件极其困难的事。
理解这一点的安全团队,会更少地把精力放在指责人上,而更多地放在改进流程、构建防护栏、设计安全的开发路径上。绝大多数时候,最大的威胁和恶意意图无关,而和人为错误有关。这一点在数据防泄漏(DLP)和内部威胁领域体现得最为明显:99%情况下,系统告警说有人在”窃取数据”,其实只是那个人在正常完成自己的工作而已。
十、林迪效应:
存在越久的方法,未来有效期也越长
林迪效应认为,一样东西已经存在的时间越长,它未来还会继续存在的时间也就越长。对于一个每两年就会诞生一堆”下一代”新概念的行业来说,这个观点听起来有些反直觉,但仔细想想就会发现它非常有道理。
尽管每年我们都在创造新的缩写、新的品类、新的革命性承诺,但看看那些真正持续有效的安全措施,几乎都是已经存在了几十年的老概念。Ross反复强调,安全是无聊的,今天能阻止数据泄露、让企业保持韧性的方法,依然是最小权限、网络分区、资产梳理、强认证与MFA、终端防护、备份、纵深防御这些老东西。这些概念存在了这么久,并不意味着它们过时了,恰恰意味着它们真的有效。一种安全实践经受住考验的时间越长,我们就越应该严肃对待它,而不是总想着用什么新技术去替代它。
十一、杰文斯悖论:
效率提升不会减少工作量,反而会增加工作量
杰文斯悖论说的是,当某件事变得更高效、成本更低时,人们不会减少对它的使用,反而会使用得更多。Ross认为,这是理解AI将如何影响网络安全行业最重要的一个概念。很多人想当然地认为,AI自动化让安全工作变高效了,安全团队的工作量就会减少,需要招的人也会变少。但现实完全不会按照这个剧本发展。
我们早就见过这个模式一遍又一遍上演:存储变便宜了,公司存储的数据反而更多了;计算变便宜了,公司跑的工作负载反而更多了;云基础设施变容易部署了,企业搭建的环境反而更大更复杂了。每一次效率提升,结果都不是消费减少,而是消费增加。
如果AI能让安全分析师处理告警的速度翻倍,公司不会决定只处理一半告警,相反,他们会采集更多日志,开启更多检测规则,调查更多信号。如果AI让漏洞分析变简单了,团队不会停止扫描,他们会扫描更多系统,查找更多问题,分析更多发现。关键在于,AI会帮助安全团队跟上步伐,但它同时也会催生更多需要保护的系统、身份、应用、策略和配置。当安全团队能做更多事的时候,业务方对他们的期望也会水涨船高。
十二、二阶思维:
安全决策永远要考虑后果的后果
在这11个经典思维模型之外,Ross在多次分享中还特别强调了一个他认为被严重低估的思维方式——二阶思维。很多安全决策在一阶层面看起来是对的,但放到二阶、三阶的连锁反应中,可能会产生完全相反的效果。
最典型的例子就是密码复杂度策略。在一阶层面,要求密码必须包含大小写字母、数字、特殊字符,并且每90天更换一次,看起来当然会让密码更安全。但二阶效应是什么?用户记不住这么复杂的密码,于是把密码写在便签上贴在显示器旁边,或者在所有系统使用同一个密码,或者每次更换密码只改最后一位数字——最终结果是安全性反而下降了。这就是为什么最新的NIST指南已经抛弃了这种传统密码策略。
类似的例子在安全工作中比比皆是:过于严格的上网限制导致员工用自己的个人设备处理工作数据,过于繁琐的审批流程导致业务部门绕过IT直接采购SaaS服务形成影子IT,过于严厉的漏洞处罚导致研发团队发现漏洞也不敢上报。好的安全决策者永远不会只看”我做这个动作会直接得到什么结果”,而是会追问”然后呢?人们会对这个措施做出什么反应?这些反应又会带来什么新的风险?”安全是一个系统,任何单点措施都会产生连锁反应,缺乏二阶思维的安全团队,往往是在一边解决问题一边制造更大的问题。
结语
当你真正内化了这些原则,你会开始在安全工作的每个角落看到它们的影子。你会在安全产品和行业会议上看到史特金定律,在少数几个真正有效的控制措施上看到帕累托法则,在合规项目中看到古德哈特定律,在安全责任划分中看到康威定律,在几乎每一次用户和安全系统的交互中看到最小努力原则。
这些思维框架不会告诉你具体应该做什么,不会给你可以直接照搬的配置清单,也不会替代技术学习和实操经验。但它们能帮你更清晰地思考事情为什么会以现在这种方式发生,能帮你避开很多行业里普遍存在的认知陷阱,能让你在所有人都在追逐最新趋势的时候保持清醒。在一个人人都在寻找下一个突破性技术的领域,有时候理解几个永恒的底层原则,比学习最新的热门趋势要有价值得多。
正如Ross常说的那样,无论是在安全领域还是其他领域,趋势都是暂时的,唯有底层逻辑能穿越周期。回归常识,尊重规律,把基础打牢,永远是最可靠的安全策略。
安在企业(用户)会员服务
助力全生命周期安全意识提升
“安在企业(用户)会员服务”,为所有企业提供一站式的网络安全支援服务,包括意识宣传、培训教育、效果检验、专业圈子、知识社区、专业培训、参选评奖等多个板块,助力网安从业者高效履职,实现个人与企业安全能力同步升级。
小投入大防护!安在推出企业(用户)会员服务,点击标题阅读详情。
深度贴合企业不同规模、安全水平投入以及员工安全意识的不同发展阶段,特设5级安全意识培训服务体系,为企业用户量身匹配适配的安全意识解决方案。
本文展示所有类型素材,均包含在企业(用户)会员服务中,如有意向,欢迎垂询。
加入诸子云知识星球
获取更多“安全意识资料”和“网络安全报告”
<
滑动查看下一张图片
>
**END
点击这里阅读原文**
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安在 管窥蠡测 管窥蠡测《网络安全领域的11种通用思维模型:CISO和创始人实用指南》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论