封面图：电影《守望者》，本文译自Hero culture in cybersecurity: origins, impact, and why we need to break the toxic cycle^[1]以下是文章内容：

在2023 年 10 月的 ACoD^[2] 上，在哲学分会场的一个讨论环节中，我们偶然间触及了一个有趣的话题——网络安全领域的英雄主义文化。尽管起初只是闲谈，但这却引发了我对这个主题的深入思考。这篇文章是我与ACoD的与会者Kymberlee Price共同撰写的，旨在更全面地探讨网络安全领域中的英雄主义文化及其相关的一系列问题。

英雄主义文化的定义及在网络安全中的标志

英雄主义文化是指一个公司或某个职能部门由那些极具才华、天赋和实力的人来领导，他们通过超人般的努力或投入大量时间来实现目标。这种情况可能是由于团队缺乏足够的人力资源或适当的知识与技能；无论哪种原因，英雄们都需要承担加倍（甚至更多）工作的压力，以完成必须完成的任务。尽管这种文化具有一定的优势，但同时也伴随着一系列负面影响，不容忽视。

安全英雄是什么样子的？

如果上述描述让您感到似曾相识，那是因为英雄主义文化在网络安全领域中确实非常普遍。该行业的语言和形象都强调了安全专业人士是拥有非凡能力的超级英雄，他们需要拯救地球免受灾难的侵袭。英雄主义文化在安全领域已经变得如此重要，以至于很难找到质疑这种现象的起源和后果的人。甚至连营销团队也受到了这种形象的影响；为了与买家和用户建立良好的关系，安全产品供应商也喜欢强调网络安全从业者的英雄主义精神，这进一步加剧了问题的严重性。

英雄主义文化为何会出现

分析网络安全中英雄主义文化的根源具有挑战性，因为它就像螃蟹进化^[3]一样——许多不同的路径会导致相同的结果。以下是英雄主义文化如此深深植根于安全学科的几个原因，但这并不是一个详尽的清单。不言而喻，这些观点大大简化了现实。

黑客文化起源

网络安全并非始于具有不同资历等级、认证、成熟度模型和会议的专业领域。事实上，信息安全源于黑客文化和盗用电话线路技术的实践，这两者都曾是一种令人叹为观止的科技魔法。热衷于技术的个体会聚在一起，无论是亲自见面还是在在线论坛中，一起研究各种技术，尝试入侵、拆解并重新组装。早期从事安全工作的人士主要受到好奇心和探索精神的驱使。此外，当时还存在着一种友好的竞争氛围，能够解决棘手问题的人 - 即英雄 - 会获得很高的社会声望。大家都渴望成为Leet^[4]。

对手的存在

随着黑客技术的不断发展，这个群体逐渐分化为两大阵营：攻击者和防御者。这两者之间的界限往往并不明确，尤其是在政府制定网络法规方面严重滞后的情况下，以及在漏洞披露和漏洞悬赏制度的发展过程中。无论如何，随着这个群体分化为攻击方和防守方，取得胜利变得越来越重要，并引发了一种基于恐惧的高风险压力反应：如果防御者稍有疏忽，攻击者就可能危害到组织并窃取他们负责保护的数据。

需要依靠“知道自己在做什么”的人

企业花了很长时间才意识到网络安全的重要性，而当他们终于认识到这一点时，又对需要多少安全工程师来处理特定问题一无所知。当时，网络安全知识库几乎不存在，可供遵循的实际标准和最佳实践也寥寥无几。因此，企业别无选择，只能寻找那些“精通安全”并能够在企业中“独当一面”的人才。

在这样一个无组织、无规范的环境中，依赖个人及其解决问题的能力是一个合理的做法。此外，即便行业持续发展，第一批安全框架和最佳实践开始崭露头角，但这些成果主要适用于像微软这样的大型科技企业。绝大多数企业无法将这些“最佳实践”与他们自身的资源状况联系起来，因此他们进一步加大了投入，将棘手的安全问题委托给IT团队，要求他们利用现有资源尽力解决问题。

网络安全与军方之间的特殊关系

网络安全领域英雄主义文化的盛行，还有一个原因是安全领域与军事情报机构的特殊联系。由于政府掌握了强制力量，因此最尖端的攻击性网络安全技术往往在军事情报机构中得以开发、测试和应用。

网络安全领域从军事领域借鉴了许多经验。例如，该行业采用了军事化的安全运营中心人员配置模式（分级分析师模型），安全从业者常常因为在服务中表现出色或在黑客大赛中获胜而获得奖章和奖牌。有人认为，安全行业对缩写的热衷也源于军事领域。最重要的是，网络安全领域吸引了大量退役军人。曾在军队服役的人们为这个领域带来了强烈的使命感，这也是网络安全职业的一大特点。

需要依赖那些“熟悉业务”的人（是的，再次强调）

由于早期的小型专家团队通过全身心地投入工作来证明自己的价值并取得了很多成果，许多公司开始围绕这种行为来构建人力资源模型。看到这些团队的高效表现，以及拿工资的安全从业者愿意加班以确保安全工作得以完成，这些公司开始放心地让安全团队人手不足，尽管他们一开始对这些团队的人员需求并不了解。原本是企业节省成本的自然愿望，结果却演变成了安全团队资源不足的顽疾。

当今网络安全行业的心理学

近年来，我们开始关注网络安全领域的心理健康问题。这在很大程度上要归功于一些倡议，如“心理健康黑客”（Mental Health Hackers^[5]），这是一个由Blumira公司高级安全架构师Amanda Berlin领导的社区项目。同时，也要感谢Stacy Thayer博士等研究人员的贡献，他是一位网络心理学教授，主持了“网络心理学”播客，并曾担任SOURCE波士顿安全会议的创始人。他在安全会议上发表了关于职业倦怠危害的演讲。

将网络安全比作老虎机

尽管网络安全领域的心理健康问题已不再是什么禁忌，但仍有部分话题鲜有人提及，如在心理和生化层面上，网络安全某些领域与赌博成瘾的相似程度。无论是在强迫性追求上，还是在间歇性中大奖时所释放的强大多巴胺奖励上，两者都有共同之处。关于游戏化的问题，也有一些讨论，如Kymberlee Price在2017年的一次演讲中谈到了操作性条件反射以及间歇性强化对行为产生的成瘾特性。

Per Binde是瑞典斯德哥尔摩大学社会人类学副教授，自2001年以来一直致力于赌博研究领域，是该领域的全球领军人物之一。2013年，Per在国际赌博研究杂志上发表了一篇题为《人们为何赌博：一个包含五个动机维度的模型》^[6]的文章，探讨了促使人们参与赌博的原因。根据这篇文章，赌博的四个可选动机如下：

• 一夜暴富的梦想
• 社交奖励
• 智力挑战
• 情绪调节
  第五个动机 - 赢钱的可能性 - 对于赌博至关重要，因此必须始终存在。

人们为什么赌博：具有五个动机维度的模型

在老虎机赌博和寻找恶意行为之间找到相似之处并不困难 - 威胁狩猎和应急响应。这两种活动都遵循相同的心理模式：当人们偶尔在老虎机上获胜时，他们会体验到多巴胺的间歇性增加。因此，他们必须不断地检查日志，因为或许，仅仅是或许，他们会幸运地找到敌对行为的迹象。而且，如果他们今天没找到，那么明天他们可能会走运并赢得大奖。在经历了几个不眠之夜试图找到恶意活动的迹象之后，人们终于找到了他们一直在寻找的东西，这导致了内啡肽的激增，使他们继续寻找更多的线索。由于安全专业人员偶尔会发现他们在寻找的东西，这种行为得到了加强，一个新的周期开始了。

维基百科将这种循环称为“强制循环或核心循环”，定义为“用户为继续进行活动而重复的习惯性行为链。通常，这个循环的目的是在使用者体内产生神经化学奖励，例如释放多巴胺”。同一页面解释道：“强制循环被有意地应用于视频游戏设计中，作为玩家的外部激励，但也可能由其他产生此类循环的活动引发，无论是有意还是无意，如赌博成瘾和网络成瘾障碍”。

图片：网络安全中的强制循环

还有其他因素使得查看日志变得容易上瘾，其中许多因素在老虎机赌博中都能找到对应的现象：

• 接近失误 - 在赌博中，输的情况被赌徒认为是接近胜利的。在威胁狩猎中，这些情况是指那些看起来几乎像是恶意行为的事件最终被发现其实是有无害的起源。
• 高事件频率 - 对奖励敏感的人通常会被快速进行的游戏所吸引。网络安全领域拥有海量的日志和检测数据，每一个都可能预示着对抗行为，为形成成瘾行为创造了绝佳的条件。
• 幻觉控制 - 认为技能可以影响随机或偶然事件的结果。在很大程度上，网络安全领域确实如此，然而，没有人能够确切地预测公司何时会受到攻击，攻击者会采用什么方法等等。
• 预期 - 正如国家医学图书馆的特色文章《Jakob Linnet》所解释的那样，“多巴胺对奖励和不确定性的预期可能代表一种功能失调的奖励预期，尽管有损失，但它加强了赌博行为”。在网络安全中，对发现对手迹象的预期加强了浏览更多日志的欲望。
• 注意力偏差 - 国家医学图书馆的另一篇文章解释道，相对于非赌博刺激，无序赌徒往往表现出对赌博相关刺激的过度关注。

问题并不在于威胁狩猎和应急响应会让人上瘾（这只是个科学事实）。问题在于，无论是有意还是无意，企业已经开始学会利用并加强这种英雄主义行为。

如何加强英雄主义文化

我们已经探讨了英雄主义文化是如何形成的，以及成瘾的原理，但在日常工作中，英雄主义文化是如何得到加强的呢？对于员工而言，这可以归结为三个基本原则：

身份：“如果不是我，那是谁？”

这个领域中许多从业者所展现出的使命感，可以说正是我们的数字基础设施至今尚未给我们带来灾难的主要原因。从历史上看，很少有公共和私人机构在网络安全领域投入足够的资金，许多关键工作都是由那些尽管无法获得经济回报但仍然想要做正确事情的人来完成的。

虽然这确实是事实，但这种使命感也有其阴暗面。在这个行业中，我所遇到的很多人，他们的整个身份都被他们在网络安全领域的工作所定义。无论是公共部门还是私营部门，都在近乎一致地强化这个问题，他们使用强调使命感的军事和超级英雄语言，并将其发挥到极致。诸如“我在拯救世界”、“如果不是我，还能是谁”、“为了更大的利益，我必须牺牲一切”、“能力越大，责任越大”以及“我们是最后一道防线”等说法非常普遍，以至于我们不再质疑它们是否合适。当那些首先将自己视为某家公司的安全专家的员工被解雇时，他们会发现很难重新站起来。由于无法迅速更新简历并寻找新的职位，许多人不得不重新思考自己的身份，因为如果他们不是某个公司的员工，那么他们到底是谁呢？

归属感：寻求接纳和认可

从历史上看，安全团队一直被视为组织其他部门之外的存在，他们的贡献在很大程度上没有得到足够的重视。与软件开发人员或设计师不同，当他们的作品被公司客户使用并产生收益时，他们会感受到成就感。然而，除了部分安全工程师之外，大多数安全从业者却无法自豪地向朋友展示他们的工作成果。安全团队通常被视为“唱反调的部门”和让每个人生活变得更加艰难的业务职能。因此，在这些领域工作的人们并没有（在许多地方，仍然没有）因其辛勤工作而得到应有的回报和认可。

大多数人希望知道他们的工作有意义，并且对公司产生积极影响，安全专业人士也不例外。由于他们仅在诸如长时间工作应对突发事件、处理大规模安全漏洞等英勇行为时才被人们关注和认可，因此英雄主义文化在安全团队的现实中占据重要地位就不足为奇了。

安全专业人士长时间工作，但由于工作量永无止境，且公司其他部门不庆祝安全团队的里程碑（与产品发布、收入和增长目标等形成鲜明对比），员工很难在工作中找到自豪感。为了弥补这一不足，他们专注于实现个人目标——学习认证、参加CTF比赛，或寻求其他方法来感受进步，巩固在社区中的地位。网络安全可以说是唯一一个私营部门行业，你可以在这里找到越来越多的奖章、挑战币和其他奖项。特别是挑战币，它们是安全领域独有的。它们源于古老的军事传统，通过军事与黑客社区之间的紧密联系，最终被安全领域所采纳。由于挑战币基于优点和个人成就，因此对于全球许多安全从业者而言，拥有它们是一种自豪。

这个例子很好地展示了网络安全社区如何努力表彰优秀，不仅创造了一种奖励成就的方式，还构建了一个同行网络，人们可以在这里分享知识、相互学习新技能，并获得工作场所无法提供的支持。然而，尽管这些认可形式各自都对安全社区产生了积极影响，但当它们共同存在时，竞争文化和成为第一以及超越同行的驱动力加强了之前讨论的英雄主义文化。此外，经常讨论的冒名顶替综合症正是那些未能被社区视为英雄的人们每天必须面对的问题。

恐惧：生活在对失败的持续恐惧和对完美的追求中

网络安全从业者不断面临失败的恐惧。由于攻击者全天候试图入侵公司环境，他们迟早会成功，这几乎是不可避免的。一旦发生这种情况，安全团队成员的激情与付出、几周前团队度过的无数不眠之夜都将被遗忘，只剩下最近发生的安全事件。

这一切导致了对安全团队的期望：他们必须始终保持完美。如有任何疏忽，安全团队往往会受到指责，即便未受指责，他们也通常需要加班应对危机。这使得安全从业者对他们所做的每一件事保持高度警惕，并激发了不合理的行为。例如，当软件工程师收到一份包含数千个需要修复的漏洞的清单时，由于每个漏洞都可能被攻击，而人员不足的安全工程团队无法对所有漏洞进行全面分析以排除误报。

英雄主义文化也被企业所推崇

企业也可能存在赌博心理，在这种情况下，拿风险做赌注的是公司高管和董事会。由于风险本身具有模糊性，人们总是心存侥幸地认为公司可以在不投资安全的情况下度过另一个季度。这里的问题是激励协调。当安全漏洞不可避免地发生时，拒绝CISO预算要求的高管并不会失业；相反，往往是CISO被撤换。

从商业角度来看，当企业低估安全团队时，会产生哪些后果？在本财年，是否会发生不好的事情？事实证明，企业在改变现状方面并没有足够的实际动力。例如：

• 假设我们认同英雄主义文化会导致糟糕的安全状况，但考虑到安全漏洞导致的后果是每季度收益平均下降7.5%^[7]，那么本季度是否有动力加大对安全措施的投资？推迟一个季度或两个季度可以节省多少成本？
• 如果安全团队要求400万美元的年度预算以防止理论上可能发生的940万美元损失，我是否认为自己足够幸运，认为漏洞至少在未来三年内不会发生？如果我赌对了，公司在被迫进行安全投资之前不进行投资，从而节省了资金，这些资金可以用于增长计划或提高股东价值。当安全领导者和从业者每周工作60-80小时来保护其所在组织时，他们实际上在为企业提供免费劳动力，从而助长了雇主对风险的赌博心理，进一步促使企业忽视安全，并且在安全事件迫使他们采取行动之前，保持对网络安全的投入较低。在决定投资安全多少时，公司高管主要考虑的是风险和季度收益之间的权衡。这个过程中并未考虑到安全领导者和从业者，他们不得不加倍努力（甚至更多）来应对安全事件。

英雄主义文化的总体影响

我无法评估英雄主义文化带来的益处与其对人和企业造成的严重损害之间的对比。真正的衡量标准不能仅基于社群的感受；根据审视这一问题的人员及其生活或其亲人的生活受到的影响，这个等式会有所不同。关于英雄主义文化现象和由此产生的网络安全领域职业倦怠对商业的影响，目前尚缺乏充分的研究，但我们可以通过研究急诊医学专业人士职业倦怠的影响来开始了解这一现象。

此外，英雄主义文化为世界各地的人才敞开了大门，不论他们来自何处、口音如何以及他们在培训上投资了多少，都可以凭借技能和实力获得尊重和认可。关键在于个人愿意付出的努力及其在技能方面的造诣。

另一个优势在于，在真正的安全紧急事件中，拥有擅长应对危机的人员对于防御行动来说是巨大的财富。

然而，英雄主义文化也为员工及其雇主带来了许多负面影响。

1. 英雄主义文化使企业能够避免为其安全团队配备足够的人员（既然安全从业者无论如何都会无偿每周工作70个小时，为何还要花费金钱雇佣更多员工呢？）。当企业低估其安全团队时，非强迫性错误会增加。在产品和IT安全保证方面，人员不足的团队可能没有足够的时间对部署的每个新功能或应用程序进行威胁建模和安全测试，从而导致攻击面扩大。这意味着安全响应团队需要应对更多领域。安全攻击是不可避免的，但在资源不足且过度扩展的团队中，预防和恢复会变得更加困难，这样的团队可能会忽略关键问题区域并犯错。
2. 英雄主义文化破坏了企业的人事结构。通过纵容人员不足，英雄主义文化间接导致团队无法适时吸纳初级员工，只能为有经验的求职者提供职位，这些求职者能够“立即投入工作”。然而，有经验的安全人才在市场上供不应求，并且薪资要求高，因此这个职位可能持续数月空缺，而团队依然人员不足。当招聘经理确实提供了“早期职业”岗位时，他们往往对初级应聘者抱有不切实际的期望，认为他们是全身心投入安全的超人，拥有25个证书，并在简历上列举了大量技能、工具和技术，而不是聘请具有潜力的求职者并帮助他们成长。
3. 英雄主义文化在很大程度上引发了安全领域的职业倦怠、成瘾行为以及其他现象。当人们将自己的价值与工作挂钩时，这会改变他们的自我认同感，降低他们应对现实生活中的挑战的能力。职业倦怠的员工会请更多的病假，团队士气下降，并可能因为其他公司提供更为健康的工作环境而选择离职。
4. 英雄主义文化不利于形成团结的企业氛围，因为它在安全团队和其他员工之间制造了一种“我们对抗他们”的心理。乔治·桑福德在其关于这一主题的演讲中指出了英雄主义文化损害安全的另一个原因。英雄需要反派角色，这导致安全团队与对手以及他们负责保护的对象保持距离。将组织内的每个人都视为“安全链中最薄弱的一环”，会产生“我们对抗他们”的心态，使安全部门孤立为一个特殊的业务职能，拥有神圣的知识，并有权批准其他部门的工具、工作流程和流程。
5. 英雄主义文化往往加剧安全团队对完美的不现实期望，防止工程组织出现任何可能的失误。因此，他们走向了另一个极端，变成了“不允许之屋”。没有人喜欢一直被否定，因此组织内的人会绕过安全限制并回避安全团队，从而导致更多风险被忽视，并延续英雄主义文化危机。
6. 最后同样重要的是，英雄主义文化鼓励安全团队成员囤积知识，并力求展现自己的伟大形象，而非作为团队协作。这导致了所谓的“聪明混蛋”的出现——与他们合作非常困难，但由于他们所带来的知识和经验，他们得到了包容和奖励。

企业没有投资于壮大安全团队、优化实践和提高工具水平，而是依赖于安全团队自愿长时间工作、牺牲工作与生活平衡来保障公司的安全。自然而然地，员工捍卫组织、寻找恶意行为迹象的热情产生了一种使命感，从而助长了行业内的英雄主义文化。

迈向未来

我不知道如何比较英雄主义文化的好处和它对个人和企业的严重损害成本。真正的数学不能在社区感情的层面上完成;这个等式看起来会有所不同，这取决于谁在研究这个问题，以及他们的生活或他们所爱的人的生活如何受到它的影响。关于英雄主义文化现象的商业影响以及由此产生的网络安全倦怠，根本没有进行足够的研究，但我们可以从研究倦怠对急诊医学专业人员的影响开始。

那么，我希望我们能从这里去向何方？

在未来，我最希望看到的是有更多基于数据的研究和讨论，探讨英雄主义文化不仅对安全专业人员的健康，而且对企业保护客户数据的能力所产生的影响。到目前为止，我只找到了两场关于这个主题的演讲，都是乔治·桑福德（George Sandford）发表的（您可以在Diana Initiative 2023会议上观看他的演讲：“别被斗篷绊住：英雄主义文化对网络安全的消极影响^[8]”）。我们需要更多关注这个问题——更多相关研究、数据和讨论。

在过去，安全被视为一门深奥的学问，企业雇佣英雄并期望他们竭尽全力保护公司安全是合理的。如今，我们已经积累了丰富的知识基础，正式确定了诸多实践方法，并为知识共享开辟了诸多渠道，例如行业会议、信息共享与分析中心以及网络安全与基础设施安全局等。我们应该继续为招聘、培训和提高人才技能、评估安全状况、组织间相互基准测试等方面建立制度和流程。正如谚语所言，过去成就我们的因素无法保证我们未来的成功。目前，英雄主义文化正阻碍着行业的进步，这正是我们需要摒弃它的原因。

第三，企业需要继续投资于安全。到2024年，考虑到安全从业人员的工作时长，目睹他们工作过度、过度疲劳以及由此导致的低薪现象将不再被接受。企业削减原本就资源匮乏的安全团队的情况屡见不鲜，期待留下的员工接手同事的工作，承担相同的工作量，但资源却更少。为了更容易地证明在网络安全防护上投入更多资金的价值，行业需要继续从基于承诺的安全转向基于证据的安全。当前面临的挑战之一是，很难用实证方法证明投入更多资金或购买额外工具将对企业的安全状况产生实质性影响。随着行业的发展，我相信传达安全价值的难度将逐渐降低，更多企业将把安全视为业务推动力、竞争优势差异化因素以及股东价值保护者。

改变这种有害的关系需要时间。安全专业人士需要支持，以摆脱工作成瘾，发展可持续且充实的工作生涯，而不是像黑洞般耗尽他们的全部精力。企业需要在预测风险博弈的成本方面付出更多努力。除了减少错误并增强业务连续性之外，增加安全团队的人员还将为您的组织提供喘息的空间，以便雇佣一些初入职场的安全人员并加以培训——经验丰富的安全专业人才供应的增加将提高企业的业务韧性，改变高素质安全专业人才的供需招聘经济学，并使您的安全人员支出更加稳定。