网络安全怎么脱贫致富？

贫困的定义深深植根于特定的社会与经济背景之中，正如贫困线会被视为生活最低收入水平，其皆因国家的国内生产总值（GDP）及生活成本而异。安全领域亦然，不同行业、国界及企业规模催生了多样化的安全需求，进而导致企业在安全资源投入上的巨大鸿沟。网络安全贫困线，远非购置一套“基础”安全工具所需资金的简单量化，这是因为基本安全需求的构成因具体情境而异。

在当今时代，网络安全市场的蓬勃发展与攻击事件的频发，共同绘制了一幅复杂多变的图景。然而，在这片喧嚣之中，一个常被忽视却至关重要的现实悄然浮现：除却全球前2500至5000强企业及上市公司外，众多企业并未设立专门的网络安全预算。大多数组织往往依赖保险机制来弥补安全知识的不足，或在遭遇入侵时会寻求专家援助与应急响应服务。Hughes表示，众多网络安全供应商，无论其产品还是服务，均聚焦于这一小部分精英客户群体，却忽视了那数以百万计的资源匮乏者，比如中小型企业和众多资源受限的组织，它们正被安全市场边缘化。

网络安全贫困线的阴影远不止于此。Hughes指出，在各类安全会议与活动中，我们不难发现，绝大多数从业者均服务于那些少数精英企业，而资源匮乏的组织则难以触及安全人才与知识。此外，会议讨论的议题也往往聚焦于大型企业的复杂问题，忽略了小企业的实际需求与困境。

过去十年间，众多大型企业已成功构建起坚实的网络安全防线。尽管入侵事件依旧频发，但不可否认的是，攻击者的入侵门槛已显著提升。然而，这一趋势并未能惠及大多数中小型企业，这些组织往往缺乏基本的安全意识与实践，难以轻松获取、负担及采用合适的安全人才与技术工具。

Hughes说，网络安全贫困线问题，不仅真实存在，且其影响日益加剧。世界经济论坛与埃森哲联合发布的《2024年全球网络安全展望报告》指出，网络韧性差异正日益加剧，且能够维持最低水平网络韧性的组织数量正急剧减少。尤为值得注意的是，中小型企业作为多国经济生态的重要组成部分，却正不成比例地承受了这一差异带来的冲击。报告显示，与大型企业相比，中小型企业在维持网络韧性方面遭遇了更为显著的挑战与下滑。

麦肯锡的同一份报告还深入探讨了“中小型企业在网络安全投入上面临的定价不匹配问题”。由于员工基数较小，中小型企业在分摊网络安全工具成本时往往面临更高的负担。“它们要么按员工数量支付高昂的，相对于大型企业而言不成比例的费用（根据工具类型，这一费用可能高出三到五倍甚至更多），要么就不得不放弃某些关键的安全控制措施。这一困境，无疑加剧了网络安全贫困线的严峻性。”

在网络安全领域，我们正陷入一个难以摆脱的困境：无法有效解决网络安全贫困线问题。Hughes表示，这一困境的根源复杂多样，其中安全供应商市场的经济运作及其激励机制是一大核心挑战。

首先，投资者对于专注于中小企业的安全公司持谨慎态度，原因在于这一市场难以培育出高增长型企业。中小企业在预算、部署规模及人才获取方面均存在限制，导致即便它们有能力购买安全工具，也难以充分发挥其效用。

其次，对于初创企业家而言，构建产品往往比提供服务更具吸引力，因为产品能带来更高的利润率和更诱人的退出机会。然而，这恰恰忽略了中小企业和非营利组织对安全服务的迫切需求，它们因缺乏专业安全知识而急需外部支持。

再者，发达国家的安全软件供应商往往将目标市场定位于大型企业，其定价策略使得中小企业及发展中国家客户难以承受。同时，高昂的劳动力成本也迫使这些供应商在定价上做出妥协。

最后，发展中国家在风险投资方面的匮乏进一步加剧了安全解决方案的短缺。缺乏资金支持的初创公司难以在本土市场推出有效的安全产品，也无法充分教育市场认识安全性的重要性，从而形成了恶性循环。

综上所述，Hughes表示：“我们需要重新审视并调整当前的网络安全市场策略，以更加全面和包容的方式解决网络安全贫困线问题。”

而在探讨阻碍有效应对网络安全贫困线挑战的诸多因素时，不得不提到安全人才领域内的复杂状况。具体来说：

此外，Hughes指出，心态问题也是阻碍解决网络安全贫困线问题的一个关键因素。比如：

在美国及其发达国家伙伴中，众多组织正挣扎于网络安全资源的匮乏之中。这些组织广泛分布于中小企业、非营利组织、地方政府机构、市政单位、法院、学校，以及其他大量的运营组织。

Hughes表示，特别值得关注的是，美国的中小企业市场正面临尤为严峻的网络安全挑战。根据美国小企业管理局的权威数据揭示：

尤为重要的是，这些中小企业作为现代数字经济的积极参与者，虽然可能并不直接参与软件开发，但却广泛依赖于各类软件和数字工具来驱动业务发展，同时服务客户，并实现市场价值。因此，保障其数字资产的安全成为了不容忽视的重点。

然而，尽管中小企业市场的重要性不言而喻，但网络安全领域的初创公司却普遍将重心放在了大型企业上。这背后的逻辑不难理解：大型企业面临更为严格的合规要求和监管审查，拥有专门的安全预算，面临更为复杂和独特的安全挑战，且对安全解决方案的部署规模有着更高的要求，这些因素共同促使网络安全初创公司更倾向于开发面向大型企业的解决方案。然而，这种市场导向却加剧了网络安全领域的市场失衡现象，使得中小企业在网络安全防护方面面临着更为严峻的挑战。

Hughes说，绝大多数中小型企业目前正位于网络安全贫困线之下，这导致了他们面临一系列挑战：

此外，美国的地方政府、市政机构，以及法院、学校等公共部门也未能幸免，它们同样生活在网络安全贫困线之下。Hughes表示，这些组织缺乏足够的预算来构建、实施或维护强大的安全防御体系，以保护政府和公民的数据安全。根据2022年全国网络安全审查报告，这些组织面临的主要障碍包括资金短缺、日益复杂的网络威胁、缺乏成文的安全流程、新兴技术的挑战，以及网络安全专业人才的匮乏。令人遗憾的是，这些问题已经持续多年，且随着地方政府遭受的攻击不断增加而变得更为紧迫。

最后，那些高度依赖运营技术的组织，如化学、通信、制造、能源、水务等领域的企业，也面临着同样的网络安全困境。尽管关键基础设施的安全问题备受关注，但这些构成关键基础设施重要部分的组织却往往因为资源有限，而难以应对网络安全的挑战。

到2024年，一个清晰且令人忧虑的现实将摆在面前：非美国公司同样面临着严峻的安全需求，而网络安全贫困线问题在这些地区尤为突出。Hughes表示，回想起一年多前，他曾在《保障发展中国家安全：非慈善，乃责任》一文中指出：“谈及网络安全，我们自然而然地聚焦于美国、欧洲及以色列，特别是美国，这背后有诸多合理的原因，比如数据高企诸多、经济高度发达、企业能负担高昂的保护费用。然而，一个简单的事实却常被忽视：尽管发展中国家在网络安全科研上有所建树，但行业内部的对话与协作却近乎空白，这无疑是阻碍进步的一大障碍。”

据《2024年全球网络安全展望》报告揭示：“拉丁美洲与非洲地区的组织在网络韧性自评中表现垫底，而北美与欧洲则稳居前列。同时，在网络安全韧性不足的组织数量上，前两者同样名列前茅，后两者则相对较低。”新兴经济体会在网络安全领域中挣扎，其源于多方面因素：

“因此，在探讨网络安全贫困线问题时，我们必须将目光投向全球范围内的数十亿个体和数百万组织，而非仅仅局限于美国的小微企业。”

据Hughes介绍，“Trickle-down”网络安全策略具备三个核心驱动力：敌对势力的行为、保险业的规范、政府的监管。它们共同促进了网络安全防御体系的成熟。

其次，保险业在推动网络安全实践方面发挥着举足轻重的作用。作为减少索赔数量和金额的直接受益者，保险公司有足够的动力成为网络安全实践的倡导者。Hughes表示，它们不仅拥有专业的网络安全人才，还能在保单审核过程中深入了解企业的安全状况，以及同行业企业的网络安全实践。这些优势使得保险公司能够为企业量身定制安全改进方案，并通过提高保险准入门槛，间接推动各行业和地区的安全实践迈向更高水平。

另一方面，政府监管在加速网络安全成熟化方面扮演着不可替代的角色。在私营部门追求利润最大化的背景下，政府通过立法手段明确了网络安全要求，为市场创造了新的需求。这种需求不仅激发了安全供应商的创新活力，还促使它们积极游说政府制定更严格的法规和标准。在这一过程中，政府不仅能直接提升上市公司的网络安全水平，还能通过“trickle-down效应”间接促进整个市场安全水平的提升。具体来说，上市公司在遵守严格安全规范的同时，也会对其供应链上的合作伙伴提出更高的安全要求，从而将整个市场的安全水平推向新的高度。

Hughes表示，传统上，对于这一难题的解决策略往往聚焦于基础层面，如加强补丁管理、开展安全培训，并倡导寻找经济实惠的解决方案，与服务提供商合作，以及增加安全预算。诚然，这些建议都自有其合理性，但仅仅向那些难以有效执行这些建议的群体提供指导，恐怕难以带来实质性的改变。这就像是告诉经济拮据的人要“更善于理财”，理论上虽无差错，但在实际操作中却难以产生显著效果。

因此，Hughes认为，作为网络安全行业的从业者，我们更应积极行动，为那些处于网络安全贫困线之下的组织创造有利条件，助力它们提升安全防护能力。“个人认为，通过我们的努力，可以为这些组织铺设一条通往更高安全水平的道路。”以下是Hughes的一些认知。

技术供应商在跨越网络安全鸿沟的征途上，首要之务是打造内置安全特性的产品。无论是像亚马逊、微软、谷歌这样的巨头公司，还是小型SaaS企业乃至自部署软件，均肩负使命，大家要想办法让安全成为中小型组织能够具备的项目。此外，科技公司应设定安全基线，如强制启用MFA、禁用通用密码，以及限制公共访问权限，这可以用来筑牢安全防线。

历经十年磨砺，部分企业与组织已构筑起坚实的安全防线。如今，它们可扮演引领者角色，助力安全资源匮乏的组织踏上正轨。这些组织可通过开源项目分享解决方案，虽需谨慎保护自身安全，但贡献于行业知识库，无疑将加速知识流通，惠及更广泛群体。同时，鼓励安全专家交流心得，打破壁垒，共筑安全生态，对于吸引并留住顶尖人才至关重要。

安全领域的专业人士，可通过多种途径助力网络安全弱势群体。他们可担任顾问，为小企业、慈善机构及非营利组织提供指导；亦可创办专注于特定领域的业务，或投身公益，以专业知识回馈社会。此外，指导并培训行业新人，亦是其不可或缺的责任。

近年来，安全供应商对网络安全贫困问题日益关注。为切实发挥作用，供应商需调整策略，如降低购买门槛、提供自助服务选项，使小型组织也能享受高端安全解决方案。同时，安全供应商可根据地域调整定价策略，提升全球客户的可负担性。此外，为慈善、教育等领域提供免费或优惠服务，亦是其展现社会责任的重要方式。

风险投资家的首要任务是为有限合伙人创造经济价值。然而，在追求利润的同时，他们亦应关注社会责任与长远利益。面对网络安全领域的广阔蓝海，投资者应保持开放心态，发掘并支持那些在安全领域中的创新企业。随着资本的不断涌入，行业将加速成熟，并能为更多组织带来安全保障。

Hughes说，业内专家时常引用数据，勾勒出安全市场的宏大图景及其惊人的增长速度。然而，当我们深入挖掘这一行业的肌理时，不难发现一个现象：安全与需求的匹配近乎一对一，约五千家供应商竞相角逐，目标直指那数量相当的五千余家企业。这不仅是帕累托原则的某种体现，更是揭示了市场格局的失衡：80%的初创企业竭力争取20%的大客户，而正是这20%的客户，撑起了80%的安全市场收益。

尽管前路依旧充满挑战，但作为安全领域中的一份子，我们依然要致力于“让安全成为普遍享有的权利而非少数人的特权”。得益于“Common Good Cyber”项目、网络和平研究所、无国界黑客，以及网络贫困线研究所等先锋组织的努力，那些致力于消除网络安全鸿沟的声音愈发响亮，解决问题的路径也愈发清晰。从思科等大型企业，到大西洋理事会等智库，再到世界经济论坛等国际非政府组织，各方已纷纷达成共识：跨越网络安全贫困的鸿沟，刻不容缓。接下来，关键在于如何将这些共识转化为切实有效的行动，而这正是我们当前亟待解决的问题。