为什么网安行业特别喜欢用缩略词？

在埃隆·马斯克还以创立SpaceX和特斯拉闻名，而不是作为唐纳德·特朗普最信任的顾问之一时，他就曾经严厉警告员工不要过度使用缩写词。

2010年，马斯克向员工发送了一份备忘录，内容如下：

"SpaceX有一种使用自创缩写词的蔓延趋势。过度使用自创缩写词严重阻碍了沟通交流……没有人能真正记住所有这些缩写词，而且人们在会议上不想显得愚蠢，所以就只能一直懵懂地坐在那里……这种情况必须立即停止，否则我将采取果断行动……如果现有的缩写词无法合理地证明其存在的必要性，就应该按照我之前的要求将其清除。"

这可能看起来有些强硬，但不可否认，科技行业过度使用缩写词确实会成为清晰简洁沟通的重大障碍。在这个要求理解和透明度的高风险行业中，这种情况尤其令人担忧。

APT、CTI、DDoS、EDR、IAM、MDR、MSSP、SASE、SIEM、SAT等、RaaS、OpSec、SOC、SOCaas、DevSec、DevOps、DevSecOps、DFIR、SAST/DAST、NHI、GDPR、CISA、HIPPA、CVSS、SSO、2FA、MFA，这样的列表还可以一直列下去。首席信息安全官（CISO）和其他网络安全专业人士可能立即就能理解这些缩写词，但同样也有很多人可能会一头雾水，特别是公司新人或行业新手。

还有发音问题呢？问问你那位CISO同事他们是如何发音的。是"siss-oh"？"See-so"？还是干脆把每个字母都读出来"C-I-S-O"？SIEM呢？是读作"Seem"？"See em"？还是"Seye em"？

如果你不相信网络安全行业充斥着太多缩写词，可以看看GitHub上这份庞大的精选清单(https://github.com/cloudsecurelab/security-acronyms?tab=readme-ov-file)，里面列出了目前使用的缩写词。这种现象如此普遍，以至于网络安全专业人士偶尔会在工作中对此做出调侃，比如安全开发者Victor Alvarez开发了一个恶意软件检测工具，并将其命名为YARA。"YARA：要么是'又一个递归缩写词'，要么是'又一个荒谬的缩写词'。你来选择吧，"Alvarez在X平台（原Twitter）上这样解释他的命名方式。

过多的缩写词可能在最糟糕的时候拖累工作效率

想象一下，当一个组织正在经历大规模黑客入侵或安全漏洞时，员工或客户不得不疯狂地用Google翻译公司的电子邮件、备忘录或危机应对计划，这会拖慢响应速度。

当这些缩写词不可避免地渗透到网络安全公司的对外营销或传播工作中时，几乎可以肯定会导致公众对那些可能对人们生活和商业行为产生深远影响的问题和创新视而不见。随着人工智能（AI！）和机器学习（ML！）技术的发展，以及新缩写词的不断涌现，这种情况尤为明显。

缩写词有时也会带来令人尴尬的现实含义——比如说销售点（point of sale）这个词。当缩写为POS时，可能会让人觉得这东西……嗯，很糟糕。

我是The Conversation（一个全球性在线新闻机构）的编辑，负责编辑学者撰写的文章，包括网络安全学者的文章。这么说吧：许多学者，不管他们的专业领域是什么，都倾向于使用缩写词而不是完整的短语。这意味着我们的文字编辑工作经常需要把缩写词拼写出来或删除，这让一些作者很不高兴。毕竟这些缩写词可能是他们自己创造的，他们对此还挺自豪的。

什么时候可以使用缩写词？

我们的经验法则是，除非是众所周知的缩写词——比如IT、WiFi、FBI、NATO、CEO、CNN——否则都不应该在文章中使用。如果人们在对话中不使用这些缩写词，就应该避免使用，即使是重复提及也应该完整拼写出来。

显然，包括CSO Online在内的科技组织和出版物都有自己的风格指南，详细说明哪些缩写词可以接受。但作为一般规则，在书面交流中宁可把词语拼写出来也不为过，特别是在首次提及时。

为什么我们要使用缩写词？

那么，是什么导致我们倾向于把术语缩短成一堆常常让人难以理解的缩写词和简称呢？

西蒙弗雷泽大学（位于不列颠哥伦比亚省本拿比市）创新和运营管理教授Ian P. McCarthy表示："一方面，使用缩写词、简称和行话是为了实现交流的简洁、标准化和效率，所以如果一个行业充满复杂的技术术语，就很可能会充斥着缩写词。"

"但由于交流有助于定义一个行业的身份和专属性，因此一个行业使用缩写词是一种精英主义的表现，它选择和限制了谁能在这个行业中发挥作用。使用缩写词表明你有资格属于这个专业群体。"

这就好像这个行业已经把缩写词宣布为其终极秘密武器，不仅用它来节省时间，还用它来创建一个专属俱乐部，只有圈内人才能跟上对话。这不仅令人沮丧，还会拖慢新人入职速度，疏远潜在的合作伙伴，模糊重要工作的内容。

无论对错，科技行业已经因其精英主义和排他性而受到批评。尽管网络安全行业在雇用更多女性和少数族裔方面正在取得进展，但仍有待改进。

以下是缩写词真正造成的障碍

因此，使用晦涩难懂的语言可能会让来自不同背景的人更难融入进来。网络安全公司的新员工或客户可能会感觉自己在接触一种全新的语言，里面充满着无穷无尽的缩写词。

尽管缩写词可能有用，但过度使用会让人应接不暇，造成以下问题：

入门障碍：对新人来说，持续接触缩写词会让人感到恐惧和气馁。想象一个新员工试图理解网络安全协议，却被成千上万个陌生的缩写词搞得晕头转向。本来是为了帮助行业内部人士快速沟通而设计的缩写词，可能会无意中疏远新人——在组织需要快速行动时反而拖慢了速度。
重复和模糊：缩写词在不同语境下往往有多重含义，比如ASP（应用服务提供商vs.活动服务器页面）。当有人提到"APT"时，他们是在谈论高级持续性威胁，还是完全不同的东西？这种模糊性可能导致重要沟通中的误解，潜在地造成安全漏洞。
缩写词疲劳：正如马斯克在2010年的严厉备忘录中所暗示的，行业内的专业人士可能会面临"缩写词疲劳"，因为海量术语使得跟上新发展变得困难。这在网络安全领域尤其成问题，因为理解最新威胁和解决方案至关重要。
透明度丧失：随着网络安全越来越成为我们日常生活的重要组成部分，让公众理解基本的安全概念变得很重要，但缩写词可能会模糊而不是澄清概念。对不了解术语的用户来说，MFA和VPN这样的概念可能令人困惑，即使他们知道这些工具是用来保护他们的。

如何让缩写词更容易理解

解决方案并不一定是完全避免使用缩写词——它们在浓缩复杂概念方面可以发挥重要作用。事实上，这份包含老标准以及新演变缩写词的清单可能对网络安全组织有帮助。然而，减少过度使用缩写词，并提供上下文，可以使它们更容易理解。以下是一些可以改善理解的方法：

词汇表：组织可以创建常用缩写词的标准词汇表，特别是在入职材料或面向更广泛受众的材料中——尤其是任何面向公众的内容。这将使新人更容易熟悉基本术语。
简单解释：在使用不常见的缩写词时提供简短的解释或定义可以澄清其含义。这种方法在文档和行业文章中已经很常见，可以扩展到组织内部的演示、会议和电子邮件中。
避免不必要的缩写词：作为一名编辑，我最近对同事抱怨说："把'极端天气事件'完整写出来真的那么麻烦吗？"我的同事回答说："或者直接写出龙卷风、飓风、洪水，到底是什么具体的灾害？"不是每个术语都需要缩写，在某些情况下，普通语言甚至可以替代缩写词所代表的内容。将缩写词保留给最常见或广泛理解的术语可以减少缩写的总量。
培训：定期举办培训课程，让老员工了解新术语和现有常用缩写词，可以帮助组织的每个人在不感到压力的情况下保持同步。

一位科技行业员工在Reddit上开玩笑地问道："网络安全专业人士用缩写词节省下来的时间都用来干什么了？" 当然是用来摸鱼了呀。🐶