有人专门写了一本教安全团队"怎么搞砸"的手册。

作者没谈防御技术,而是列了27种失败模式——从"威胁情报买了不用"到"把分析师当数据录入员"。每个模式配对应演练方案,像健身房里的错题本。

打开网易新闻 查看精彩图片

反直觉的产品逻辑

打开网易新闻 查看精彩图片

安全行业的常规操作是卖成功案例。这本手册反过来卖失败,而且定价策略很奇怪:电子版免费,纸质版收成本价,企业批量采购才谈定制。

作者解释这个设计时提到:「团队愿意为'不出事'付多少钱,和愿意为'搞懂怎么出事'付的钱,完全是两笔预算。」

他赌的是第二种预算正在变大——监管要求企业自证"已尽合理努力",而"合理"的标准越来越细。

演练设计的隐藏假设

手册里的演练不是模拟攻击,是模拟"攻击来了但没人管"。

比如"情报过载"演练:故意同时推送200条告警,观察分析师先点哪类、漏哪类、多久开始随机关闭窗口。记录下来的行为模式,比任何问卷都准。

打开网易新闻 查看精彩图片

另一个设计是"角色冻结"——演练中随机抽人离开,看剩余成员怎么补位。作者发现多数团队的SOP(标准作业程序)在缺人时直接失效,因为流程图没画过"如果负责对接法务的人今天请假"。

谁在买单

首批用户是金融和医疗行业的合规官。他们的痛点不是技术,是审计时拿不出"我们练过"的证据。

手册提供的是可复现的演练记录模板,包括时间戳、参与人、决策路径、事后复盘。这些文档直接进审计包。

作者透露一个细节:有客户把失败演练做成了季度OKR,权重还不低。

当"搞砸"被量化成指标,安全团队的预算谈判方式会不会跟着变?