簡單，常被認為是考慮不完全，或對概念想法的部分理解。但事實上，真相正好相反，簡單中蘊含有某種程度的優雅。對概念或想法的簡單解決方案、分類，或者呈現，需要對該概念或想法有準確而全面的掌握，這一點往往是大多數人都欠缺的。

[[182725]]

或者，我們換種說法，過分復雜化是很容易出現的一種行為。加入過某種委員會或列席過某些會議的人太清楚了。簡單，是人生中很難達到的境界。

雖然簡單很好，過于簡單卻也會造成麻煩。在太復雜和太簡單之間有微妙的平衡，很多問題的優雅解就存在其間。然而，不幸的是，我們大多數人想要準確落在其間通常不太容易。安全問題也不例外，同樣受這條規則約束。

一邊是過于簡單，一邊是過于復雜，這兩種情況都太常見，一點不意外。

有時候會有這樣的問題：“網絡安全嗎?”，“想要安全，我至少得花多少錢?”，或者，“我已經有了SIEM、IDS、防火墻、沙箱，每天都處理100000條警告消息——為嘛還得弄別的?”。不用說，對那些把職業***年華獻給安全，做著策略風險最小化、管理和緩解工作的人來說，這些問題可能是非常令人沮喪的。

但另一方面，幾十種技術用上，卻依然沒有總體的風險策略來解決操作性安全訴求的現象也很常見。換句話說，技術買來了，操作性安全問題依然大咧咧擺那兒沒解決?；蛘?，像另一個例子似的，事件響應員和分析師無序追逐一個接一個的警報，各個方向都有數據流入，沒有任何辦法去梳理它們。這就是所謂的操作性混亂。過于復雜也不是什么好事。

幸運的是，安全是一場馬拉松，而不是短跑。我們可以預先計劃，隨時修正，朝著理想的目標前進。這個與保持口腔健康的案例類似。一個很有趣的現象：大多數人都會定期去看牙醫做檢查，有多少人會在去看牙之前臨時好好刷個牙呢?反正我是會這么干的!不過，仔細想想，這行為是不是有點奇怪?因為牙醫總會知道距離上一次檢查期間你有沒有好好保證口腔衛生嘛!無論我們有沒有在臨出門前刷個牙，都無法掩飾這段期間我們對牙齒衛生投入的關注。換句話說，跟安全一樣口腔衛生也是場馬拉松，不是幾秒完事兒的短跑。

跟著***潮流走或許很有誘惑力，但從來替代不了方法性、策略性、知情的、基于風險的安全方法。雖然肯定不是完全列表，但獲得此類安全能力的步驟包括：

理解公司面臨的風險和威脅：跟著威脅情報走，接受高管、董事會、客戶和其他關鍵利益相關者的指引。

將這些風險和威脅分出優先級：什么風險和威脅可能導致嚴重損害而需***先緩解?

根據可用的預算，調配人員、過程和技術的***組合，來解決排序后的風險和威脅：我們該怎樣運用最少的資金，解決最多的安全問題?

發展正確的內容：低噪聲、高保真、可靠、準確的警報，才能發現上面幾步中枚舉出的風險和威脅的活動指標。質量是比數量更重要的東西。這一步，與日常生產力和安全項目的整體有效性高度相關。

工作流：運營日常安全。記錄各種過程和規程。持續處理事件，必要的時候執行事件響應。推動案例管理和事件歸檔。

與利益相關者溝通：包括度量標準和報告。確保你向公司提供的價值被很好地理解了。

回饋社區：信息共享。呈現工業事件和本地用戶團體的案例研究。參與各種同業團體，自由交換信息和創意。

持續改進：警報需要關注。過程需要調整。新用例也會出現。確保安全項目隨威脅態勢發展，一直保持世界水平。

如您所見，這些步驟無疑是場馬拉松，肯定不會是短跑。***安全公司都是有策略、有方法，精打細算的。有時候他們為了長遠目標，短期內反而會穩一下，發展不那么快。他們絕對不會做的一件事，就是追逐潮流，什么***用什么。炒作跟風不是好安全項目會做的事兒。

懂行的客戶知道哪些公司是臨看牙醫前刷牙的類型，哪些是踏踏實實搞好平時安全衛生的類型。換句話說，胡亂短程沖刺突擊可能騙到一些人，但彌補不了這種行為給你的公司帶來的風險。平穩漸進才能贏得最終勝利。

【本文是51CTO專欄作者李少鵬的原創文章，轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】

戳這里，看該作者更多好文