关注公众号网络研究观获取更多内容。

企业业非但没有享受到技术带来的好处，反而承受着高昂的成本。 

事情不应该是这样的。 

企业投资 IT 是因为相信它可以改变他们与客户的关系、供应链和业务敏捷性。在过去 12 个月中，我们还看到人们对 AI 如何增强 IT 变革力量的兴奋感与日俱增。然而，保护企业免受网络犯罪侵害的成本不断上升，给这个充满可能性的世界蒙上了一层阴影。 

因此对于很多企业来说，安全已经成为重中之重，数字化转型则被推到了第二位。这其中的原因并不难理解。

各组织将更多的资源投入到保护业务上，而不是发展业务上。尽管 IT 支出增长迅速，但网络安全支出增长更快。 

2024 年全球 IT 总支出将达到 5 万亿美元，比 2023 年增长 6.8%。同一消息来源估计，2024 年网络安全支出将达到 2150 亿美元，比上一年增长 14.3%。

网络安全支出仅占全球网络犯罪成本的一小部分，研究机构估计，到 2024 年，全球网络犯罪成本将达到 9.5 万亿美元。这几乎是全球年度 IT 支出的两倍。 

如果网络犯罪是一个经济体，它将是仅次于美国和中国的世界第三大经济体。

传统防御不起作用

只要我们继续以传统方式对网络犯罪分子发动战争，我们就会继续失败。 

攻击者人数众多，组织严密。他们并不是在昏暗的地下室里挤在电脑前的孤独操作员。他们有办公室、管理层和策略，就像合法企业一样。他们拥有先进的 IT 技术，并且对潜在回报的规模非常感兴趣。犯罪是他们的核心业务。

相比之下，防御者是被迫参战的，他们并不想打这场战争。此外，他们孤军奋战，每家企业都会雇佣尽可能多的网络安全专家。前提是他们能找到这些专家。 

根据 2023 年网络安全劳动力研究，网络安全领域的技能短缺问题日益严重，估计有 400 万个职位空缺。这一数字正在稳步上升，部分原因是供应无法跟上需求，部分原因是网络安全领域的工作压力越来越大且重复性越来越强。研究将网络安全劳动力的高流动率归咎于职业倦怠和工作满意度下降。

这场战争从根本上来说也是不平等的，防御者必须 100% 正确，而攻击者只需正确一次。这种不对称有助于解释为什么网络安全工作已成为吃力不讨好的职业。

扭转局势

那么，我们怎样才能扭转局势呢？网络犯罪永远不会被消除，但我们如何才能减少其影响呢？ 

唯一合理的解决方案是解决攻击者和防御者之间的不平衡，这是由以下因素造成的： 

▪︎ 组织性：犯罪分子组织严密，注意力高度集中。犯罪是他们的核心业务。因此，即使打击犯罪不是他们的核心业务，捍卫者也需要更好地组织起来，不要分心。

▪︎ 动机：犯罪的回报非常丰厚。犯罪分子的回报是网络安全专业人员一年收入的很多倍。

▪︎ 工作满意度：我们没有太多数据表明犯罪黑客是否对工作感到满意，但我们知道很多好人并不满意。这种情况需要改变。

▪︎ 技能：即使企业能够负担得起所需的所有专业人员，也没有足够的网络安全专家。我们如何更好地利用现有的人才？

▪︎ 一百比一规则：攻击者总是享有这一优势，但是我们能做些什么来平衡这种优势呢？

▪︎ 技术：双方总是会使用相同的技术。问题在于防御者能否制造出更好的武器或更聪明地使用它们。 

众包投资回报

众包安全为解决这些问题提供了最大的希望。首先，众包安全为更多企业提供了更广泛的人才库。企业可以获得所需的所有技能，并且只需为他们使用的内容付费。 

其次，漏洞赏金和漏洞披露计划改变了人们的积极性和工作满意度。付钱给道德黑客让他们发现漏洞意味着有才华的人可以过上好日子, 也许不像犯罪分子那样赚钱，但按照大多数标准来说，收入很高。百万富翁道德黑客并不罕见。

此外，道德黑客避免了犯罪的道德风险和入狱风险, 可以合理地假设他们睡得更好。

第三，众包安全按结果付费的经济模式对客户很有吸引力，他们不再需要担心将所需的所有安全技能都纳入工资单。

投资回报率 (ROI) 也更容易计算, 组织不再计算违规成本，而是计算他们避免的潜在灾难所带来的节省。 

2024 年， 研究机构进行了一项关于漏洞赏金总体经济影响的研究，发现了以下好处：

▪︎ 三年内投资回报率达 268%，净现值为 143 万美元

▪︎ 由于无需雇用两名全职员工 (FTE)，因此提高了安全运营效率并节省了成本

▪︎ 传统渗透测试成本节省 60%

▪︎ 重大违约风险降低高达 30%

▪︎ 降低网络安全保险费用9%。

对的东西

众包的超能力在于它利用了人类做正确事情的动机。道德黑客当然受奖励的驱动，但并非所有奖励都是物质奖励。

2023 年发布的一项针对1000 名道德黑客的调查发现，75% 的人认为非财务因素是他们进行黑客攻击的主要动机，而 87% 的人表示他们认为报告关键漏洞比从中赚钱更重要。 

当然，组织将继续雇用安全运营团队和开发人员来构建所需的服务。不同之处在于，这些团队将能够获得更多技能、更好的情报和更早的问题预警。 

网络安全行业以及所有参与保护数字资产的人员必须做出的关键转变是从被动方式转变为主动方式。 

渗透测试服务旨在在攻击者发现系统漏洞之前发现它们，这并不是什么新鲜事，但传统上这类服务很难组织。它们需要较长的项目周期和大量的客户管理费用，这不利于频繁测试。 

众包平台大大减少了官僚主义的繁文缛节，这意味着我们看到渗透测试从偶尔的、即时的服务演变为一种持续的过程，更加适合现代企业软件不断发展的特性。

人工智能最终能创造公平的竞争环境吗？ 

那么人工智能的影响又如何呢？

显而易见的结论，也是大多数观察家得出的结论是人工智能将对攻击数量产生巨大影响，但对攻击者和防御者之间的力量平衡影响不大。

人工智能将使攻击变得更容易，并可能降低技术水平较低的罪犯的进入门槛，但当然它也会为防御者提供更有效的工具。 

那么道德黑客是怎么想的呢？

几乎所有上述调查的受访者都表示，他们正在使用或即将在工作中使用人工智能（94%）。大多数人（72%）不相信人工智能会复制人类的创造力，甚至更多人（91%）相信人工智能将产生积极影响，从而增加道德黑客的价值。

这种乐观有道理吗？

我们拭目以待，但明智的做法应该是相信道德黑客的观点，即人工智能最终作为防御工具的价值将高于作为攻击武器的价值。因为攻击者会用人工智能进行更猛烈的攻击，而防御者则会用人工智能进行更聪明的防御。 

坏人会利用人工智能增加攻击量，而道德黑客则专注于防御的巧妙性。这个等式中的第三个要素是在众包平台上使用人工智能来调动资源并更有效地管理漏洞赏金和漏洞披露计划。如果每个人都拥有相同的武器，那么组织更完善的一方最终将占上风。

转变安全思维

毫无疑问，人工智能将成为一大颠覆因素，但技术变革并非关键因素。关键是心态的改变，特别是众包可以改变客户对安全的态度。 

作为企业云应用和商业 AI 领域的全球领导者，SAP 高度重视客户数据的安全，并在整个企业范围内实施全面的安全策略，以确保解决方案的安全可靠。SAP 的漏洞赏金计划帮助我们了解黑客的观点，并为我们的安全团队带来了新的测试思路。

最好的防御形式不是攻击，而是通过安全设计开发而产生的防攻击性。

暴徒与训练有素的团队

在考虑如何使用众包安全来反击犯罪分子时，关键词是“管理”。虽然漏洞赏金、漏洞披露和渗透测试已经使用多年，但神奇的因素是与提供这些服务的平台相关的情报。

例如，这些平台可以缩短设置和启动标准化渗透测试的准备时间。他们使用算法对漏洞披露计划的结果进行优先排序，并实现更快的补救。或者，从这些计划中获得的见解可用于重新思考开发过程。

人群是一种了不起的资源，但只有当你管理它时才有用。这就是暴徒和训练有素的军队之间的区别。

在与坏人展开的不平等竞争中，好人愿意合作，并有能力创造更好的组织工具，并以更好的情报为基础，这将使权力平衡朝着正确的方向转变。