警惕網絡安全的“古德哈特定律”

古德哈特定律是一句格言，經常被表述為“當一個措施成為目標時，它就不再是一個好的措施”。它以英國經濟學家查爾斯·古德哈特(Charles Goodhart)的名字命名，他在1975年關于英國貨幣政策的文章中指出了這句格言的核心思想：

一旦出于控制目的對其施加壓力，任何觀察到的統計規律都將趨于崩潰。

古德哈特定律在經濟學中有廣泛應用，例如在理性預期概念中，那些了解獎懲制度的人將優化他們在該制度中的行動以達到他們想要的結果。例如，如果依據每月售出的汽車數量獎勵員工，他們就會嘗試賣出更多的汽車，即使是虧本。又比如，很多企業雖然在合規審計或SLA指標方面表現良好，但卻往往因為低級錯誤導致重大數據泄露/業務停頓事故。

古德哈特定律催生了兩個衍生概念：盧卡斯批判和喬恩·丹尼爾森(Jon Danielsson)的金融風險建模推論。后者指出：

用于監管目的時，風險模型會失效。

有毒的負指標

產品和軟件開發領域有個流行語叫“負優化”，但更值得警惕的實際上是“負指標”，后者會造成系統性的風險。硅谷科技圈近年來流行一個“陰謀論”，說OKR和KPI是谷歌這樣的巨頭在取得壟斷地位后發明出來遏制競爭對手的有毒工具。

不可否認，網絡安全和其他科技領域一樣，“指標化管理”不僅是安全成熟度模型的金字塔尖，也是走上循證科學道路的重要標志。但無論是企業風險管理和網絡安全能力建設，在科學化進程中我們也需要格外警惕古德哈特定律。

經濟學家霍斯特·西伯特（Horst Siebert）提出的“眼鏡蛇效應”強調了“不正當激勵”（或者說“安全指標”），將使問題變得更糟。

眼鏡蛇效應基于一個真實的故事：在英國殖民時期的印度，由于眼鏡蛇造成許多人死亡，英國政府對殺死眼鏡蛇實施了賞金計劃。于是當地人開始大量飼養眼鏡蛇，并殺死它們賺錢。當當局意識到這一點時，他們停止了該計劃。眼鏡蛇養殖場關閉，農民將眼鏡蛇放歸野外，眼鏡蛇數量成倍增加，因此造成的死亡人數也隨之增加。

無論是古德哈特定律還是眼鏡蛇效應，都可以用來分析網絡安全領域的很多怪現象，例如很多企業網絡安全投入越多、工具越多、監管越多，其安全能力并未獲得預期提升。

“負指標”和“負激勵”的案例在網絡安全領域隨處可見，例如SOC運營人員批量刪除警報來降低“誤報率”，或者“告警疲勞”；在惡意軟件、勒索軟件和威脅情報領域，少數不良企業甚至會“養蛇糊口”。

影響最為深遠的案例無疑是GDPR，為了合規并逃避巨額罰款，很多企業不惜隱瞞網絡攻擊和數據泄露事件，悄悄支付贖金，結果反而成就了勒索軟件的繁榮和（全行業）網絡安全損失的不斷擴大。

“負機制”與“負戰略”

網絡安全企業的銷售們言必稱機器學習自動化、零信任、縱深防御、XDR…結果企業客戶的核心訴求和痛點反而被忽視。安全企業研發、創業項目和安全投資一窩蜂扎堆熱點，結果安全工具五花八門，但企業用戶卻掉入了“工具陷阱”，工具有效性和集成度都成了吞噬安全預算的無底黑洞，核心關鍵指標如MTTD、MTTR（平均檢測與響應時間）反而逐年下滑。

這個尖銳的矛盾背后，依然有古德哈特定律的陰影：網絡安全市場的指標和策略大多基于“工具理性”，但是網絡安全外部威脅和內部威脅的主體——黑客和員工，卻都是人。

網絡安全企業們往往沉浸在Gartner或市場領導者們炮制的安全產品技術分類框架中，開發出了太多讓CISO眼花繚亂的產品譜系、技術、指標和框架，但卻將“人的因素”，排除在了網絡安全實證方法之外。

這就是問題的癥結所在：網絡安全市場的意見領袖們不僅為客戶設置了錯誤的“負指標”，而且給市場競爭設置了“負機制”和“負戰略”，或者說，導致了網絡安全資源的無效內卷和內耗。例如，常年困擾安全運營人員的假陽性警報和假陰性警報、人員過勞問題、人均產值偏低、以及網絡安全KPI與安全投資和業務目標脫節都是最好的例證。“工具理性”導致人才工具化，而熱衷于檢測和響應指標導致企業和安全廠商忽視了預測和預防能力的建設，最終導致安全能力的“內分泌失調”。