作者：Ross Haleliuk

时间：2025年06月04日

原文：

Venture in Security

Security is not the department of “No”; it’s the department that gets told “No”

Nearly once a week, I hear someone say that security needs to stop being a department of “No” and that instead, it needs to become a “business enabler”. Every time someone says it, I can’t help but wonder where this idea originated and how it was able to become so widespread. In this piece, I explain why security is not, in fact, a department of “No” (n…

Read more

a month ago · 13 likes · 2 comments · Ross Haleliuk

几乎每周我都会听到有人说，安全部门不能再当“否定之人”（Department of No），而是要成为“业务赋能者”（business enabler）。每次听到这种说法，我都忍不住想：这个观点到底是从哪来的？它又是怎么变得如此流行的？这篇文章里，我会解释：为什么安全从来不是、现在也不是、将来也不会是“否定之人”，它真正的角色是什么，以及未来可能会走向何方。

商业的本质就是在承担风险

在讨论安全之前，先要明确安全是在什么样的背景下运作的。为此，我们必须从商业的基本逻辑讲起。我知道政府、非营利组织和其他机构也需要安全保障，但由于安全行业主要还是围绕私营企业展开的，所以我们就以“商业公司”为背景来讨论。

毫不意外，商业的本质是“承担风险”。创始人把全部积蓄投在未经验证的想法上；投资人把有限合伙人的钱赌在前途未卜的市场上；整个行业都可能围绕一个最终可能失败的愿景在运转。公司从第一天起就面临着生死考验：想法可能不被市场接受；产品可能根本做不出来；做出来了可能不符合市场需求；市场可能根本不存在；竞争对手可能执行力更强；税收或贸易政策可能一夜之间变动让商业模式难以为继……潜在问题多得数不过来，而且高度依赖所处的环境，根本无法列出一个标准清单。

重要的是，对于任何公司来说，“活下来”不是默认状态，而是靠在业务各方面不断下注、算计、试错才换来的。无论你是初创公司还是市值数百亿的大企业，这一点都不会改变。看看 Kodak、Xerox、BlackBerry、Motorola、Yahoo、Enron、Compaq 的下场就明白了：任何公司都可能失败，而且失败的理由五花八门。

而在这一大堆风险中，安全风险只是其中一个维度。虽然它可能很严重，但通常并不会上升到“必须停下一切”的级别，除非真的“着火了”。回顾过去 100 年的商业史可以看出，安全问题的影响更多是财务层面，而非生死存亡层面。公司真正“死掉”的原因是：进入市场太早或太晚、增长过慢或过快、产品与市场脱节、内部政治斗争，等等——而不是安全问题。甚至可以说，安全事故更像是一种“滞后指标”，反映出的是文化问题、决策混乱或缺乏执行力。Adrian Sanabria 一直在统计因安全事故而直接倒闭的公司，到目前为止全球还不到 30 家，远远低于大众的直觉预期。

既然商业本质是不断冒险，那就不难理解：大多数公司并不把安全风险列为首要考虑因素。他们不会因为一个潜在的安全隐患，就推迟产品发布、延后关键功能上线、或者主动牺牲业务增长节奏。毕竟，如果一个公司能挺过产品风险、市场风险、竞争风险、执行风险和监管风险，它大概率也不会死在“安全流程太繁琐”这座山上，尤其当安全摩擦会拖慢增长的时候。

在大多数公司，安全部门根本不是“否决部”

这就引出了本文的核心主题：安全部门并不是所谓的“否决部”（Department of No）。要理解为什么这种说法会流行，我们得看看安全部门在什么时候有权说“不”，更重要的是，它在哪些关键时刻没有权力说“不”。这两者之间的反差，才揭示了安全在公司内部真实的权力结构。

安全通常活跃在边缘场景，比如：禁止对生产环境使用 SSH 登录、屏蔽一些有风险的浏览器插件、强制执行多因素认证（MFA）、或者标记轻微的合规违规行为。这些操作确实有意义，能帮公司避免一些最常见、最明显的攻击路径。但即便这些行为让安全团队有一种“我们掌控局面”的感觉，它们其实并不代表安全部门拥有巨大权力。

安全部门之所以能在这些领域“硬气”，是因为对业务的实际影响很小。这些都是“安全地带”：不影响收入，不影响产品上线，不影响大客户谈判，不影响整体业务节奏。换句话说，这些决策不会显著拖慢公司赚钱的速度。正是在这些有限场景里，“安全是闸门守卫”的神话得以延续。

但一旦影响升到关键层级，这幅图就完全变了：如果安全措施有可能影响关键功能上线时间、季度营收目标、或重要合作伙伴的集成交付，那安全部门基本就没资格说“不”了。
真正重大战略决策，掌握在产品、工程、市场和高管团队手里。在这些会议室里，安全充其量是个顾问，而不是有否决权的核心决策者。

所以，当人们说“安全要成为业务赋能者”时，其实他们的潜台词是：安全本来就没有权力去阻止业务做想做的事，只能在事后尽力为这些已定的路径打补丁、兜底风险——在既有的预算范围内，把事情尽量做得安全一些。

在极少数公司里，安全可以是“否决部”（但它本质上仍然不是）

虽然在大多数公司里，安全部门没有足够的权力配得上“否决部”这个称号，但确实有一些特殊场景例外。我们说的是那种安全或合规本身就是“生死级”风险的公司。

要让安全成为生死风险，公司得是攻击者的首要目标。最典型的例子就是头部加密货币交易所，例如 Coinbase 和 Binance，这些平台在黑客眼中价值巨大，和美国顶级银行属于同一级别的攻击目标。在这类公司中，安全确实拥有极大的权力，可以主导产品路线图、推迟关键功能或产品上线，甚至决定是否允许第三方集成他们的系统。

但矛盾的是，这些公司里的安全负责人反而最少滥用这份权力。他们的 CISO 往往是技术能力很强、又懂业务的高管，把安全当作产品和工程问题来处理，而不是当作“执法”来做。

第二类例外，是那些合规风险属于生死级别的公司。在高度监管的行业，比如医疗和金融，安全的角色跟“能不能向审计员和监管机构交差”高度相关。在这些公司里，衡量安全团队是否成功的标准是：审计能不能过、认证能不能保住、监管罚款能不能避免。

在这种环境下，安全确实有比较大的发言权（包括说“No”的权力），但这个权力往往是跟法务和合规团队共同分享的。

不管是哪一种例外情况，这类公司在整体企业群体中仍是极少数。所以我认为，可以很有把握地说：在绝大多数公司里，安全部门不是“否决部”。

可见性，是安全团队唯一能完全掌控的领域

尽管安全团队的职责是保护整个组织，但现实是：他们几乎无法真正控制自己应该保护的那些系统。安全团队通常不负责 IT 或基础设施，不执行身份与权限管理，不运营 CI/CD 流水线，也不管理产品路线图。他们无法调配预算，无法设定工程优先级，更无法影响谁能升职。换句话说，安全团队被要求在自己无法掌控的领域里达成结果，这让他们承担了巨大的责任，却没有实权。

这种权责失衡带来了真实的紧张关系。CISO 想推动变更，手里唯一的工具就是制定政策，而别人唯一愿意认真听的理由通常只有一个：合规。如果某项工作不是合规要求的一部分，那你基本很难让它真正落地。

最终就形成了这样一种局面：安全团队要保护一个自己无法控制的环境，他们的任务是找出哪些地方有问题，再去说服那些并不想“额外加班”的人做出改动。

当安全部门缺乏阻止风险被引入系统的权力时，它的角色自然会退化为两个方向：

1. 提供对风险的可见性；

2. 向业务讲清楚这些风险意味着什么。

这并不是安全团队的失败，而是现实的直接结果——当安全介入时，很多重要决策已经被做完了。在这种情况下，“提供可见性”就成了保底方案：如果安全无法改变方向，至少可以识别出风险，并把后果呈现出来。哪怕没人采纳，至少做到了“看见问题”。

可见性成为安全团队核心职能，本质上反映的是这个角色本身的复杂性。现在的安全团队要应对的是高速变化的产品路线图、分布式架构，以及不断增加的监管压力，而资源和权力都极其有限。在这种环境下，大多数组织中，安全唯一能做到的就是：尽量看清楚问题在哪。
对那些技术驱动、愿意在“主动防控”上投入更多的公司来说，情况可能稍好，但对绝大多数企业来说，安全工作的终点就是“风险可见性”。

问题是，如果没有改变现状的权力，很多安全团队就陷入了一个“扫描—派单”循环：
扫描系统 → 发现问题 → 建一个 Jira 工单 → 派给其他团队 → 结果可能被修，也可能被忽略。

需要强调的是：止步于可见性，并不是懒惰，也不是不负责任，而是一种应对机制。它让安全团队能持续参与、不成为业务的“绊脚石”；它能留下尽职记录，表明“我们尽力了”；它让安全团队继续保持在流程里，哪怕实际影响不大。

但这种方式，最终往往不是降低风险，而是风险递延：
Jira 工单就成了最终交付物，任务移交就被当作结案，而真正的解决动作（修补漏洞、修改配置、发布更新）很可能被无限期搁置。
意图是好的，努力也是真的，但结果往往与风险的紧迫性不匹配。安全团队的参与程度刚好够“避免被追责”，却未必足以改变结局。

这不是对安全团队的批评，而是对整个系统运行机制的揭示。
正如我最近在 LinkedIn 上说的那样：

“网络安全领域最大的秘密是：大多数安全事故并不是技术失败，而是业务决策。公司知道他们的身份系统很复杂，第三方接入泛滥，云环境配置一团糟——但修复这些问题太麻烦、太贵、或政治风险太高。于是他们选择接受风险，抱着侥幸心理，然后多买几个工具‘监控问题’，而不是真正去解决它。某种意义上，很多安全事故不只是可预测的，甚至是可以计算预算的。”

可见性确实有价值，但只有当它与影响力、跨团队协作、和管理层支持结合起来时才真正有意义。
安全的角色不该只是指出问题，更应该有权推动解决方案落地。

但在那一天到来之前，即便是最优秀的安全团队，也只能一手被绑着努力前行——尽最大努力把风险讲清楚，但却无力阻止风险真正落地。

成功的初创公司，其实反映的是当下安全行业的真实生态

面向 CISO 和安全团队卖产品的初创公司

如果你回顾过去几年那些在安全圈里获得市场关注、销售成功的初创公司，会发现它们大多数属于以下三类之一：

1. 帮助公司合规、维持业务正常运行（如合规自动化）；

2. 识别并应对生死级威胁（如勒索软件、能上新闻头条的攻击）；

3. 提供全面的可见性（比如各种态势管理工具，能扫出一堆待办事项，大部分永远没人做）。

一旦某个安全工具会带来哪怕一点点“摩擦”，哪怕它能大幅提升安全性，也往往难以获得增长。
一个防止配置错误的工具，永远不如一个“可视化配置错误”的工具更受欢迎——即便从纯粹安全角度看，“预防”显然更有价值。

问题在于：预防，等于给了安全团队“说不”的工具。这正是很多安全人梦寐以求的事，但现实是，他们很少真正拥有足够的权力去执行“预防”措施。

这也就是为什么创业者在找 CISO 验证 idea 时要特别小心：CISO 觉得“好”的方案，和他们有权实际落地的方案，往往不是同一个。

一个工具如果会导致开发者错过产品上线、财报发布节奏等关键时间点，它大概率活不下来。
但如果一个工具允许开发者在必要时“跳过安全警报”，则可能获得市场生存机会。

我希望整个行业能开始从“只关注可见性”逐步走向“推动可执行的行动”。但这不只是靠创业者来完成（创业者并不是瓶颈），更需要：

• 安全负责人在企业内部有足够的影响力，能够不仅推动产品上线，还能帮助初创公司不断迭代和成熟。

正如之前的云计算、移动端、SaaS 等等，AI 正在迅速被集成进各种产品、业务流程、甚至商业模式——通常都没有清晰的安全策略。

为了快速落地、抢占价值、保持竞争力，安全团队又一次被动地去补救已经做出的决策。

AI 安全大概率也会走和历史上其他技术类似的路线图：

1. 从治理和合规开始：确保满足新出台的监管要求；

2. 然后进入态势管理阶段：识别 AI 系统当前存在的风险；

3. 接着，等我们理解黑客如何攻击 AI 后，会出现检测和响应类产品；

4. 最后，才会有人提出“预防”类愿景。

但在出现足够多的“头条级事故”之前，比如“因为 AI 缺乏控制，某公司损失数千万”，我们大概率只会听到很多关于 AI 安全重要性的讨论，而不会看到相应的实际投资。

面向“被安全团队甩锅”的执行团队卖产品的初创公司

安全市场的另一个新趋势是：有些初创公司不是把“安全成果”卖给安全团队，而是围绕安全提供“赋能工具”，卖给其他执行团队。这些公司看清了一个越来越明显的现实：

安全团队能识别风险，但没有资源、专业能力或权限去修复这些风险。
最终工作会被“甩锅”到开发、平台工程、DevOps 或 IT 团队那里，而真正的摩擦也正好出现在这些下游环节。

这些初创公司没有去给 CISO 推仪表盘或策略引擎，而是聚焦于让“真正要动手的人”活得更轻松。

Chainguard 就是这个趋势的典型代表。虽然很多 CISO 对它拍手叫好，但 Chainguard 真正卖的不是给他们。它卖的是给那些负责打补丁、维护和加固容器的工程团队——也就是那些经常被安全团队派工单要求“去处理一下”的人。

Chainguard 通过抽象掉一些痛苦的任务（比如构建安全的容器镜像），把原本麻烦的安全工作转化为“已经解决的问题”，交给真正负责实现的人。

这种模式之所以有效，是因为它让利益相关方的目标一致：

• 开发者并不是不在乎安全，他们只是不想被安全拖慢节奏，也不想被迫处理额外复杂的问题。

• 工程师对“风险可见性”没兴趣，但如果有工具能让他们不用再做安全团队让他们做的那些事，他们会非常开心。

所以在面对开发者销售时，真正能跑起来的产品，不是那些强调“我们能提升安全性”的工具，而是那些能减少安全摩擦、简化流程甚至让问题自动消失的工具。

为什么我觉得安全工作很像人力资源（HR）

从很多方面来看，安全团队让我联想到人力资源（HR）。这种对比不只是因为它们都被看作是“否决部门”，还远不止于此。

HR 是一个非常关键、极具价值且潜力巨大的职能。如果运用得当，它完全可以成为一家企业在盈利能力和长期发展上的关键杠杆。但现实是，大多数公司根本没有真正挖掘出 HR 的潜能。相反，HR 通常被当作“风险防火墙”：负责完成合规打勾、通过审计、降低法律风险。HR 的深层战略价值常常被忽略。

要改变这种局面，需要的是一个真正懂业务、愿意破局的领导者。这个人不把 HR 视为只负责制定没人会读的政策，或发没人在意的年度员工调查；而是把它视为推动信任与增长的引擎。

一旦你意识到这个类比，你就再也回不去了。就像 HR 一样，安全团队也经常在出事之后才被拉进来——不管是为了救火，还是为了执行某项政策。就像 HR 无法直接控制员工行为一样，安全团队也不能控制人们点不点钓鱼链接、设不设置强密码。他们能做的只有教育、引导、影响。

尽管如此，这两个角色都经常要为自己无法控制的结果“背锅”：HR 负责人可能会因为某员工的不当行为被炒掉，CISO 可能会因为一起社工攻击事件被问责，哪怕他们之前做对了所有的培训和防护。

这是一个有缺陷但又普遍存在的逻辑：我们要求 HR 和安全去“防止失败”，却不给他们控制失败根源的手段。
你可以建立很棒的公司文化，也可以推动非常强的安全意识培训，但只要出现一个行为恶劣的人，或一个操作失误的瞬间，一切都可能瞬间崩塌。而最终承担后果的，往往是那些被要求“防止无法防止之事”的人。

无论是 HR 还是安全，当他们被提前纳入战略讨论、而不是事后被动处理问题时，才会真正发挥出价值。可惜的是，在大多数公司里，这两个部门常常被当作成本中心和被动角色，直到有事发生。

当人力资源的员工走到你工位前时，很少有人感到开心——因为在一切正常运转的时候，HR 是“隐形的”。
安全团队也一样。

如果你曾在一家真正高效的公司待过，你就知道：当一个真正强大的人才与文化负责人把工作做好时，团队会像被施了魔法一样运转。
安全也是如此：当一个真正有领导力的安全负责人获得了公司“核心一席之地”时，所带来的影响是巨大的——
安全从“被动应对”转向“战略协同”，从“业务阻碍”转化为“业务加速器”，这就是“魔法时刻”的到来。

展望未来：改变安全的思维方式

当我思考安全行业和 CISO 职责的未来时，我非常清楚一点：接下来的路，必须建立在“无授权影响力（influence without authority）”这个理念之上。

这个概念并不新——每一个产品经理在职业生涯早期就会接触并学会它。作为一名 PM，多年来我必须设定方向并推动执行，但与我合作的人几乎都不向我汇报。产品经理能否成功，取决于是否能赢得信任、建立关系、让其他人愿意主动做“正确的事”，而不是靠权威命令对方去做（虽然有时候我确实希望是那样，但现实不是）。

如果“无授权影响力”对产品经理有效，我看不出为什么它对安全领导者就行不通。事实上，我一直很惊讶，这种简单而有力的方法还没有成为“安全领导力101”课程，在所有安全从业者、管理者和高管入行的第一天就开始传授。

我认为一个根本问题在于：很多安全人被“写政策文档”的技能误导了，他们以为只要把一项安全要求写进文档、并从上往下强制执行，就能实现持久变革。但现实中，根本不是这么运作的。

如果安全团队真的想带来长期改变、让企业更安全，他们需要：

• 花时间建立关系、赢得信任，

• 设法帮助公司实现业务目标，

• 持续不断地宣传和推广安全理念。

写文档本身，远远不够。

对安全从业者来说，还有两个关键技能是过去被忽视、但现在越来越重要的：

1. 讲故事的能力（Storytelling）

2. 行为心理学 / 决策科学（Behavioral Psychology / Decision Science）

这些技能传统上和安全没什么关系，但现在正变得不可或缺。有趣的是：它们从来就是优秀产品负责人成功的核心能力。

就像产品经理必须说服高管接受他们的产品路线图、从而争取资源一样，安全负责人也必须用有说服力的方式，让公司在“速度 vs 风险”的拉扯中优先考虑风险缓解。

讲故事，在产品和安全两个角色中都极为关键。尽管大家都在谈“数据驱动决策”，但现实中，人们很少真的只靠数据做决定。真正能打动团队、管理层和董事会的，是故事——那些能把问题讲得贴近现实、紧迫且具象的叙述方式。

无论在产品还是安全领域，最终赢得支持的，永远是那些能引发共鸣的想法，能让人看清风险、理解收益、或者想象未来路径。
一段讲得好的故事，远比一张表格或一个风险登记表更有凝聚力。

我们现在谈论很多事情：

• 安全要尽早嵌入开发流程、

• 用“铺好路”代替“设置闸门”、

• 自动化风险控制、

• 成为业务的赋能者……

但在做这些之前，我认为安全行业最需要学会的是三件事：

1. 如何在没有权力的情况下影响他人；

2. 如何讲出能打动人的故事；

3. 如何理解人类是如何做决策的。