伊恩·乐维博士是英国政府通信总部(GCHQ)下属国家网络安全中心(NCSC)的技术总监。可以说，NCSC将在英国政府未来几年网络安全政策的定义和颁布中扮演十分重要的角色。

2016年10月，伊恩·乐维在伦敦举行的连线安全大会上，做了个不寻常的评论：

“如果你被告知，网络安全攻击是外国邪恶网络怪兽发起的，可以溜进你的机器，破坏你的系统。只是想想都好可怕。而我们今天正在经历这样的恐吓。安全公司有意将网络攻击宣传得特别恐怖，因为他们想要你买他们的神奇护身符。”

这还不是他第一次这么公开发声，2017年2月，他又重复了一遍：

“我们允许大量物质利益驱动的企业定义公众对于问题的认知。如果将黑客团伙或攻击活动命名为高级持续性威胁(APT)，那基本等同于说‘你们这些凡人太蠢了，根本理解不了这个，只有我能帮你们——买下我神奇的护身符就行。’这完全就是中世纪巫术。”

这一英国重要网络安全机构，指责安全行业是在过度炒作网络安全威胁以售卖没什么效果的产品。安全公司的手段包含两个步骤：首先，定义威胁(通过操纵媒体)；然后，将自身产品定位成唯一有效的解决方案(通过操纵买家)。

操纵媒体

厂商/媒体的关系就是个复杂的共生关系。自由新闻时代，二者相互依存，但仍有很多众所周知的不成文规则。首要一条就是，媒体必须表现得完全不受厂商的影响，即便媒体其实很大程度上依靠厂商广告生存。

厂商不由自主地操纵媒体——不同的媒体对这种下意识的操纵接受程度不同。

传统上，厂商的主要工具是”新闻发布会”；但如今还有厂商的博客做加持。前者用于聚焦公司及其产品；后者则是用来宣传威胁的。最终目的，是要将厂商定义为可怕威胁的唯一良药，并让媒体用厂商的语言来描述这威胁及其良药。

专业媒体会追寻所获资料的隐藏真相。但记者也有自己的压力。即必须撰写吸睛文章，且是踩着催命般的截稿期不停发文。

吸睛的压力导致很容易接受厂商用来定义新发现威胁的潮词，而暗示是最佳洗脑策略。只需几家主要媒体采用了厂商的词汇，很快这些词就会被纳入安全词典。现实例子就有杀伤链、网络战、网络珍珠港、威胁欧洲的完美风暴、网络911等等。

乐维博士挑出‘高级持续性威胁’的使用/误用来描述种种乱象。“一家英国电讯公司(TalkTalk)最近刚被SQL注入漏洞搞掉线，该漏洞恐怕比用漏洞的黑客年纪都大。无论从哪方面看，这都不属于‘高级’的范畴。”(TalkTalk最初将该攻击描述为‘重大且持续’的网络袭击。)

紧迫的截稿期，则可能是如今广为人知的“假新闻”的主要原因。很大程度上，这并不是什么传播谣言的阴谋，而是没有花费足够时间去查证就轻信不可靠信息来源的后果。

假新闻不是什么新鲜事物，新闻报道产生之初就已经存在了。比如1999年CNN报道称凯文·米特尼克“黑进了北美防御司令部(NORAD)，1983年电影《战争游戏》诱发的灾难。”然而，米特尼克根本没做过这事儿。还有2016年末《华盛顿邮报》的头条，《官员称：俄罗斯黑客从佛蒙特州公共设施渗透美国电网》，也是子虚乌有的。

如果乐维是对的，安全厂商在巧妙操纵媒体用其语言报道安全威胁上就是十分成功的：所谓“网络安全攻击是外国邪恶网络怪兽发起的，可以溜进你的机器，破坏你的系统……”这种操纵的目的，是要让“神奇护身符”更好卖。最后一击就是要操纵买家相信护身符的作用。

操纵买家

很容易就会忘记厂商也是企业，他们的主要目的还是盈利。“我曾经也干过安全软件销售，”Magenic安全解决方案架构师德鲁·科尼格评论道，“主要目标不是解决安全问题，而是卖出客户认为能解决自己安全问题的产品。”

销售方法

正是这种不顾效果只关心买卖的方法，让一些买家十分担心。看穿这些销售方法的能力只有靠经验积累。

马丁·季纳齐，City of Tampa 信息安全官，发现销售人员并不把他的拒绝当回事儿。“当我表达了对他们产品的欣赏，但不认为真正贴合业务需求时，我发现他们会开始给我那些比较年轻的员工打电话。他们知道闪亮的东西可以拿下订单。”

一名厂商让他用FUD(恐惧、不确定和怀疑)战术获得购买产品的预算。这并没有用：“我从来不用，也不会用这种方式。真实情况是，业务依赖类似的专业行为。如果有真正的风险，那就攻击它；如果有认知风险，那就评估它。”

第二个问题是，销售人员未必理解自己所售产品的技术性，或者安全市场的具体需求。而只是诉诸于自己的FUD或小谎言来达成交易。

恶意软件研究员罗博·司雷德举了个例子。厂商演示中，他被告知这伟大的新产品将能自动让你公司的产品变得更安全。他就问了：有没有保证条款强制每个开发人员都按安全的方式使用该产品呢？该销售员给了个冗长的回复，称你可以安全的方式使用该产品，但实际上，并没有这方面的要求。换句话说，他兜着圈子地在说“没有”。我强烈怀疑他都不知道自己在骗我，很有可能他根本不知道保证条款是个什么东西。

营销预算

令人惊讶地，安全产品营销预算的规模，也被视作问题之一。

“厂商营销预算是个大问题。”安全作者里夫·米韦瑟说，“尤其是在大量预算往往投注到过时无效安全技术的情况下。常会有种‘广告越大越好卖’的感觉。”他认为，这对安全市场的规模有着直接影响，因为“推动了我们购买已经存在一段时间的安全品牌，而不是效果更好的安全解决方案。”这整个问题，又被拿钱办事的商业研究公司给搞得更糟。

伊利亚·克罗琴科，High Tech Bridge CEO，指出：不仅仅是大公司的预算造成问题。“我们得知道，过去几年风投市场泡沫中出现的大量风投公司，同样要为网络安全中的过度炒作和FUD负责。”

风投公司将资金投入低买高卖活动中，赌的是初创小公司会通过盈利前的销售增长成长为大型公司。简言之，风投公司是被销售增长驱动，而不是为了改善产品。

很多风投公司用尽各种方法逼迫初创公司增加销售，让他们卖给所有人，根本懒得想想客户能不能从他们的产品中得到什么好处。这也是为什么今天很多初创公司来钱容易，却在之后不得不将所有时间和资源投注在激进的销售而不是技术上的原因。创业者应该牢记：没有免费的午餐。

但这同样不是什么新冒头的问题，也不仅仅适用于网络安全界。“产品推销使用哗众取宠手段由来已久，不是今天才有的问题。”Informatica首席信任官兼云业务转型负责人比尔·伯恩斯评论道，“他们总在寻找‘前沿’来攫取市场关注。”

对战F.U.D.

“根据我们的经验，最终决定还是公司来作出。事实是，目前为止黑客的能量其实还不算太大。然而，我们快速推出的各种脆弱的联网产品，却是风险满满。该风险应以现实的眼光看待，而非被叫卖的商贩夸大。”

安全巨头们都有个共识：安全厂商会炒作产品，夸大威胁；公司安全人员自身的知识和经验，才是以合理的价格购入合适产品的依靠。“我发现，利用概念验证是最好的方法。” 约翰·马瑟利尼，MIAX Options CISO，如是说道，“这不仅仅能分辨出炒作夸大的内容，还能更深入理解该解决方案对特定基础设施运营的影响。这是很多安全解决方案提供商容易忽略掉的方面，且可能远比你打算缓解的风险更具挑战。在签单之前，先让他们在你的具体环境里面证明自身能力。”

米韦瑟与之观点类似。“我主要的建议是：安全技术发展很快，不要签任何取消不了的多年合约。你不会知道啥时候这东西就变过时了。”

史蒂夫·棱兹，三星美国研究中心CSO，态度更加激进，都快成个人行为了。他不想要符合宣传的产品，而是想要能超出宣传效果的产品。“我找厂商就要找我相信他们能做到更多的，这是一大亮点。其中包括他们的支持得是顶级的；而且最好先给我最合理的价格。如果我还得讨价还价来争取最佳报价，那他们就出局了。如果我得发邮件给他们的客户支持与销售副总，说‘你的支持糟透了！’，厂商出局。如果厂商切实做到承诺的效果甚至超出预期，且我们先用POC加以证明再购入，他们通常就会常驻我们的安全环境中了。只要继续保持，我乐于续签。”

关于对抗厂商炒作和FUD的最佳办法，科尼格称，“要在找厂商来解决问题前，了解自己的安全问题所在。只有企业自身才会知道自己有哪些问题。而你自己的问题不应该是那些在格子间里给你打电话的家伙来告诉你的。”

当企业完全理解自身问题之后，再自行挑选厂商，可以逛论坛，问同行，咨询除厂商以外的所有人。当然，要在联系厂商之前这么做。到了要引入厂商的时候，务必让厂商先证明产品的能力。让他们显示出工具能解决公司的问题，不是用厂商自己弄的封闭演示，那玩意儿100%的时间都在向你灌输新鲜热词。无论你的决定是什么，销售团队走后很久你都得继续耗在这事儿上。如果你引入的是解决不了实际问题的东西，厂商可不会为此负责。

“买前先试用”是一直在重复的建议。比尔·伯恩斯认为，这是个不断发展的选项，终将解决炒作和FUD问题。

随着移动、SaaS和云计算的到来，公司如今可以在同个基础设施上提供软件的试用版，即真实的用户体验。厂商可以直接向目标客户毫无保留地展示自己的产品，并有义务证明其产品的价值。

“意识到未满足需求”和“测试解决方案”之间的时间差正在快速缩短；优秀的市场人员知道依靠炒作会比以前更快引发负面反应。

终极解决方案

没有什么所谓的终极解决方案。销售人员会继续推销自己代表的产品而不是合适的解决方案。媒体依然会当标题党吸睛。二者的结合总会产生伊恩·李维描述的网络怪兽现象。但如果比尔·伯恩斯是对的，新信息时代会通过信息民主化自我修正问题。其中新元素就是公民记者——毫不犹豫纠正专业记者、批评过度炒作产品的独立博主。独立博客将迫使媒体和厂商保持诚实。

大卫·哈利既是安全研究员，也是位高产的博主。“毫无疑问，与战争和流行病相关的情绪化语言，一直都是安全相关营销(和新闻业)的主力军。我不敢说我喜欢它——我安全职业生涯中很大一块都献给了扑灭浮夸之火与戏剧化的演绎，并倡导更多准确的描述。”

但我最担心的，还是出于欺骗而不是日常马虎的词句误用。在用“被某种木马入侵”更为准确的场合，将某系统描述被“被感染”，往往让我很是恼怒。将‘病毒’用作“恶意软件”的同义词，也让我很愤慨。不过，我认为，规避“成功的攻击”和“攻击尝试”之间的区别，就是很直白的欺骗了。因为说“千万系统被攻击了”，会比加上“0.001%的攻击是成功的”更具戏剧性，更能造出有效营销点。

随时间流逝，像哈利这样的博主，至少能通过让记者和厂商保持诚实与真实，来驱逐网络怪兽。