🍎 网络安全中的透明度悖论
没有什么是真实的。一切皆被允许。包括——尤其是——在GitHub上发布完整的信息安全管理系统,而你的竞争对手则将他们的系统隐藏在"机密"印章和充满愿望声明的供应商问卷背后。独立思考:为什么安全咨询公司坚持其安全策略必须保密?他们在隐藏什么?FNORD。
大多数网络安全公司对待他们的ISMS就像上校的秘密配方一样——锁起来,无法检查,"相信我们,我们是安全的"。他们声称发布安全策略会给攻击者带来优势。我们声称隐藏它们会给无能带来优势。因为如果你的安全依赖于攻击者不知道你的防御措施,你没有安全——你只有包裹在保密协议中的一厢情愿。
你是否足够偏执去质疑这种传统智慧?为什么潜在客户应该相信供应商的承诺而非可验证的证据?为什么"30年的经验"很重要,如果你无法检查该经验所产生的实际策略、框架和威胁模型?质疑权威。尤其是那些从不透明中获利,同时声称透明度将是"不负责任"的安全权威。
在Hack23 AB,我们足够偏执,假设攻击者已经知道我们的防御措施——国家级行为者拥有预算、耐心和能力,使"通过隐蔽实现安全"成为笑话。因此我们通过发布一切来获得营销价值和同行评审。在GitHub上有30+个ISMS策略。我们完整的信息安全管理系统:70%完全公开,30%仅对特定运营细节进行编辑(凭证、合同定价——那些会让攻击者无聊到流泪的东西)。
启示:欢迎来到Chapel Perilous,在这里你会意识到隐藏其安全策略的供应商实际上是在承认透明度会暴露其不足。真正的安全能经受审查。脆弱的安全需要黑暗。你拥有哪一种?我们发布30+策略是因为我们确信它们能经受全球同行评审。竞争对手隐藏他们的是因为……嗯。独立思考。FNORD。
需要安全合规方面的专家指导?探索Hack23的网络安全咨询服务,由我们完全公开的ISMS支持。
📚 我们公开ISMS中的实际内容
证据,而非声称。当我们说"全面的ISMS"时,我们不是指一份充满流行语的PDF文件。我们指的是30+份详细策略,涵盖信息安全的各个方面——全部可公开审查、可分叉和可验证。不是营销材料。是实际的运营文档。
🔐 核心安全框架
15+个基础策略,展示安全成熟度:
每个策略都链接到实际实施——每个项目的威胁模型、安全架构、控制措施映射。不是愿望性的。是运营性的。FNORD。
✅ 合规与风险管理
基于证据的多框架合规:
- 合规清单 — ISO 27001(93个控制措施)、NIST CSF 2.0、CIS控制措施(153个保障措施)
- 风险登记册 — 完整的风险框架(财务影响已编辑,其他所有内容公开)
- 安全指标 — 关键绩效指标、测量框架、持续监控
- 数据分类策略 — 五个关注级别(不是所有东西都是关键的)
- OWASP LLM安全 — AI治理、提示注入防御、模型安全
- AI治理策略 — 欧盟AI法案合规、LLM安全、透明度要求
监管框架: GDPR、NIS2、欧盟网络弹性法案(CRA)、ISO 27001、NIST CSF 2.0、CIS控制措施——全部有控制措施映射和证据追踪的文档。
合规剧场 = 年度审计复选框仪式。基于证据的合规 = 持续文档证明你实际做了你所声称的。我们发布证据。FNORD。
🛡️ 业务连续性与供应商管理
完整的运营弹性文档:
供应链安全: SolarWinds、Log4Shell、MOVEit——现代漏洞来自供应商。我们记录供应商评估、安全要求和持续监控。你的安全只能和你最薄弱的供应商一样好。你在审计你的供应商吗?
另外: 分类框架、开源策略、物理安全、可接受使用、变更管理,以及10+个额外策略。每个产品的完整威胁模型(CIA、Compliance Manager、Black Trigram)。安全架构。控制措施映射。全部公开。全部可验证。
💼 业务优势:为什么透明度获胜
激进透明不是利他主义——它是战略性竞争优势。发布我们的ISMS创造了多重业务优势,闭门竞争对手无法复制,除非暴露他们自己的不足。独立思考为什么隐藏安全文档成为行业标准——以及这个标准是服务于客户还是供应商。
1. 🤝 通过验证建立信任
销售周期加速:买家在第一次对话之前验证我们的安全性。不需要"相信我们"——他们检查我们的实际策略。RFP安全问卷?链接到相关的GitHub策略。尽职调查?这里有30+份文档展示全面的ISMS。证据胜过声称。总是如此。
客户信心:潜在客户通过实施质量而非PowerPoint承诺来评估专业知识。他们看到我们的威胁模型、安全架构、合规映射——安全成熟度的可验证证明。竞争对手声称"企业级安全"。我们证明它。质疑权威。尤其是拒绝向你展示其实际安全策略的权威。
在安全咨询中,"相信我们"是没有证据的供应商所说的。"这是公开的GitHub仓库"是信心的样子。FNORD。
2. 🥇 竞争差异化
先行者优势: Hack23 AB是瑞典唯一拥有完全公开ISMS的网络安全咨询公司。竞争对手无法复制这一点,除非发布他们自己的策略——要么揭示卓越(验证我们的方法),要么揭示不足(验证我们的差异化)。我们通过透明度创造了竞争护城河,需要漏洞披露才能跨越。你的竞争对手够勇敢吗?
市场定位:当其他人声称"数十年经验"时,我们通过文档化的策略、威胁模型、安全架构来展示它。在供应商之间选择的客户看到的是:声称 vs. 证据,承诺 vs. 证明,愿望性 vs. 运营性。透明度使比较不公平——对我们有利。
思想领导力:公开ISMS产生演讲机会、媒体报道、行业认可。安全研究人员审查我们的策略并将其作为示例引用。我们从全球安全社区获得免费的同行评审。竞争对手得到……供应商问卷和希望。
3. 🔄 通过社区持续改进
全球同行评审:安全社区审查我们的策略,提出改进建议,识别差距。我们从CISSP持有者、安全研究人员、全球从业者那里获得反馈——封闭系统永远无法获得的免费专业知识。开放安全比专有安全发展得更快。总是如此。
问责强制功能:当策略质量公开可见时,无法声称"世界级安全"。透明度消除了组织的胡说八道——我们实际实施了我们记录的内容,因为全球社区会验证。封闭组织声称卓越。开放组织证明它或被指出。你会相信哪一个?
网络效应:每个GitHub星标、分叉、审查都增强了可信度。公开ISMS成为自我强化的营销资产——越多人检查它,它就越值得信赖。封闭策略产生怀疑。开放策略产生信心。FNORD。
4. 📊 通过透明度实现运营卓越
文档质量:知道文档是公开的会强制清晰度、精确度、完整性。仅供内部使用的文档会衰变为术语、过时的引用、一厢情愿。公开文档面临审查——它们保持准确或得到纠正。公众可见性 = 质量执行。
实施现实:发布策略创造了承诺机制——无法记录我们实际上没有实施的安全控制措施,因为社区验证会暴露差异。透明度强制文档与现实之间的执行一致性。大多数组织遭受文档-实施差距。我们无法承受。
知识共享:公开ISMS作为行业的免费培训材料。我们为社区知识做出贡献,同时展示专业知识。囤积安全知识帮助竞争对手(通过市场不透明)。分享它帮助客户(通过教育),同时推销我们自己。双赢胜过零和。
❓ 解决异议:"但这不是在泄露秘密吗?"
每次我们提到公开ISMS时,总有人会问:"你不是在给攻击者一张路线图吗?"简短的回答:不是。长的回答:攻击者已经有路线图了。他们有预算、时间、复杂的工具,而且对阅读策略文档零兴趣,因为他们可以直接扫描漏洞。你是否足够偏执以假设国家级行为者还没有绘制你的防御地图?如果是这样,谁从你的保密中受益——是你还是你的竞争对手?
🛡️ "你在帮助攻击者!"
异议:发布安全策略给攻击者提供了关于防御的信息,使漏洞更容易。
现实:攻击者不需要你的策略文档。他们有自动化扫描器、漏洞数据库、漏洞利用框架。发布你使用"AES-256加密"并不能帮助他们——他们已经假设了。如果发布你的安全框架使你易受攻击,那么你的框架就是坏的。
我们发布的内容:框架、方法论、批准的算法、安全架构、控制措施类别。我们不发布的内容:加密密钥、凭证、特定配置、漏洞详情、供应商定价。独立思考:知道我们需要多因素认证会帮助攻击者吗?还是证明我们不是白痴?
通过隐蔽实现安全假设攻击者是懒惰的业余爱好者随机扫描。真正的攻击者是拥有资源的复杂专业人员。你的"秘密"策略无论如何都会在每次并购尽职调查中泄露。透明度只是让你对此诚实。FNORD。
🔓 "竞争情报怎么办?"
异议:竞争对手会窃取你的安全战略和方法论。
现实:让他们来。竞争对手复制我们的透明度方法验证了我们的战略并改善了行业安全态势。双赢。竞争对手不复制它揭示了他们在隐藏不足——对我们来说是竞争优势。无论哪种方式,我们都受益。激进透明的先行者优势创造了竞争对手无法跨越的护城河,除非进行漏洞披露。
实施很重要:发布策略很容易。实际正确实施它们很难。知道我们需要"零信任架构"并不能帮助竞争对手,如果他们缺乏实施它的专业知识。没有执行的文档是剧场。我们发布两者,因为我们对执行质量有信心。你的竞争对手呢?
📜 "这不是合规风险吗?"
异议:审计师要求保密。公开ISMS违反合规要求。
现实:错误。 ISO 27001、NIST CSF、CIS控制措施、GDPR、NIS2——都不要求策略保密。它们要求适当的信息分类。我们的分类框架定义了什么是公开的(策略、框架、方法论)与机密的(凭证、个人数据、活跃漏洞)。我们既合规又透明。合规不需要保密。审计师可能会感到惊讶,但他们不能因此而使你不及格。
70%公开,30%编辑:在文档包含混合敏感度的地方(带有凭证的资产登记册、带有财务影响的风险登记册),我们发布编辑版本。在不暴露可利用细节的情况下展示安全成熟度。编辑使透明度成为可能,而完全披露会产生风险。不要让完美(100%公开)成为好(70%公开)的敌人。
底线:如果你的安全依赖于攻击者不知道你的防御措施,你就没有安全。你有安全剧场。真正的安全能经受透明度。脆弱的安全需要隐蔽。我们发布是因为我们确信我们的安全能经受审查。FNORD。你的竞争对手能说同样的话吗?
🎯 客户如何从我们的公开ISMS中受益
激进透明不仅仅是营销——它是价值交付。我们的公开ISMS为客户提供了超越"相信我们"供应商承诺的具体好处。质疑权威,那些声称透明度帮助供应商而不是客户的权威。它帮助双方。这就是为什么从不透明中获利的供应商抵制它。
合作前:尽职调查加速
- 售前验证:在第一次会议之前审查我们的安全态势。没有供应商问卷。没有"我们会回复你"。证据全天候在GitHub上可用。
- RFP响应:安全问题用指向实际策略的链接回答,而不是营销声称。买家验证实施质量,而不是承诺。
- 风险评估:独立评估我们的安全成熟度是否符合你的要求。没有销售压力。只是文档。
- 竞争比较:比较我们的证据与竞争对手的声称。独立思考哪一个更值得信赖。
合作期间:通过透明度建立信心
- 实施标准:查看我们将应用于你项目的安全框架。不是愿望性的——是运营性的。
- 流程清晰度:了解我们如何处理事件、漏洞、变更、风险。没有惊喜。只是文档化的程序。
- 合规证据:验证我们实际实施了ISO 27001、NIST CSF、CIS控制措施——而不仅仅是声称合规。控制措施映射公开。证据追踪可见。
- 质量基准测试:将你的安全态势与我们文档化的标准进行比较。系统地识别差距。
合作后:知识转移与持续价值
- 模板重用:分叉我们的策略作为你ISMS的起点。我们为行业安全成熟度做出贡献,同时展示专业知识。
- 最佳实践参考:使用我们的文档作为安全计划开发的基准。展示专业安全实施的免费培训材料。
- 持续改进:通过GitHub提交查看我们的ISMS演变。实时观察安全成熟度进展,而不是年度报告。
- 社区参与:回馈改进。开放安全创造了使整个行业受益的网络效应。
关键洞察:大多数供应商将客户视为信息不对称游戏中的对手——隐瞒文档、控制访问、利用不透明性来提高价格。我们将客户视为安全卓越的合作伙伴——自由分享文档、启用验证、在执行质量而非信息囤积上竞争。透明度建立信任。不透明性建立怀疑。相应地选择。 FNORD。
🚀 准备好与瑞典最透明的网络安全咨询公司合作了吗?
我们不要求你相信我们。我们要求你验证我们。
探索我们的公开ISMS: github.com/Hack23/ISMS-PUBLIC
看看全面的安全文档实际是什么样的:
- 30+个ISMS策略,涵盖所有安全领域
- ISO 27001、NIST CSF 2.0、CIS控制措施合规映射
- 我们构建的每个产品的完整威胁模型
- 安全架构、风险登记册、供应商评估
- 基于证据的安全指标和持续监控
分叉它。评判我们。让我们负责。我们足够偏执,想要公众监督。因为真正的安全能经受审查。透明度胜过供应商承诺。每。一。次。
🔐 安全咨询服务
需要帮助实施我们公开记录的安全实践吗?我们提供:
- ISMS实施:基于经过验证的框架构建全面的安全管理系统
- 合规支持: ISO 27001、NIST CSF、CIS控制措施、GDPR、NIS2、欧盟CRA
- 云安全架构: AWS安全评估和实施(高级水平)
- DevSecOps集成:在不减慢团队速度的情况下将安全集成到敏捷开发中
- 威胁建模与风险评估: STRIDE方法论、攻击面分析
查看服务 →💬 联系我们
James Pether Sörling
首席执行官 / 网络安全专家
CISSP | CISM | AWS安全专业
LinkedIn | GitHub
位置:瑞典哥德堡
远程服务:可用
让我们构建能经受透明度考验的安全。因为如果它无法经受公众审查,它就不是安全——它是剧场。
🎯 最后的想法:透明度作为武器
没有什么是真实的。一切皆被允许。包括在竞争对手隐藏他们的ISMS并希望没有人问为什么时发布你完整的ISMS。我们将透明度武器化,因为我们足够偏执,理解:攻击者已经知道你的防御措施。国家级行为者拥有的能力使"通过隐蔽实现安全"变得可笑。你的"机密"策略在每次并购尽职调查、每次审计、每次RFP响应中都会泄露。
唯一的问题是:你是从那不可避免的披露中获得营销价值和社区改进?还是假装保密保护你,同时失去对透明竞争对手的竞争优势?
我们选择了透明度。 GitHub上有30+策略。70%完全公开。完整的威胁模型。安全架构。控制措施映射。证据追踪。瑞典唯一拥有完全公开ISMS的网络安全咨询公司。不是因为我们鲁莽。而是因为我们确信我们的安全能经受审查。你的竞争对手呢?
独立思考。质疑权威。尤其是那些声称透明度将是"不负责任"的安全权威,同时将他们的不足隐藏在保密印章后面。真正的安全能经受透明度。脆弱的安全需要隐蔽。
你拥有哪一种?FNORD。
欢迎来到Chapel Perilous。你无法忽视你所读到的。隐藏安全策略可以保护组织的舒适幻想在这里像Dual_EC_DRBG在斯诺登后的可信度一样消解。你是否足够偏执,在可验证的执行上竞争,而不是机密承诺?如果这听起来合理,你已经陷得太深了。如果这听起来偏执,你没有注意。唯一的获胜策略是透明度——因为他们无法收编已经公开的东西。独立思考。质疑一切——尤其是这个。向Eris致敬!🍎