Shall We Play a Coordination Game? 深度解读

背景

在科技行业中，信息安全（InfoSec）与软件工程/运维（DevOps）之间的关系长期以来被视为充满张力、冰冷甚至对立的。这种“安全团队”与“开发团队”之间的文化隔阂，往往导致协作效率低下，阻碍了组织的整体发展。

传统的观点常将安全视为一种必须不惜代价满足的合规要求，或者将其视为阻碍软件交付速度的绊脚石。然而，这种二元对立的视角忽略了两者在组织目标上的潜在一致性。本文作者试图跳出传统的文化批判，引入行为经济学中的博弈论（Game Theory）概念，特别是“协调博弈”（Coordination Game）和“道德风险”（Moral Hazard），来重新审视和定义 InfoSec 与 DevOps 之间的关系。

文章的核心前提是：安全不应被视为一种孤立的产品或成本中心，而应被视为一种“业务赋能者”（Business Enabler）。在现代技术组织中，最关键的业务赋能因素是软件交付性能（Software Delivery Performance）。因此，安全团队需要与关注软件交付的相关利益相关者，特别是工程组织（即 DevOps 职能），建立合作而非对抗的关系。

核心内容

安全作为产品与业务赋能者

如果我们将安全视为一种“产品”，那么它必须有明确的目的，即它试图帮助用户（也就是组织）完成什么任务？如果没有这个目的，安全就会陷入“为了安全而安全”的无目的陷阱。

如果我们将安全重新定位为“业务赋能者”，结果会如何？在许多科技公司中，最关键的商业赋能因素是软件交付性能。因此，安全应当与专注于软件交付性能的相关利益相关者合作，尤其是工程组织（俗称 DevOps 职能）。

博弈论视角：从对抗到协调

为了理解 InfoSec 和 DevOps 的关系，作者引入了博弈论中的几个关键概念：

1. 合作与非合作博弈：

   • 非合作博弈：玩家之间进行竞争，没有外部权威强制执行合作，无法形成联盟。例如，攻击者与防御者之间的关系通常被视为非合作博弈。
   • 合作博弈：玩家之间进行合作而非竞争。玩家可以组成联盟来协调策略并分享潜在收益。著名的例子是“囚徒困境”（Prisoner’s Dilemma），这是一个非零和博弈。

2. 零和与非零和博弈：

   • 零和博弈：所有玩家的总收益为零，一方的收益等于另一方的损失。扑克牌游戏是典型的零和博弈。
   • 非零和博弈：所有玩家的总收益不为零，一方的收益不一定导致另一方的等量损失。自由贸易是典型的非零和博弈，所有玩家都可以受益，实现双赢。囚徒困境也是非零和博弈，因为它可能导致双赢或双输。

3. 信息特性：

   • 完全信息与不完全信息：在完全信息博弈中，所有玩家都知道其他玩家之前的所有决定。这在现实生活中很少见（除了井字棋或象棋等游戏）。在不完全信息博弈中，玩家无法看到其他玩家之前的所有决策。
   • 信息不对称：作者将上述信息特征简化为“信息不对称”，即玩家拥有其他玩家无法访问的相关信息。虽然信息不对称通常在交易背景下分析，但作者认为它归根结底是相关玩家之间决策的问题。

将 InfoSec 与 DevOps 的关系定义为“协调博弈”

作者认为，DevOps 和 InfoSec 的关系可以被视为一个具有信息不对称的协调博弈。

• 为什么不是非合作博弈？ 因为 InfoSec 和 DevOps 有足够的空间形成联盟，且组织可以作为合作的外部执行者。
• 为什么存在信息不对称？ 因为 DevOps 和 InfoSec 都无法完全洞察对方的决策过程，也无法获取所有相关信息（其中许多可能是隐性的、被视为部落知识的）。

在协调博弈中，目标是理解如何鼓励合作以最大化集体收益。这引出了关键问题：什么导致了协调失败？

1. 战略不确定性：玩家没有意识到他们的目标是一致的。
2. 目标不一致：目标的不一致也会在协调博弈中产生摩擦。

因此，需要机制来促进合作（在偏好一致的情况下）或强制执行合作（在偏好不太一致的情况下）。

人类的天性与道德风险

尽管传统博弈论预测人类倾向于非合作，但实证证据表明，人类天生比理论预测的更具合作性。然而，当决策权和信息占有权不平等时，可能会出现“道德风险”（Moral Hazard）。

道德风险是指当某人受到某种方式的风险保护时，他们增加了自己的风险暴露。它与“委托-代理问题”（Principal-Agent Problem）有关，即代理人（Agent）代表委托人（Principal）做出决策，可能导致代理人采取符合自身利益但不符合委托人利益的行为。信息不对称加剧了道德风险问题，因为一方拥有另一方无法访问的信息，从而产生了剥削的激励。

具体案例：

• 保险：如果你拥有一份涵盖所有潜在损失的全额保险，理论上你投资于强大安全计划的动力就会减弱。保险公司可能假设你会维持当前的保护水平，但你拥有他们不知道的信息——你根本没有打算这样做。因此，你愿意接受更多风险，因为你受到风险影响的保护，这可能会让你追求一种“YOLO Security”（冒险安全）策略。
• InfoSec 与 DevOps：在大多数组织的团队结构中，存在道德风险的可能性。DevOps 可能会增加他们对安全相关风险的暴露，因为他们没有受到……（原文在此处中断，但逻辑指向 DevOps 可能因为缺乏明确的责任归属或惩罚机制，而忽视安全最佳实践，从而将风险转嫁给组织或安全团队）。

关键要点

• 安全是业务赋能者：安全不应被视为孤立的产品，而应被视为促进组织目标（特别是软件交付性能）的业务赋能工具。
• 关系重构：InfoSec 与 DevOps 的关系不应是对抗性的，而应被重新定义为“具有信息不对称的协调博弈”。
• 共同目标：双方存在形成联盟和实现双赢（非零和博弈）的巨大潜力，组织应作为合作的外部执行者。
• 信息不对称是核心障碍：双方缺乏对彼此决策过程和隐性知识的完全了解，导致战略不确定性和协调失败。
• 道德风险的存在：由于信息不对称和责任划分不清，DevOps 可能因缺乏直接的安全后果承担而增加风险暴露，导致道德风险。
• 人类合作天性：尽管博弈论预测非合作，但人类天生具有合作倾向，关键在于设计合适的机制来引导这种合作，消除目标不一致和战略不确定性。

意义与影响

这篇文章为科技组织解决安全与开发团队之间的长期矛盾提供了一个新的理论框架。通过引入博弈论和行为经济学，它超越了传统的“猫鼠游戏”叙事，强调了合作的可能性和必要性。

1. 促进跨部门协作：将安全视为业务赋能者，有助于打破部门墙，使安全团队从“警察”角色转变为“合作伙伴”角色，从而更好地支持 DevOps 的敏捷交付。
2. 优化风险管理：通过识别和解决信息不对称和道德风险，组织可以设计更有效的激励机制和责任体系，确保 DevOps 在追求速度的同时，不会忽视安全合规。
3. 提升整体安全效能：当安全与 DevOps 目标对齐时，安全控制可以更早、更无缝地集成到软件开发生命周期（SDLC）中，从而提高整体安全效能，而非仅仅作为事后检查。
4. 文化变革：这种视角的转变有助于培养一种共同承担责任的安全文化，减少对立情绪，增强团队间的信任和透明度。

总之，作者呼吁组织通过理解博弈动态，设计适当的协调机制，来引导 InfoSec 和 DevOps 走向合作，从而实现组织整体利益的最大化。这不仅是一个技术问题，更是一个涉及人性、激励和组织设计的复杂社会技术问题。