卖家秀与买家秀视频想必大多数人都已经领教过了。“我想象中我的样子 vs. 我实际上的样子”也有宠物版、成熟老公版,甚至是个人版可供打破幻想认清现实。
安全行业也不能免俗,多年来一直存在类似的现象:新产品或新技术总是伴随着天花乱坠的大堆承诺;然而,实际运营的结果往往十分打脸。回想一下早期的入侵预防系统(IPSes)。安全公司推出的IPSes承诺客户可以在网络上即插即用,插上就能阻止设备认为的所有不良事件。听起来简直太棒了,对吧?但运营现实却是不该阻止的也被阻止了,误报多到令人无法接受。而当安全团队被问到“为什么连这个都被阻止?”时,他们甚至都得不到任何答案,因为这种IPS设备是个“黑箱”。
显然,安全技术的美好承诺和实际运营现实之间存在巨大的鸿沟。我们不妨来看看更近期的例子:安全编排、自动化与响应(SOAR)平台,以及扩展检测与响应(XDR)解决方案。
SOAR在过去几年间可谓风头无两,然而,就是这种备受推崇的安全技术,其承诺与运营现实之间也脱节了。SOAR承诺,自动化过程可以帮助用户节省时间和资源,还能加速响应。但运营现实却是你还得定义适合自身环境的各种过程。即插即用?不存在的。而且,更重要的是,你必须确保为过程制定了正确的标准和触发器。如果没有预先聚合、评估和排序情报——可以也必须自动化的几个步骤,那你最多是搞出个“坏数据进,坏数据出”的情况。会造成什么结果呢?反而放大了噪音,既阻碍安全操作,又浪费宝贵资源,最终还妨碍了安全。整个运营现实就是:你需要正确的输入来聚焦对自家公司而言真正重要的事务,还需要正确的过程来更快速地采取正确的操作。
最近俘获大量市场关注的新兴产品是XDR。企业战略集团(ESG)对XDR的定义是:“跨混合IT架构的安全产品集成套件,旨在互操作和协同威胁预防、检测与响应。XDR将控制点、安全遥测、分析和运营统一到一个企业系统中。”企业关注这种方法是因为XDR的承诺之一就是供应商整合。从一家供应商处获得具有多个实施点的单一解决方案,不仅能够利用云的各种优势,还是预先集成的——这么方便流畅功能强大的集成套件谁不想要?只要有了XDR,就可以摆脱与当前几十家产品供应商打交道的麻烦,省时省力地专心与一家(或极少数几家)供应商合作即可。
但这美好的承诺存在问题。实际情况是,没有哪家企业是白纸一张。平均而言,企业正在使用的不同安全工具多达45种以上,而且全盘更换的意愿不大。此外,预算和团队各异的不同部门也用的是不一样的解决方案。不可避免地,一些团队会坚持使用其最佳解决方案,单一供应商提供的整合解决方案在功能上无法与之匹配。而时间将证明XDR解决方案提供商是否能够保持一流解决方案提供商的创新水平,将资源投注于解决特定用例、新型威胁和新兴威胁载体。如何处理仍需继续使用的内部工具也是个问题,至少在完全迁移到云端之前的时间里是个问题。企业可将工具的数量减少到十几个,但这些工具仍然不能互操作。
于是,我们该如何弥合安全技术的承诺与运营现实之间的鸿沟呢?在确定要投资哪些安全技术时,别忘了不仅要制定技术路线图,还要制定并调整运营路线图。否则,不仅短期内无法充分发挥任何技术投资的价值,长期看还可能损害技术采用势头。不要被产品推销时的承诺迷花了眼,要根据公司业务和将会发生的现实做出决策。例如,供应商整合是个大目标,但你的公司要采取什么路线来达到这个目标呢?是通过全盘更换向前跃进,还是随时间推移慢慢过渡更适合公司?什么时候需要什么技术或产品来支持你所选择的前进路线?
卖家秀与买家秀视频是挺让人会心一笑的。但涉及安全问题,幽默就不合时宜了。我们必须也能够弥合其间差距。
