Terry Grogan一度发现自己处在一个和许多安全管理人员一样的境地中:她所在的组织正经历关键的技术革新中,而同时要依靠一个人员不足的部门来解决大量的安全隐患。
因此,Grogan需要部署新的、更先进的网络监测能力。
这时,她发现了一个非常突出的合作伙伴:一个供应商提出一个免费试用三个月解决方案的计划;在这三个月中,通过试用发现医院最大的安全缺口,以及解决方案究竟能否解决。
Grogan事后表示,通过三个月的试用,他们不仅能够看到该产品如何能够解决他们已知的问题,还发现产品能够带来一些他们之前未曾想到的效率。Grogan因此被该产品所折服,从而和该供应商签下了长久的合作合同。
事实上,Grogan最终决定和该供应商签约并非只是基于解决方案本身的能力。诚然,Grogan需要一个能生效的产品,但最终依然是供应商愿意和医院进行合作,讲自己的解决方案融入医院现有的技术栈中,同时给Grogan提出最佳的安全策略——这些才是让该厂商脱颖而出的地方。
“我需要的不只是一个供应商,更是一个合作伙伴——毫无例外!”如今已经成为Pixel Health的CISO的Grogan表示,“以前都是买一些产品,比如反病毒软件,由厂商安装完以后就离开了。但是现在的安全相当复杂,同时接触了太多方面,在各种架构上重叠,而变化又如此之快,因此我们需要的不仅是一个供应商,还得是一个顾问。”
CISO们总是需要安全厂商为他们提供他们需要的工具去守护企业安全——一般而言,不会有太多企业能够自研一套自己的企业安全运营方案。但是,CISO们同样会有大量的供应商进行选择;考虑到CISO们有限的时间和预算,以及他们越来越重要的工作,他们变得越来越小心谨慎,并且需要区分他们到底该和哪个厂商合作。
这不仅仅需要CISO们减少使用的安全厂商的数量。不过,Gartner将“安全厂商整合”列入了2021年的企业安全趋势中,并且表示“大部分组织会将厂商整合作为降低成本和增强安全的方法”。CISO们最终希望的,还是确保他们选择的厂商能够提供有质量的解决方案,以及一些额外能够让他们安全团队进一步提升的附加价值。
了解CISO们的需求
罗彻斯特理工大学Golisano学院的计算与信息科学技术运营主任Thomas Cary认为,CISO们对厂商的需求各不相同,他们会在不同的时间从不同的厂商处寻求不同的价值。他表示,CISO们有时候依然会希望厂商简单地提供一个需要的解决方案,部署完成后直接离开——但是现在这种情况极少。
Cary有一个关于他对厂商期望的列表。他需要厂商能够知晓并理解他的组织以及其现有的安全工具,从而厂商能够分清组织的强项和弱项;然后厂商提出能够缩小安全缺口的方案,加强组织的安全态势,并帮助Cary的团队实现他们的目标。
“安全厂商需要花时间认识到自己的客户,然后做好自己的功课,为满足组织的需求建立解决方案。”Cary说道,“这样才能从真正从其他厂商中脱颖而出。”
Cary也表示,他不想让厂商做得太过。厂商们不仅要展现自己的能力,同时也要坦诚自己的局限性。
他提到一个为他组织提供多种能力的邮件过滤平台厂商。该厂商计划嵌入一个基于他现有工作流的请求过滤能力,但是同时额外的功能也会在这些工作流当中自动化一些功能。但与此同时,厂商也承认Cary的团队已经有一些来自其他厂商的能力,因此没必要由他们再去做相同的功能。
“那个厂商真正将我们的利益放在了心里,没有进行过度的营销。所以,我们知道我们可以信任他们的话,而最终他们真的帮我们提升了我们的整体事件响应能力。”Cary对该厂商表示了肯定。
其他CISO们也表达了类似的期望。市场公司Merritt Group在2020年发布了《市场以及CISO销售》报告,里面的内容与Cary和其他CISO们表示想从厂商那里获得的东西基本一致。
根据该报告:“最重要的是,向CISO营销要求定制化和基于问题的策略。在网络安全里没有‘以一配全’的万能解决方案,而CISO们对任何这类保证都会起疑。CISO们真的需要能解决他们独特痛点的解决方案,而近半数的CISO们需要厂商在进行销售或者市场沟通前做好自己的功课。”
展示,而非空口说
报告进一步指出,34%的受访CISO如果能理解CISO面临的困境并展现在CISO面前,就有更大的成功机会。
报告中提到这34%的受访人表达“一旦厂商理解了CISO的需求,下一步就展示他们的理解——而不仅仅是空口说,要具体说明某个解决方案能如何起作用。CISO们相比任何其他后续联络,更偏向的还是产品demo。”
换句话说,在有20年企业和联邦政府中进行分析、威胁情报和安全执行经验的圣路易斯马维尔大学的助理教授Brian M. Gant看来,厂商需要证明他们如何能帮助CISO们更有效、更高效地保障企业安全。
另一方面,Gant还说,厂商还需要通过分享他们从多个组织中获取的经验,展示他们如何能够满足当前的需求以及未来的需求。
“厂商不仅需要满足那些马上就要达成的需求,还需要帮助CISO们扩展他们的知识。”Gant如是说到。
厂商同样也需要更灵活,愿意并且有能力去适应、尝试、并快速实现企业的环境变化。
新冠疫情就体现了这样的需求,但同样很多日常的业务项目也会有这样的需求。Gant提到有一次,他和另一名CISO一起工作,那名CISO的组织正在经历裁员,因此需要他们的安全管理服务商快速部署行为监测能力,确保员工不会接入、复制、移除敏感信息。
Gant还提到,厂商需要有能力在谈判桌上,给CISO们多样化的选择。
最大化厂商价值
Altria Group的CISO,Chas Heng则有类似的看法:“我们希望我们的安全伙伴能够为我们的安全策略和总体方向提供指导和意见,将我们的安全项目和我们行业中的同行进行对比,确保我们在网络安全能力上投入适当,并且和安全行业的最佳实践匹配。”
因此,他需要的厂商不仅要有能力提供产品和解决方案,还需要提供咨询服务。
“我需要他们成为战略思想伙伴,这是我第一需要帮助的事——无论他们是软件供应商,还是提供支持服务。我需要他们带来外部的见解,从而可以帮助我们改进我们的项目。”
为此,Heng和他的团队会经常和厂商见面,制定月度反思和季度会议,开拓项目方向。Heng自己每个月都会和几乎所有战略供应商见面,讨论他们能带来哪些新的能力。
“我们会花时间谈论解决方案的表现情况,这时候我会有一些额外的要求;我也会谈到今后的需求以及优先级,这样他们也能反馈我他们可以提供的资源以及支持。”Heng提到,“他们会带来我们可改进的推荐。”
IT管理和咨询公司Swingtide的顾问Bill Serowka表示,CISO们依靠他们的供应商提供建议以及指导是一个明智的选择;因为厂商在不同组织的积累能让他们发现CISO们以及其团队无法看见的盲点。
不过,同时,Serowka也表示厂商还是需要满足CISO们最基础的需求:能够在CISO的组织现有结果中实现的有效解决方案,交付保证的产品,以及——提升组织整体的安全态势。
Vonage的CISO,Sanjay Macwan,建立了一个7点框架,确保他自己能从他的供应商中获得全部七项需求。根据他的框架,Macwan需要厂商能够:
- 用简洁的名词说明他们的解决方案能做什么,不能做什么;
- 他们的产品如何能够与现有解决方案互补;
- 如何在他的组织中流程化他们的解决方案——换句话说,集成点有哪些,以及他自己的工程师和架构师需要做哪些事情从而让解决方案上线运作;
- 厂商则有谁会为他的团队提供技术支持;
- 解决方案中任何与“智能”相关的算法(Macwan表示:“人工智能和机器学习的夸大成分太多了,因此我需要亲自查看算法。”);
- 他们当前要用到的运营以及技术能力,包括他们的技术会如何演进;
- 厂商会会如何和他与他的团队建立战略关系。
