上周,我寫了一篇文章,關(guān)于當今安全技術(shù)的快速創(chuàng)新周期,我從來沒有經(jīng)歷過安全堆棧的每個元素都在轉(zhuǎn)變的時候。
新的安全技術(shù)正處于一個恰當?shù)臅r機。據(jù)ESG研究顯示,在2017年,有69%的企業(yè)增加了網(wǎng)絡(luò)安全預(yù)算,我的猜測是,他們將在2018年繼續(xù)增加投入。當被問及哪些業(yè)務(wù)計劃將最能推動IT支出時,有39%的企業(yè)回應(yīng)說:“加強網(wǎng)絡(luò)安全保護“。這意味著企業(yè)高管為了全面提升網(wǎng)絡(luò)安全正在努力。
那么安全技術(shù)轉(zhuǎn)型似乎來得恰逢其時,對嗎?沒有那么快。上周我所寫的許多技術(shù)變革仍然在起步階段,尚未部署,原因包括以下幾個:
• 網(wǎng)絡(luò)安全文化沖突。在當今市場上,供應(yīng)商和客戶之間存在巨大的文化鴻溝。所雇傭的網(wǎng)絡(luò)安全專業(yè)人員用來全方位地檢查各項技術(shù),尋找開放的漏洞。這使得他們自然就秉持著懷疑態(tài)度。或者,新技術(shù)通常是由初創(chuàng)公司以其特效解決方案來推動。我們不要忘記了在沙丘路(Sand Hill Road)上的各家風投公司。一旦他們投資了一家公司,他們就放任營銷人員使用流行宣傳語來吸引投資組合公司。
這些復(fù)雜的工作造成了這樣一種局面,即厭惡風險的首席信息安全官希望加強其業(yè)務(wù)的安全性,卻遭遇到夸大宣傳的情況。難怪供應(yīng)商需要花這么長時間來建立起信任并彌合這一文化鴻溝。
• 在嘗試新事物之前,希望廢除舊的。當出現(xiàn)新的需求時,很自然地就會去看現(xiàn)有的安全技術(shù)是否可以通過調(diào)整來滿足這些需求。在某些情況下,這種策略值得去做。例如,啟用端點安全軟件的高級控制可以有助于提高威脅預(yù)防的效力。另一方面,現(xiàn)有的安全技術(shù)可能并不符合某些新需求。
ESG研究表明,92%的企業(yè)組織試圖使用傳統(tǒng)的網(wǎng)絡(luò)安全措施來保護云端工作,但最終有74%的企業(yè)不得不放棄部分或全部控制措施,因為這些措施被證明不適合這種新使用案例。一些首席信息安全官會選擇讓其他人來嘗試做安全創(chuàng)新,而不是自己來創(chuàng)新而出錯。
• 網(wǎng)絡(luò)安全技能短缺。從2017年初,ESG研究表明,45%的組織承認其網(wǎng)絡(luò)安全技能存在“短缺問題”。這意味著他們在關(guān)鍵領(lǐng)域人手不足,缺乏技能。新技術(shù)項目需要時間去研究、測試、購買、準備和操作。在許多情況下,組織根本沒有足夠的時間或資源來推進。最近,一位首席信息安全官告訴我他的困境:“我的首要工作就是讓供應(yīng)商遠離我的信息安全人員。”
• 不斷變化的組織模式。對于新的和創(chuàng)新的云安全技術(shù)來說尤其如此。在許多情況下,選擇產(chǎn)品、采購和運營都涉及軟件開發(fā)人員、云計算架構(gòu)師和運營等團隊,這與保守的安全專業(yè)人員相對立。安全供應(yīng)商可能知道如何保護基于云的工作負載,但是他們不知道如何與這些迅速發(fā)展的IT工作人員進行溝通和協(xié)作。再一次,這種文化鴻溝可能會減緩新的安全技術(shù)項目的推進。
還存在一種普遍的混亂狀態(tài)。當供應(yīng)商基于機器學習技術(shù)來兜售一個新的解決方案時,這意味著什么?這有關(guān)系嗎?回答這些問題需要時間和精力。
在供需方面,要做好工作,以提高有潛力提升實際價值的創(chuàng)新安全技術(shù)有效運作。
在需求方面,首席信息安全官必須監(jiān)控不斷變化的威脅、漏洞和安全需求,然后讓安全工程師進行研究,并匯報新的創(chuàng)新成果。網(wǎng)絡(luò)安全專業(yè)人士也應(yīng)加入信息系統(tǒng)安全協(xié)會(ISSA)等專業(yè)協(xié)會,使他們能夠從新技術(shù)的共同經(jīng)驗中快速增長智慧。
安全技術(shù)供應(yīng)商必須放棄自己的打包商品市場化方法,投入時間來了解首席信息安全官的關(guān)切,并為客戶開發(fā)出其真正需要的產(chǎn)品。順便說一句,這里沒有捷徑。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。
京公網(wǎng)安備 11010502049343號