投資安全工具卻只是束之高閣或利用率不足,并非不可避免,通過一些非常簡單的前置措施,就能大幅減少甚至杜絕這種現象。
閑置軟件是沒人愿意談及的巨大安全問題,粗略定義為未被使用、利用率低或實現不正確的技術,很多CISO都選擇避而不談。
2015年,Trustwave委托美國奧斯特曼研究公司做的一項調查研究,展露出該問題的嚴重性。該調查涉及172家大大小小的企業,這些企業中投資新安全控制措施的那些,往往不是未充分利用該新技術,就是干脆用都沒用上。
奧斯特曼發現,這一情況很普遍,受訪者中至少30%都是這樣。某些公司里,受訪者稱,近30%的新安全投資都根本未被使用或使用不足。一家公司稱,其60%的安全軟件都是擺著好看的。
當時的Trustwave產品管理副總裁喬什·紹爾說:“我們預料到會有安全軟件被束之高閣。我們的發現表明,很多公司都在把錢打水漂。”
閑置軟件有多普遍?
閑置軟件是很多公司的普遍擔憂,而這往往源于缺乏廠商咨詢:太多的關注放在了合規上,卻沒意識到該技術真正能做什么。
事實上,451 Research 公司之前的一份報告表明,閑置軟件通常是過度炒作的產品或缺乏特色的解決方案;而利用率最低的技術,是安全信息與事件管理(SIEM)和入侵檢測系統(IDS)。很多人認為SIEM名不副實,2013年數據泄露事件案發時,據說塔吉特是為其配置糟糕的反惡意軟件解決方案花費了100萬美元的。
這就帶來了一個問題:這些高科技解決方案怎么就被放到積灰了呢?Alienvault安全倡導者賈瓦德·馬利克說:“客戶角度出發的3大原因是:僅僅出于合規或監管原因而購買;內部公司政治成為阻礙(或者缺乏使用透明度和業務一致性);沒有足夠的時間或專業知識來恰當實現或部署。”
只要合規仍是主要顧慮,這一現狀就難以改變。“這闡明了安全技術的戰術性購買或繼承,盡管這些安全技術在整體安全策略中毫無用武之地。我見過有些閑置軟件甚至從未部署下去,僅僅是為了滿足審計員而購買的。”
馬利克說:“這實際上可能是最容易搞定的了,因為僅僅多花點錢而已嘛。更艱巨的是,公司資產中都有哪些地方部署了這些沒有后續維護的產品。這有點像偷懶式家居重裝修,不去撕墻紙刮墻面,而只是在舊墻紙上貼新墻紙,在舊墻面上刷層漆。”
通信公司 Publicis Group 首席信息安全官索姆·蘭福德認為,閑置軟件通常是安全結構和過時報告層級導致的。
我覺得該問題很大程度上取決于我們安全團隊的建立和管理模式。舉個例子,若安全團隊是IT團隊的一部分,就可能會加劇閑置軟件問題——因為安全問題是透過可能會導致無用產品購買的技術視角考慮的。如果不歸屬IT范疇,就可以采取更為全面的方法態度,只在有意義有必要的方面購置。
情況正在惡化嗎?
馬利克認為該問題在加劇,蘭福德也認同該觀點。廠商的大量炒作,往往讓人驚懼,不由自主就買下了產品。隨著安全預算增加,很多所謂的萬靈解決方案在基本安全措施部署之前,就被盲目投資買下。
不過,馬利克也認為,軟件即服務(SaaS)多多少少有點可取之處:“隨著越來越多的服務被推上云端,隨著安全朝向云端發展,此問題得到了緩和——因為云服務通常更易于部署和撤銷。而且,也更容易試用,或者按月訂閱。這就免除了大型現場部署所需的資金投入。”
菲爾·克萊克奈爾,英國物業維修公司HomeServe首席信息安全官,對此表示贊同:“軟件即服務,或者靈活的年許可付費模式,有助于緩解問題。支持按使用付費的模式。反對斷點價格,斷點價格是廠商得利,不是你。”
解決供應商問題
CISO們的閑置軟件問題,從安全廠商及其業績驅動的銷售團隊入手是無法解決的。事實上,信息安全人士抱怨廠商只管賣不管培訓的事并不少見。
克萊克奈爾就是抱怨人士之一,稱今天的廠商兜售全套解決方案,反病毒、數據泄露預防(DLP)、基于主機的入侵檢測系統(HIDS)和網絡訪問控制全覆蓋——即便客戶根本不了解整個套裝的全部功能。他認為如今廠商控制了市場。
危險在于,我們任由廠商控制市場,就像數年之前一樣。他們又開始這么做了——定義產品和技術,然后說服客戶以為自己需要這些東西。我們才應該是定義我們自身需求和所需處理風險的人,而廠商負責以能被我們有效消費的方式產出解決方案。應該是狗搖尾巴,而不應該是尾巴搖狗。主體客體要分清楚。
蘭福德部分同意此觀點,并補充道:“雙方之間需要一種更開放的關系。前端咨詢和誠實是關鍵;告訴我除非我已經解決了自身內部問題,否則他們的解決方案不會生效的廠商,比僅僅催促我簽字付款的廠商,更能讓我甘心掏錢,更能贏得我的長期信任。首先要跟廠商建立關系,了解他們,也讓他們了解你。看看他們對其他客戶做了什么,然后溝通了解。他們是怎么向你兜售產品的?他們只是在賣東西賺錢,還是真的想與你建立長期合作關系,幫你解決問題?”
馬利克稱,最終達成的效果,是買到與遺留設備便捷集成的全功能產品。“決定性因素是溝通,找出客戶中意產品的點,找出可以改進的地方,反饋給董事會。”
CISO必須對資產負責
閑置軟件并非不可避免,通過一些非常簡單的前置措施,就能大幅減少甚至杜絕這種現象。
管控好購買過程,充分利用現有產品,在購入新解決方案前現理清基本問題,基本上便可以杜絕閑置軟件現象了。
首先,利用功能最全面的產品,達到最寬廣的覆蓋面。這樣可以掌握全局情況,找出需要特別注意的地方。別試圖面面俱到,先從關鍵資產開始。最后,最佳辦法就是與同事一起對產品和網絡進行實驗,看各項功能部署得怎么樣。安全沒必要多復雜,往往就是把基本動作做好,一直做好,僅此而已。
蘭福德說:“關注過程,人是重點。這兩樣對達成安全目標有很大幫助,有時候幫助會大到不再需要進一步投資。只有了解了價格、公司及人員運作模式,以及哪些方面需要技術支持,才可以決定是否做出該項投資。”
CISO和其他IT決策者應質疑購買決定的原因,盡早獲取利益相關者的支持,制定出30/60/90計劃,并在購買前擁有一份詳盡的部署方案。淘汰舊有技術,核查產品功能和調研,也是十分重要的。
京公網安備 11010502049343號