當(dāng)今攻擊活動（多階攻擊及其大量的不斷演變的攻擊媒介）所帶來的重大挑戰(zhàn)導(dǎo)致企業(yè)為保護(hù)網(wǎng)絡(luò)而購買大量的安全產(chǎn)品。隨著新技術(shù)的興起，例如，高級網(wǎng)絡(luò)和端點(diǎn)、反惡意軟件、網(wǎng)絡(luò)實(shí)體的行為分析系統(tǒng)、反欺詐技術(shù)、EDR系統(tǒng)等，企業(yè)部署了大堆的產(chǎn)品。供應(yīng)商和服務(wù)提供商戰(zhàn)戰(zhàn)兢兢，擔(dān)心不能提供特定的產(chǎn)品或服務(wù)而容易遭受這種或那種攻擊。企業(yè)的購買行為繼續(xù)不斷進(jìn)行，其成本也是水漲船高，而整個(gè)平臺的有效性卻往往不清晰和不完整。

最終，CISO（首席信息安全官）發(fā)現(xiàn)，要評估企業(yè)安全武庫中安全產(chǎn)品的性能是很難的。哪種產(chǎn)品能夠成功地確認(rèn)、減輕發(fā)生的攻擊？哪種產(chǎn)品不能完成所期望的功能，從而導(dǎo)致企業(yè)面臨被攻擊的危險(xiǎn)？哪種產(chǎn)品可能半年前或一年前還有效，卻未能進(jìn)化并解決當(dāng)前的攻擊？哪種產(chǎn)品在何種情況下可被激活，是否正確的選擇？也許最重要的問題是，不同的產(chǎn)品能夠有效地協(xié)同運(yùn)行嗎？

很多CISO每天都要經(jīng)受無法回答這些問題的失敗感。由于其安全平臺是由來自很多不同廠商的大量獨(dú)立產(chǎn)品組成的，因而，發(fā)生混亂也不足為奇。CISO常常感覺到自己就像是一位在黑暗中指揮戰(zhàn)斗的將軍，他想努力看看軍隊(duì)是否正朝著正確的方向前進(jìn)，設(shè)備是否已經(jīng)為戰(zhàn)斗作好準(zhǔn)備。這種“在黑暗中的摸索”是一種障礙，在對付當(dāng)今日益復(fù)雜的攻擊活動的過程中，企業(yè)幾乎無法承受這種狀態(tài)。

在考慮高級自動化、協(xié)作、減輕威脅、修復(fù)時(shí)，首先需要理解企業(yè)真正掌握著什么。

關(guān)注安全裝備是實(shí)現(xiàn)透明性的首要一步。這些問題包括：在針對每種安全風(fēng)險(xiǎn)時(shí)，企業(yè)安全架構(gòu)中的產(chǎn)品如何有效地完成任務(wù)？每種產(chǎn)品或服務(wù)的準(zhǔn)確率如何？ 這些產(chǎn)品真正地滿足企業(yè)的安全合規(guī)需求嗎？企業(yè)是否可以中止安全設(shè)備，以“查看”每種產(chǎn)品在遭受網(wǎng)絡(luò)攻擊時(shí)的貢獻(xiàn)量和關(guān)鍵程度呢？如果禁用了一種產(chǎn)品，會發(fā)生什么？

在回答了這些問題后，我們就可以更好地為企業(yè)規(guī)劃最有效的安全狀態(tài)。企業(yè)不能低估對投資回報(bào)的切實(shí)影響。每個(gè)大中型企業(yè)都有可能為大量冗余的過時(shí)的或性能低劣的產(chǎn)品和服務(wù)花錢。透明性和診斷可以給出明確的答案，可以使企業(yè)簡化、優(yōu)化、清理不必要的東西。

有效的診斷工具不僅可以使企業(yè)在事后評估產(chǎn)品的有效性，而且有助于針對日后的新攻擊做出戰(zhàn)略決策。這種診斷系統(tǒng)可以使企業(yè)混合和匹配工具，從而可以重放攻擊，以查看如何更好地面對攻擊，或者映射未來的攻擊，試驗(yàn)不同的防御狀況，并測試每種防御工具的潛在有效性。

如下方法可以提供高質(zhì)量的診斷結(jié)果：

安全分析系統(tǒng)：如今，多種安全分析解決方案都宣稱能夠從安全工具中收集所有的安全事件，并可以將這些事件“點(diǎn)”連接起來，從而發(fā)現(xiàn)是否有真正的攻擊正在發(fā)生，將“噪聲”從真正有影響的安全事件中分離開來。如果這些系統(tǒng)還能夠并真實(shí)事件進(jìn)行分類和解析，以及每個(gè)安全廠商的“噪聲”，就可以向CISO形象地提供分析工具的有效性。

“殺傷鏈”的有效性：（“殺傷鏈”原是一個(gè)與攻擊結(jié)構(gòu)有關(guān)的軍事概念，它由攻擊確認(rèn)、火力部署、決策、命令攻擊、摧毀目標(biāo)等階段組成。最近，有美國的安全機(jī)構(gòu)將“殺傷鏈”這個(gè)概念用于信息安全，作為對計(jì)算機(jī)網(wǎng)絡(luò)的入侵進(jìn)行建模的一種方法。）有些工具在某些類型的攻擊手段中表現(xiàn)更好，而在其它方面卻無能為力，這是一個(gè)行業(yè)事實(shí)。隨著時(shí)間的推移，這種現(xiàn)象確實(shí)會發(fā)生改變。將每個(gè)工具產(chǎn)生的安全事件與“殺傷鏈”的各個(gè)階段聯(lián)系起來有助于幫助CISO理解每種工具對企業(yè)的貢獻(xiàn)，確認(rèn)差距并據(jù)以確定工具的優(yōu)先次序。

“混搭” 模擬：任何CISO的夢想之一就是，能夠模擬可以測試各種安全工具和廠商組合的場景，一起協(xié)作測試、調(diào)查、減輕各類高級攻擊，并得到一個(gè)“質(zhì)量評分”，即一個(gè)比較不同工具的指數(shù)。但，我們還沒有實(shí)現(xiàn)此目標(biāo)，但安全協(xié)作技術(shù)中新出現(xiàn)的領(lǐng)域似乎正在實(shí)現(xiàn)此夢想的正確軌道上。

診斷和持續(xù)評估是當(dāng)今企業(yè)大量活動中的基本組成部分。分析讓我們確切地知道企業(yè)網(wǎng)絡(luò)表現(xiàn)的性能：哪些人訪問過、來自哪里、訪問了多長時(shí)間等。CRM系統(tǒng)使企業(yè)在任何時(shí)間都能夠?qū)崟r(shí)地全面地看到銷售過程。但是，在安全領(lǐng)域，企業(yè)仍處于黑暗中，為不再需要的大量產(chǎn)品和服務(wù)花錢，卻不能衡量性能和確定優(yōu)先權(quán)。現(xiàn)在正是我們讓安全系統(tǒng)見到光明的時(shí)間，我們要將知識、控制重新帶回到企業(yè)中。實(shí)現(xiàn)這個(gè)目標(biāo)意味著一個(gè)精簡的更高效的安全機(jī)制，從而極大地改善在安全上的投資回報(bào)。