在2014年黑帽大會上，雅虎首席信息安全官Alex Stamos譴責企業級安全公司沒能應付好“大規模和系統多樣性”，并呼吁供應商抓住機遇進行創新。

雅虎每個月需要處理來自超過8億獨立用戶的流量，并運行數以萬計的Web服務器。然而，根據該公司的首席信息安全官表示，安全行業并沒有產品能夠有效支持這種大型網絡資產的規模和系統多樣性。

在2014年美國黑帽大會上，雅虎的Alex Stamos（在今年年初組織了另類RSA大會--TrustyCon大會）表示，安全供應商過于專注于“將更多功能整合在單一產品中”，而忽略了基本功能、帶寬和處理能力，而這正是雅虎等公司保護其用戶和數據所需要的功能。

這一趨勢產生了Stamos所謂的“超級智能比薩餅盒”，或者說單任務安全設備，這種設備有時候只能處理該公司環境中數千臺服務器中一臺前端服務器的流量，因為它們要處理各種安全情報。

Stamos特別指出了類似Palo Alto公司的PA-7500等產品，該產品是Palo Alto下一代防火墻產品系列中最昂貴的產品。他表示他個人認為，PA-7050本身不錯，但當開啟所有安全功能時，其最大吞吐量只有100Gbps，這意味著雅虎將需要購買幾百臺這種設備來為該公司一臺交換機的流量提供安全服務。對于像雅虎這樣的高流量Web特性，這種安全架構完全不實用，這就好像把一名警察安排在城市的每個街角。

與此同時，Stamos表示雅虎的安全團隊正努力辨別注冊該公司各種服務的數百萬用戶中，哪些是合法用戶，哪些正試圖進行欺詐活動，這種情況就像是聚集在商場的世界末日后的幸存者面臨僵尸的猛攻。

“在我們的商場中每個月有8.5億用戶，我們需要知道誰是僵尸，誰是真正想加入我們的合法用戶，”Stamos表示，“這是非常難以解決的問題。”

企業安全產品：價值vs霧件

企業往往很難找到提供投資回報率的企業安全產品。他提到一家不愿透露名稱的企業軟件安全公司試圖向其公司推銷一款產品，該產品可以操縱Windows內核來判斷是否有“APT攻擊者”（賣方所描述的）已經滲透到Windows系統。

根據Stamos表示，該產品不僅給雅虎的架構帶來了不可接受水平的平臺不穩定性，而且它還完全忽略了在相同環境中運行的Mac和Linux系統。

很多時候，企業安全公司忽視了各種規模的企業環境中的系統多樣性；很多這些環境包含Windows替代品和孤立的傳統系統，這些都是關鍵系統，必須得到保護。

在Stamos明確表達了他不需要安全供應商所提供的功能的同時，他還提到他希望看到更多的東西：即可以發送數據回人類的“啞巴”傳感器，然后人可以查看數據判斷是否存在異常，并在必要情況下進行進一步調查。Stamos提到了基本上是成功的銀行業的安全模式，其中可疑轉賬會被銀行職員標記和審查，然后他們會鎖定賬戶直到他們聯系到賬戶持有人。

Stamos分享了他在未來希望從企業安全公司看到的安全技術清單，包括相當于MySQL的免費增值密鑰管理、具有輕型遠程認證的ARM服務器和具有遠程握手功能的OpenSSL。

他指出，雅虎是HackerOne的客戶，他還希望看到漏洞獎賞機制添加某種形式的自動驗證，讓企業必須要獨立評估每個提交給他們的漏洞，這將提高沒有大型專門的安全團隊的漏洞獎賞機制外包企業的吸引力。

最重要的是，安全行業不要再以害怕復雜攻擊者（例如來自美國國家安全局）會攻擊他們為借口，而不探索新的保護方法。這種借口忽略了這樣的事實，絕大多數用戶都不會受到這種攻擊，而是受到簡單釣魚攻擊的影響，這些攻擊也困擾著雅虎電子郵件服務的用戶。

Stamos宣布在2015年雅虎電子郵件用戶將可以使用終端到終端PGP加密，他最后懇求安全行業將其注意力轉移到保護“普通”用戶，而不是采取默認的態度認為他們會簡單地取消任何和所有安全措施。

“我最討厭的事情是我們不能保護用戶的安全，因為他們不聰明。如果我們構建的系統讓25%不能使用，我們將會失敗，”Stamos表示，“普通用戶確實會輸入其密碼到任何位置，這意味著我們需要取締密碼。”

“在斯諾登泄密事件后，我們有一種虛無主義讓我們沒有專注于真正的東西，”Stamos補充說，“這是關于了解你用戶面對的真正問題，我們作為一個行業需要放松一些限制。”