如果企業(yè)購(gòu)買了最先進(jìn)、最昂貴的網(wǎng)絡(luò)安全工具和服務(wù),就能在安全賽道上甩掉同行?這種想法我們不妨稱之為企業(yè)網(wǎng)絡(luò)安全的“法拉利陷阱”。如果駕駛水平不夠,購(gòu)買昂貴的跑車不但浪費(fèi),而且可能會(huì)發(fā)生危險(xiǎn)。
根據(jù)針對(duì)《財(cái)富》500強(qiáng)公司的網(wǎng)絡(luò)安全調(diào)查,很多企業(yè)擁有先進(jìn)的網(wǎng)絡(luò)安全技術(shù),而這些技術(shù)僅僅發(fā)揮了一小部分功能。不可否認(rèn)這些都是很優(yōu)秀的產(chǎn)品,但是企業(yè)決策者要么對(duì)產(chǎn)品缺乏全面了解,要么不完全了解實(shí)施前后的工作量。這就像購(gòu)買了一輛法拉利卻不會(huì)開(kāi)一樣。
術(shù)高莫用
購(gòu)買大型網(wǎng)絡(luò)安全解決方案時(shí),尤其是附帶硬件的網(wǎng)絡(luò)安全解決方案時(shí),企業(yè)決策者必須記住,這些解決方案通常需要大量的協(xié)調(diào)和高級(jí)技能才能“正確打開(kāi)”。例如,有些云服務(wù)商告訴你他們的云端零信任方案是“開(kāi)箱即用”的,這聽(tīng)上去是不是“too good to be true”?
確實(shí),部署復(fù)雜的網(wǎng)絡(luò)安全解決方案僅需幾天時(shí)間,但真正有挑戰(zhàn)的是構(gòu)建高級(jí)用例,將環(huán)境中的技術(shù)作為基準(zhǔn),然后根據(jù)業(yè)務(wù)最有可能面臨的風(fēng)險(xiǎn)對(duì)其進(jìn)行更新和配置,這個(gè)過(guò)程需要數(shù)周甚至數(shù)月。
就像購(gòu)買一輛時(shí)髦的豪華汽車前需要做充足的功課,企業(yè)不應(yīng)該只看標(biāo)價(jià),篤信“一分錢一分貨”,要知道喬布斯買臺(tái)滾筒洗衣機(jī)還要用平衡記分卡召開(kāi)多次家庭會(huì)議,耗時(shí)數(shù)周才能敲定。企業(yè)必須考慮在自身環(huán)境中日常維護(hù)和運(yùn)營(yíng)這些產(chǎn)品/方案的成本和時(shí)間。
此外,企業(yè)還需要評(píng)估團(tuán)隊(duì)成員的技能和專業(yè)知識(shí),確定他們是否具有配置解決方案所需的能力,這里說(shuō)的能力不僅是讓解決方案正常運(yùn)行起來(lái),還包括對(duì)其進(jìn)行優(yōu)化和充分利用的能力。這絕非易事,如果從未使用過(guò)類似技術(shù)或從未參與過(guò)如此大規(guī)模的部署項(xiàng)目,即使是經(jīng)驗(yàn)豐富的安全團(tuán)隊(duì)成員也會(huì)迅速掉進(jìn)大坑。許多大型企業(yè)都有EDR解決方案,但實(shí)際上很少有公司在進(jìn)行托管檢測(cè)和響應(yīng)。他們只是在EDR上收集事件,而繞過(guò)了對(duì)事件做出快速響應(yīng)所必需的更深入的調(diào)查或威脅分析。
一些安全方案對(duì)其技術(shù)檢測(cè)、緩解和消除威脅的能力的描述聽(tīng)起來(lái)令人印象深刻,安全專業(yè)人員和決策者很容易產(chǎn)生“剁手”沖動(dòng)。但是,如果團(tuán)隊(duì)沒(méi)有足夠的資源來(lái)維護(hù)和有效地驅(qū)動(dòng)產(chǎn)品,那么購(gòu)買它就沒(méi)有任何意義,并且最終將導(dǎo)致預(yù)算浪費(fèi)。
框架優(yōu)先
很多公司沒(méi)有購(gòu)買該網(wǎng)絡(luò)安全解決方案的充足商業(yè)理由,他們可能已經(jīng)看到了需求,或者被某個(gè)特定解決方案可以為他們提供即時(shí)可見(jiàn)性的想法所吸引,但是沒(méi)有進(jìn)一步詢問(wèn)自己,該產(chǎn)品將如何適應(yīng)他們的安全生態(tài)系統(tǒng)。可見(jiàn)性到目前為止。如果您沒(méi)有能力在自己的團(tuán)隊(duì)中或通過(guò)合作伙伴審查可見(jiàn)性并采取行動(dòng),就不要急著出手。
為了從網(wǎng)絡(luò)安全投資中獲得最大收益,企業(yè)應(yīng)該首先創(chuàng)建一個(gè)安全成熟度框架。該框架將幫助企業(yè)評(píng)估自身的安全能力,發(fā)現(xiàn)弱點(diǎn)和優(yōu)勢(shì),并為開(kāi)發(fā)更高級(jí)的網(wǎng)絡(luò)安全計(jì)劃選定一條前進(jìn)道路。首先需要評(píng)估組織的風(fēng)險(xiǎn)承受能力。風(fēng)險(xiǎn)承受能力越低,安全成熟度就需要越高。
接下來(lái),通過(guò)將程序與經(jīng)過(guò)驗(yàn)證的行業(yè)框架(例如NIST網(wǎng)絡(luò)安全框架和網(wǎng)絡(luò)安全能力成熟度模型C2M2)的要求進(jìn)行比較,評(píng)估人員、流程和技術(shù)。后者是由美國(guó)政府開(kāi)發(fā)的,用于能源領(lǐng)域,但是基本模型可以應(yīng)用于任何領(lǐng)域。
一旦建立了三到五年周期的安全性成熟度框架,就可以確定存在哪些漏洞或風(fēng)險(xiǎn)領(lǐng)域,之后對(duì)技術(shù)或服務(wù)進(jìn)行優(yōu)先級(jí)排序以填補(bǔ)這些漏洞。安全成熟度框架可幫助組織專注于適合其計(jì)劃的技術(shù)或產(chǎn)品,而不會(huì)被新技術(shù)新方案弄花了眼,盲目采購(gòu)。此外,針對(duì)不同行業(yè)的安全需求,企業(yè)也可以開(kāi)發(fā)自己的安全成熟度模型。
人的因素
在創(chuàng)建安全成熟度框架之后,評(píng)估企業(yè)的團(tuán)隊(duì)管理,以及持續(xù)優(yōu)化計(jì)劃中的技術(shù)產(chǎn)品的能力。問(wèn)問(wèn)自己,企業(yè)團(tuán)隊(duì)能否勝任,是否需要借助外部資源的支持,新產(chǎn)品功能現(xiàn)在是否是運(yùn)營(yíng)的核心,以及針對(duì)這些功能的專業(yè)知識(shí)是否很重要。如果是這樣,請(qǐng)準(zhǔn)備投資培訓(xùn)和繼續(xù)教育,以提高當(dāng)前和將來(lái)團(tuán)隊(duì)成員的技能。
購(gòu)買網(wǎng)絡(luò)安全產(chǎn)品時(shí),企業(yè)決策者都應(yīng)該進(jìn)行全面的技能和服務(wù)評(píng)估。只有這樣,才能確保企業(yè)正在優(yōu)化和最大化領(lǐng)先的網(wǎng)絡(luò)安全技術(shù),將企業(yè)網(wǎng)絡(luò)安全計(jì)劃帶入快速通道,充分發(fā)揮其潛力。
分享到微信 ×
打開(kāi)微信,點(diǎn)擊底部的“發(fā)現(xiàn)”,
使用“掃一掃”即可將網(wǎng)頁(yè)分享至朋友圈。