信息化觀察網(wǎng)

討論公司安全需求就不得不談到已有數(shù)字能力，談到已有數(shù)字能力就避不開工具繁多卻配置錯誤或買來不用的萬年深坑。

于是問題來了：相比買來一堆安全工具要么用錯要么沒用卻誤以為自己受到足夠保護，是不是根本沒部署安全措施而保持警惕還更好些？換句話說：錯誤的安全感是不是比沒做安全更糟糕？

對于這個問題，有兩個方面需要考慮。一方面，有總比沒有好。如果部署了安全解決方案，出問題的時候至少還有證據(jù)揭示問題位置和防止類似問題再次發(fā)生。

另一方面，傷害在發(fā)現(xiàn)的當時已經(jīng)造成了。公司的敏感數(shù)據(jù)已被盜。知識產(chǎn)權(quán)已被曝。信譽已掃地。除了聲明：“我們下次會更好”，并做出有望信守這一承諾的改變，公司毫無其他辦法可以避免安全事件的種種惡劣后果。

但往系統(tǒng)上堆很多不常用或沒正確配置的安全技術(shù)，并不意味著數(shù)據(jù)泄露后能有切實的安全升級。不止如此，從經(jīng)濟角度上看，這么做也相當不明智。

沒有哪家公司受得了持續(xù)砸錢買一堆放著發(fā)霉的解決方案。也沒有哪家公司頂?shù)米〔粩嗥赣脤I(yè)人員管理和操作這些工具的經(jīng)濟負擔。

預算總是有限，大而無當?shù)臄?shù)字防御策略通常都沒有足夠的資源予以驅(qū)動。

公司安全應該是什么樣子的？

所有沒在用的/錯誤配置的安全解決方案統(tǒng)統(tǒng)扔掉扔掉。好鋼用在刀刃上。應該把資金集中投入到單個工具上，再撥出專門的資源用好這個工具，讓它可以抽取切實的證據(jù)。

然后就能以此調(diào)配能夠處理手頭安全過程的團隊，根據(jù)雇主不斷發(fā)展變化的業(yè)務需求做出精準的改變。

這種方式能為公司省下很多時間、精力和金錢。事實上，工具閑置或錯誤配置往往是公司不作為導致的。這種疏忽一旦暴露，往往就意味著有人要有麻煩了。

舉個例子，高管層完全可以讓某個團隊、經(jīng)理或雇員為整起安全事件背鍋。GDPR 施行的現(xiàn)在，安全事件的后果可能極其嚴重。公司可能招致嚴厲的處罰，甚至正常的業(yè)務都無力開展。

而專攻一個解決方案并以之調(diào)配團隊，則可以讓公司所有人都參與進來，提升整體的責任感，也就能減少推諉個人責任的機會，創(chuàng)建員工相互支持的企業(yè)數(shù)字安全文化。

只要沒那么多安全工具，沒那么混亂，勁就能往一處使，安全態(tài)勢也就會更好。

當然，不是隨便哪個安全解決方案都能承擔起護衛(wèi)公司安全的重責。公司企業(yè)應該找尋的是專注基本安全控制功能的解決方案，比如資產(chǎn)發(fā)現(xiàn)、漏洞管理和安全配置管理。Tripwire 首席安全研究員 Travis Smith 揭示了為什么安全解決方案要專注基本安全措施：

基本安全控制切實有效。僅僅實現(xiàn)首要的五項基本控制，就能防止 85% 的常見網(wǎng)絡攻擊。實現(xiàn) 20 個安全控制措施能防止 97% 的常見網(wǎng)絡攻擊，只要遵循基本安全指南就行。

數(shù)字說明一切。很明顯，找到集成了這些安全控制的解決方案最符合公司利益。