信息化觀察網(wǎng)

關(guān)于作者

Joe Hubback是ISTARI的北歐負(fù)責(zé)人。他擁有廣泛的背景，包括擔(dān)任麥肯錫的合伙人，在那里他共同領(lǐng)導(dǎo)了其網(wǎng)絡(luò)安全服務(wù)線的創(chuàng)建，作為獨(dú)立的網(wǎng)絡(luò)安全分析師，以及作為凱勒西北歐董事總經(jīng)理的企業(yè)領(lǐng)導(dǎo)層，承擔(dān)全額盈利和損失。他的職業(yè)生涯始于工業(yè)部門，擔(dān)任工程師，設(shè)計(jì)和安裝電子控制和機(jī)器人系統(tǒng)。

前情提要

在快節(jié)奏的經(jīng)濟(jì)和網(wǎng)絡(luò)威脅環(huán)境中，企業(yè)經(jīng)常在無(wú)法充分評(píng)估其功效的情況下購(gòu)買新技術(shù)的解決方案，因而在出現(xiàn)新的問(wèn)題上，才能使他們意識(shí)到已經(jīng)擁有的工具應(yīng)該充分發(fā)揮作用。

具體內(nèi)容

網(wǎng)絡(luò)技術(shù)和服務(wù)公司Sygnia已經(jīng)與客戶完成了數(shù)百次網(wǎng)絡(luò)安全改進(jìn)，計(jì)算得出他們的許多改進(jìn)措施都與當(dāng)前技術(shù)堆棧的優(yōu)化有關(guān)，因?yàn)樗鼪](méi)有得到有效使用。

企業(yè)需要一種新的模式來(lái)獲取基于真實(shí)功效的網(wǎng)絡(luò)安全工具——而不是供應(yīng)商的承諾。功效被定義為產(chǎn)品能力（它是否交付安全任務(wù)？）、實(shí)用性（是否適合使用？）、質(zhì)量（安全構(gòu)建和架構(gòu)的）和來(lái)源（供應(yīng)商和供應(yīng)鏈的）的組合）。首先，購(gòu)買者了解可用技術(shù)，并根據(jù)對(duì)這些技術(shù)如何完成他們應(yīng)該做的事情的詳細(xì)評(píng)估來(lái)做出購(gòu)買決定。

正如Debate Security的一份研究報(bào)告中所詳述的那樣，當(dāng)前的市場(chǎng)模式已將網(wǎng)絡(luò)安全變成了“檸檬市場(chǎng)”，在這個(gè)市場(chǎng)中，買家出售的產(chǎn)品無(wú)效，因?yàn)樗麄儫o(wú)法正確區(qū)分優(yōu)劣。報(bào)告參與者確定了一種新模式，可以通過(guò)更好地通知買家并提供由此產(chǎn)生的好處來(lái)改變這種狀況。

問(wèn)題不在于技術(shù)——每年在技術(shù)上投資數(shù)十億美元。它是市場(chǎng)經(jīng)濟(jì)學(xué)之一。經(jīng)濟(jì)問(wèn)題源于買賣雙方之間的信息不對(duì)稱。安全供應(yīng)商面臨著盡快將新技術(shù)推向市場(chǎng)以嘗試獲得或保持吸引力的壓力——即使這些產(chǎn)品并不完全有效。買家同樣面臨來(lái)自董事會(huì)或監(jiān)管機(jī)構(gòu)的壓力，要求他們滿足風(fēng)險(xiǎn)合規(guī)標(biāo)準(zhǔn)，因此有時(shí)，最簡(jiǎn)單的做法就是購(gòu)買其他人擁有的東西。在此過(guò)程中，大多數(shù)購(gòu)買者在購(gòu)買技術(shù)之前無(wú)法對(duì)其進(jìn)行全面評(píng)估。

注重功效的好處

一個(gè)新的網(wǎng)絡(luò)安全市場(chǎng)模型，在效率上實(shí)現(xiàn)更大的透明度將帶來(lái)五個(gè)基本好處：

1

更有效的網(wǎng)絡(luò)安全。要求產(chǎn)品實(shí)際功能的透明度使供應(yīng)商真正有動(dòng)力在功效上進(jìn)行更多投資。用戶期望與聲明相匹配的能力、集成和操作等領(lǐng)域的實(shí)用功能，以及更少的質(zhì)量缺陷導(dǎo)致的漏洞。

2

更有意義的技術(shù)評(píng)估。建立關(guān)于功效的共同觀點(diǎn)將使評(píng)估運(yùn)行中的技術(shù)變得更加容易，使企業(yè)能夠識(shí)別漏洞并提高彈性。

3

更好地設(shè)定風(fēng)險(xiǎn)偏好的能力。更清晰地了解技術(shù)防御的強(qiáng)度將使企業(yè)能夠更好地定義他們?cè)敢庠谶\(yùn)營(yíng)、網(wǎng)絡(luò)和企業(yè)方面接受的風(fēng)險(xiǎn)。

4

更好地將安全區(qū)分為優(yōu)先領(lǐng)域。除了設(shè)定風(fēng)險(xiǎn)偏好，更好地了解產(chǎn)品的功效使企業(yè)能夠在組織的“皇冠上的寶石”上使用最有效的產(chǎn)品，這些產(chǎn)品可能更昂貴且難以管理，從而保護(hù)其最重要的資產(chǎn)。

5

支出和功效之間更好的相關(guān)性。更好的可見(jiàn)性和對(duì)產(chǎn)品能力的清晰理解使企業(yè)能夠在決定他們能負(fù)擔(dān)得起的產(chǎn)品時(shí)做出更明智的權(quán)衡。它可能不會(huì)提供絕對(duì)的ROI計(jì)算，但它會(huì)幫助組織做出基于風(fēng)險(xiǎn)的決策。

實(shí)施新的市場(chǎng)模式

最小可行產(chǎn)品的概念——產(chǎn)品提前發(fā)布，以便市場(chǎng)可以確定其在網(wǎng)絡(luò)安全中發(fā)揮的作用。但在這種情況下它失敗了，因?yàn)榭蛻魶](méi)有機(jī)會(huì)正確評(píng)估這些產(chǎn)品的功效，這將有助于推動(dòng)他們的改進(jìn)。存在更高安全性的技術(shù)——客戶可以購(gòu)買更安全的解決方案。但是當(dāng)前的模式和當(dāng)今市場(chǎng)的運(yùn)作方式常常使買家無(wú)法找到它們。

一個(gè)新的、更好的模型將基于對(duì)技術(shù)功效的更好理解，使用詳細(xì)的評(píng)估。評(píng)估需要供應(yīng)商的透明度和合規(guī)性，但在新模型中，供應(yīng)商也會(huì)受益，因?yàn)楦鼜?qiáng)大的技術(shù)將更加明顯。安全供應(yīng)商需要將他們的解決方案提交給需要保護(hù)的買家；同樣重要的是確保供應(yīng)商免受知識(shí)產(chǎn)權(quán)的潛在損失或損害。

研究參與者確定的擬議新模型是討論的起點(diǎn)，需要時(shí)間，也很復(fù)雜。它不打算作為成品。但很明顯，市場(chǎng)上尋求更有效安全產(chǎn)品的組織——無(wú)論是私營(yíng)部門還是公共部門——都可以通過(guò)關(guān)注技術(shù)功效、在購(gòu)買之前了解產(chǎn)品或服務(wù)的性能來(lái)開始解決這個(gè)問(wèn)題。基于功效的新模型將帶來(lái)更好的產(chǎn)品、更好的安全性及更明智地花費(fèi)網(wǎng)絡(luò)安全資金。