根据针对《财富》500强公司的网络安全调查,很多企业拥有先进的网络安全技术,而这些技术仅仅发挥了一小部分功能。不可否认这些都是很优秀的产品,但是企业决策者要么对产品缺乏全面了解,要么不完全了解实施前后的工作量。这就像购买了一辆法拉利却不会开一样。
术高莫用
购买大型网络安全解决方案时,尤其是附带硬件的网络安全解决方案时,企业决策者必须记住,这些解决方案通常需要大量的协调和高级技能才能“正确打开”。例如,有些云服务商告诉你他们的云端零信任方案是“开箱即用”的,这听上去是不是“too good to be true”?
确实,部署复杂的网络安全解决方案仅需几天时间,但真正有挑战的是构建高级用例,将环境中的技术作为基准,然后根据业务最有可能面临的风险对其进行更新和配置,这个过程需要数周甚至数月。
就像购买一辆时髦的豪华汽车前需要做充足的功课,企业不应该只看标价,笃信“一分钱一分货”,要知道乔布斯买台滚筒洗衣机还要用平衡记分卡召开多次家庭会议,耗时数周才能敲定。企业必须考虑在自身环境中日常维护和运营这些产品/方案的成本和时间。
此外,企业还需要评估团队成员的技能和专业知识,确定他们是否具有配置解决方案所需的能力,这里说的能力不仅是让解决方案正常运行起来,还包括对其进行优化和充分利用的能力。这绝非易事,如果从未使用过类似技术或从未参与过如此大规模的部署项目,即使是经验丰富的安全团队成员也会迅速掉进大坑。
我们经常在网络安全技术(例如端点检测和响应EDR、行为分析、欺骗技术和人工智能AI驱动的解决方案)的案例中看到这种情况,许多大型企业都有EDR解决方案,但实际上很少有公司在进行托管检测和响应。他们只是在EDR上收集事件,而绕过了对事件做出快速响应所必需的更深入的调查或威胁分析。
一些安全方案对其技术检测、缓解和消除威胁的能力的描述听起来令人印象深刻,安全专业人员和决策者很容易产生“剁手”冲动。但是,如果您的团队没有足够的资源来维护和有效地驱动产品,那么首先购买它就没有任何意义,并且最终将导致预算浪费。
框架优先
我见过的公司大多是下面这个常见问题的受害者。通常他们没有购买该网络安全解决方案的充足商业理由,他们可能已经看到了需求,或者被某个特定解决方案可以为他们提供即时可见性的想法所吸引,但是他们再也没有进一步询问自己,该产品将如何适应他们的安全生态系统。可见性到目前为止。如果您没有能力在您自己的团队中或通过合作伙伴审查可见性并采取行动,就不要急着出手。
为了从网络安全投资中获得最大收益,企业应该首先创建一个安全成熟度框架。该框架将帮助您的企业评估自身的安全能力,发现弱点和优势,并为开发更高级的网络安全计划选定一条前进道路。首先需要评估组织的风险承受能力。风险承受能力越低,您的安全成熟度就需要越高。
接下来,通过将程序与经过验证的行业框架(例如NIST网络安全框架和网络安全能力成熟度模型C2M2)的要求进行比较,评估您的人员、流程和技术。后者是由美国政府开发的,用于能源领域,但是基本模型可以应用于任何领域。
一旦建立了三到五年周期的安全性成熟度框架,您就可以确定存在哪些漏洞或风险领域,然后可以对技术或服务进行优先级排序以填补这些漏洞。安全成熟度框架可帮助组织专注于适合其计划的技术或产品,而不会被新技术新方案弄花了眼,盲目采购。
此外,企业还可以关注安全业界较为关注的CMMC安全成熟度框架,以及系统安全工程能力成熟度模型(SSE-CMM)和国标GB/T 37988-2019数据安全成熟度模型(DSMM),这些模型各有侧重,国内企业可以结合自身行业特性和实际情况参考借鉴。
此外,针对不同行业的安全需求,企业也可以开发自己的安全成熟度模型,例如在此前的文章中,安全牛介绍过立邦网络安全主管严伟设计的安全成熟度模型,针对制造业的安全需求进行了优化,特别适合注重实效的数字化转型阶段的制造业企业参考。
人的因素
在创建安全成熟度框架之后,评估您的团队管理,以及持续优化计划中的技术产品的能力。问问自己,您的团队能否胜任,是否需要借助外部资源的支持。问问自己,新产品功能现在是否是运营的核心,以及针对这些功能的专业知识是否很重要。如果是这样,请准备投资培训和继续教育,以提高当前和将来团队成员的技能。
每次购买网络安全产品时,企业决策者都应该进行全面的技能和服务评估。只有这样,您才能确保您正在优化和最大化领先的网络安全技术,将您的网络安全计划带入快速通道,充分发挥其潜力。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】