相煎何太急 ：下一代安全

安全業(yè)界一直在摩拳擦掌，積極尋找強化保護的方法。但是要決定下一步做什么并非易事。負(fù)責(zé)任的領(lǐng)導(dǎo)者認(rèn)識到，并沒有什么新招術(shù)可以“挽狂瀾于既倒”，實際上，相互競爭的廠商們用于描繪現(xiàn)有方案的不足所花費的營銷費用，要比解釋新方法所帶來的附加價值所花的錢更多。由此，購買者感到困惑和被誤導(dǎo)也就不足為奇了。

隨著公司尋求在安全方面花錢，公司就需要能夠規(guī)劃出如何改善已經(jīng)擁有的，而不必感到像是要舍棄已經(jīng)在使用的設(shè)備和服務(wù)。如果廠商能夠誠實地描述其固有的好處，而不去大肆地貶低已有方案和競爭者的價值，那么，整個行業(yè)，無論是廠商還是企業(yè)都會受益匪淺。

在經(jīng)濟學(xué)中有一個描述這種情況的工具，稱為“納什均衡”或“非合作博弈均衡”。這個概念是指，在某些系統(tǒng)中，當(dāng)每個競爭者都根據(jù)自己所認(rèn)為的最佳利益而做出決策時，系統(tǒng)就不會達(dá)到最佳的效果。在安全領(lǐng)域也存在此現(xiàn)象。市場的新參與者尋找可以帶來獨特價值的方法，但是有些參與者通過對“前輩”進(jìn)行全面攻擊而實現(xiàn)此目標(biāo)。在保護方面的一個小缺陷也會成為“非此即彼”的一個理由。當(dāng)然，安全界的前輩也提出了新參與者在穩(wěn)定性、范圍和功能方面的問題。那么，客戶呢？客戶會不信任所有的廠商，尋求某種客觀的數(shù)據(jù)來幫助自己形成一種合理的安全策略。

但這在安全領(lǐng)域并非易事，言辭已經(jīng)失去了其特定的意思，而測試結(jié)果也必然與提交的測試產(chǎn)品一樣具有主觀性。近期以來，我們看到安全產(chǎn)品的認(rèn)證企業(yè)在獨立地衡量相互競爭的安全產(chǎn)品的相對功效時，也會產(chǎn)生相互矛盾的結(jié)果。那么，用戶該怎么辦？

公司都夸張了其競爭對手的弱點，企業(yè)能夠做的最簡單的事情更是如此。他們不太可能投資于新設(shè)備和新服務(wù)，且不滿意于已有的，這往往會導(dǎo)致不與新方法同步發(fā)展的安全策略。這些方法并沒有充分利用已購工具的全部價值，并且在能夠負(fù)擔(dān)得起的企業(yè)中，也會導(dǎo)致不同廠商的不同方法解決同樣的問題而實施了冗余的保護。由于新產(chǎn)品并沒有被快速應(yīng)用，現(xiàn)有的產(chǎn)品被認(rèn)為是過時的和低效的，整個市場將遭受損害，所有的負(fù)面消息也會使安全團隊保持觀望。

安全領(lǐng)域的挑戰(zhàn)使得改進(jìn)和提高存在困難，而這種具有破壞力的競爭性消息使問題尤其嚴(yán)重。過去的10年有很多消息都宣稱安全技術(shù)（包括反病毒和入侵檢測）已死，但其實，這個“死”在多數(shù)情況下是被極大地夸張了。

更好的方法是理解這些工具可以提供的額外保護。在全力對付新的威脅和日漸增多的風(fēng)險時，多數(shù)企業(yè)都希望解決存在的已知問題，而不管這些問題是監(jiān)視中，還是存在于預(yù)防或響應(yīng)中的。廠商們建議正確的做法是用新工具替換已有的套件，但這回避了一個問題：會出現(xiàn)什么樣的新漏洞，還有，隨著過程的改變會發(fā)生哪些人力成本？

反病毒套件就是一個很好的例子，因為當(dāng)今最流行的版本都提供了多種重要的服務(wù)，而不僅僅是簡單的簽名匹配和管理功能。雖然這些技術(shù)可以與現(xiàn)代的多態(tài)的和無文件的惡意軟件相斗爭，但平臺的數(shù)據(jù)泄露保護、個人防火墻以及網(wǎng)站過濾或本地加密可能會是至關(guān)重要的。

對于期望大幅度增加安全預(yù)算的企業(yè)來說，應(yīng)當(dāng)花時間理解企業(yè)中暴露最多的地方。簡單地用一種技術(shù)替換另一種技術(shù)可能會帶來不可預(yù)料的風(fēng)險和暴露。而在很多情況下，通過修補已有的漏洞而增強已有的保護可能更為有效，其帶來的破壞性也更小。IT員工繼續(xù)管理他們理解的方案，其管理過程大體上是相同的，而采用新的解決方案并不是廢棄原本已經(jīng)緊張的資源。如果新的方案不必證明對老的產(chǎn)品的價值和保護能力，同時，企業(yè)可以選擇遷離早期的安全保護方案，那么，業(yè)務(wù)發(fā)生中斷和延遲的可能性就要小得多。

多數(shù)IT和安全團隊認(rèn)識到安全策略和工具都要求持續(xù)的檢查和更新。下一代安全公司沒有必要從市場中將“老前輩”趕走就可以存活。他們只需要證明自己的價值：彌補新威脅所擴大的差距，如此，分析師就可以做出明智的決策，而不必過于關(guān)注負(fù)面的消息。