安全業(yè)界一直在摩拳擦掌,積極尋找強化保護的方法。但是要決定下一步做什么并非易事。負(fù)責(zé)任的領(lǐng)導(dǎo)者認(rèn)識到,并沒有什么新招術(shù)可以“挽狂瀾于既倒”,實際上,相互競爭的廠商們用于描繪現(xiàn)有方案的不足所花費的營銷費用,要比解釋新方法所帶來的附加價值所花的錢更多。由此,購買者感到困惑和被誤導(dǎo)也就不足為奇了。
隨著公司尋求在安全方面花錢,公司就需要能夠規(guī)劃出如何改善已經(jīng)擁有的,而不必感到像是要舍棄已經(jīng)在使用的設(shè)備和服務(wù)。如果廠商能夠誠實地描述其固有的好處,而不去大肆地貶低已有方案和競爭者的價值,那么,整個行業(yè),無論是廠商還是企業(yè)都會受益匪淺。
在經(jīng)濟學(xué)中有一個描述這種情況的工具,稱為“納什均衡”或“非合作博弈均衡”。這個概念是指,在某些系統(tǒng)中,當(dāng)每個競爭者都根據(jù)自己所認(rèn)為的最佳利益而做出決策時,系統(tǒng)就不會達(dá)到最佳的效果。在安全領(lǐng)域也存在此現(xiàn)象。市場的新參與者尋找可以帶來獨特價值的方法,但是有些參與者通過對“前輩”進(jìn)行全面攻擊而實現(xiàn)此目標(biāo)。在保護方面的一個小缺陷也會成為“非此即彼”的一個理由。當(dāng)然,安全界的前輩也提出了新參與者在穩(wěn)定性、范圍和功能方面的問題。那么,客戶呢?客戶會不信任所有的廠商,尋求某種客觀的數(shù)據(jù)來幫助自己形成一種合理的安全策略。
但這在安全領(lǐng)域并非易事,言辭已經(jīng)失去了其特定的意思,而測試結(jié)果也必然與提交的測試產(chǎn)品一樣具有主觀性。近期以來,我們看到安全產(chǎn)品的認(rèn)證企業(yè)在獨立地衡量相互競爭的安全產(chǎn)品的相對功效時,也會產(chǎn)生相互矛盾的結(jié)果。那么,用戶該怎么辦?
公司都夸張了其競爭對手的弱點,企業(yè)能夠做的最簡單的事情更是如此。他們不太可能投資于新設(shè)備和新服務(wù),且不滿意于已有的,這往往會導(dǎo)致不與新方法同步發(fā)展的安全策略。這些方法并沒有充分利用已購工具的全部價值,并且在能夠負(fù)擔(dān)得起的企業(yè)中,也會導(dǎo)致不同廠商的不同方法解決同樣的問題而實施了冗余的保護。由于新產(chǎn)品并沒有被快速應(yīng)用,現(xiàn)有的產(chǎn)品被認(rèn)為是過時的和低效的,整個市場將遭受損害,所有的負(fù)面消息也會使安全團隊保持觀望。
安全領(lǐng)域的挑戰(zhàn)使得改進(jìn)和提高存在困難,而這種具有破壞力的競爭性消息使問題尤其嚴(yán)重。過去的10年有很多消息都宣稱安全技術(shù)(包括反病毒和入侵檢測)已死,但其實,這個“死”在多數(shù)情況下是被極大地夸張了。
更好的方法是理解這些工具可以提供的額外保護。在全力對付新的威脅和日漸增多的風(fēng)險時,多數(shù)企業(yè)都希望解決存在的已知問題,而不管這些問題是監(jiān)視中,還是存在于預(yù)防或響應(yīng)中的。廠商們建議正確的做法是用新工具替換已有的套件,但這回避了一個問題:會出現(xiàn)什么樣的新漏洞,還有,隨著過程的改變會發(fā)生哪些人力成本?
反病毒套件就是一個很好的例子,因為當(dāng)今最流行的版本都提供了多種重要的服務(wù),而不僅僅是簡單的簽名匹配和管理功能。雖然這些技術(shù)可以與現(xiàn)代的多態(tài)的和無文件的惡意軟件相斗爭,但平臺的數(shù)據(jù)泄露保護、個人防火墻以及網(wǎng)站過濾或本地加密可能會是至關(guān)重要的。
對于期望大幅度增加安全預(yù)算的企業(yè)來說,應(yīng)當(dāng)花時間理解企業(yè)中暴露最多的地方。簡單地用一種技術(shù)替換另一種技術(shù)可能會帶來不可預(yù)料的風(fēng)險和暴露。而在很多情況下,通過修補已有的漏洞而增強已有的保護可能更為有效,其帶來的破壞性也更小。IT員工繼續(xù)管理他們理解的方案,其管理過程大體上是相同的,而采用新的解決方案并不是廢棄原本已經(jīng)緊張的資源。如果新的方案不必證明對老的產(chǎn)品的價值和保護能力,同時,企業(yè)可以選擇遷離早期的安全保護方案,那么,業(yè)務(wù)發(fā)生中斷和延遲的可能性就要小得多。
多數(shù)IT和安全團隊認(rèn)識到安全策略和工具都要求持續(xù)的檢查和更新。下一代安全公司沒有必要從市場中將“老前輩”趕走就可以存活。他們只需要證明自己的價值:彌補新威脅所擴大的差距,如此,分析師就可以做出明智的決策,而不必過于關(guān)注負(fù)面的消息。