新的安全技术正处于一个恰当的时机。据ESG研究显示,在2017年,有69%的企业增加了网络安全预算,他们将在2018年继续增加投入。当被问及哪些业务计划将最能推动IT支出时,有39%的企业回应说:“加强网络安全保护“。这意味着企业高管为了全面提升网络安全正在努力。
那么安全技术转型似乎来得恰逢其时,对吗?没有那么快。许多技术变革仍然在起步阶段,尚未部署,原因包括以下几个:
• 网络安全文化冲突。在当今市场上,供应商和客户之间存在巨大的文化鸿沟。所雇佣的网络安全专业人员用来全方位地检查各项技术,寻找开放的漏洞。这使得他们自然就秉持着怀疑态度。或者,新技术通常是由初创公司以其特效解决方案来推动。我们不要忘记了在沙丘路(Sand Hill Road)上的各家风投公司。一旦他们投资了一家公司,他们就放任营销人员使用流行宣传语来吸引投资组合公司。
这些复杂的工作造成了这样一种局面,即厌恶风险的首席信息安全官希望加强其业务的安全性,却遭遇到夸大宣传的情况。难怪供应商需要花这么长时间来建立起信任并弥合这一文化鸿沟。
• 在尝试新事物之前,希望废除旧的。当出现新的需求时,很自然地就会去看现有的安全技术是否可以通过调整来满足这些需求。在某些情况下,这种策略值得去做。例如,启用端点安全软件的高级控制可以有助于提高威胁预防的效力。另一方面,现有的安全技术可能并不符合某些新需求。
ESG研究表明,92%的企业组织试图使用传统的网络安全措施来保护云端工作,但最终有74%的企业不得不放弃部分或全部控制措施,因为这些措施被证明不适合这种新使用案例。一些首席信息安全官会选择让其他人来尝试做安全创新,而不是自己来创新而出错。
• 网络安全技能短缺。从2017年初,ESG研究表明,45%的组织承认其网络安全技能存在“短缺问题”。这意味着他们在关键领域人手不足,缺乏技能。新技术项目需要时间去研究、测试、购买、准备和操作。在许多情况下,组织根本没有足够的时间或资源来推进。最近,一位首席信息安全官告诉我他的困境:“我的首要工作就是让供应商远离我的信息安全人员。”
• 不断变化的组织模式。对于新的和创新的云安全技术来说尤其如此。在许多情况下,选择产品、采购和运营都涉及软件开发人员、云计算架构师和运营等团队,这与保守的安全专业人员相对立。安全供应商可能知道如何保护基于云的工作负载,但是他们不知道如何与这些迅速发展的IT工作人员进行沟通和协作。再一次,这种文化鸿沟可能会减缓新的安全技术项目的推进。
还存在一种普遍的混乱状态。当供应商基于机器学习技术来兜售一个新的解决方案时,这意味着什么?这有关系吗?回答这些问题需要时间和精力。
在供需方面,要做好工作,以提高有潜力提升实际价值的创新安全技术有效运作。
在需求方面,首席信息安全官必须监控不断变化的威胁、漏洞和安全需求,然后让安全工程师进行研究,并汇报新的创新成果。网络安全专业人士也应加入信息系统安全协会(ISSA)等专业协会,使他们能够从新技术的共同经验中快速增长智慧。
安全技术供应商必须放弃自己的打包商品市场化方法,投入时间来了解首席信息安全官的关切,并为客户开发出其真正需要的产品。顺便说一句,这里没有捷径。