怎樣避免安全軟體的閒置 CIO必須對資產負責
投資安全工具卻只是束之高閣或利用率不足,並非不可避免,通過一些非常簡單的前置措施,就能大幅減少甚至杜絕這種現象。
閒置軟體是沒人願意談及的巨大安全問題,粗略定義為未被使用、利用率低或實現不正確的技術,很多CISO都選擇避而不談。
2015年,Trustwave委託美國奧斯特曼研究公司做的一項調查研究,展露出該問題的嚴重性。該調查涉及172家大大小小的企業,這些企業中投資新安全控制措施的那些,往往不是未充分利用該新技術,
奧斯特曼發現,這一情況很普遍,受訪者中至少30%都是這樣。某些公司裡,受訪者稱,近30%的新安全投資都根本未被使用或使用不足。一家公司稱,其60%的安全軟體都是擺著好看的。
當時的Trustwave產品管理副總裁喬什·紹爾說:“我們預料到會有安全軟體被束之高閣。我們的發現表明,很多公司都在把錢打水漂。”
閒置軟體有多普遍?
閒置軟體是很多公司的普遍擔憂,
事實上,451 Research 公司之前的一份報告表明,閒置軟體通常是過度炒作的產品或缺乏特色的解決方案;而利用率最低的技術,是安全信息與事件管理(SIEM)和入侵偵測系統(IDS)。很多人認為SIEM名不副實,2013年資料洩露事件案發時,據說塔吉特是為其配置糟糕的反惡意軟體解決方案花費了100萬美元的。
這就帶來了一個問題:這些高科技解決方案怎麼就被放到積灰了呢?Alienvault安全宣導者賈瓦德·馬利克說:“客戶角度出發的3大原因是:僅僅出於合規或監管原因而購買;內部公司政治成為阻礙(或者缺乏使用透明度和業務一致性);沒有足夠的時間或專業知識來恰當實現或部署。”
只要合規仍是主要顧慮,這一現狀就難以改變。“這闡明了安全技術的戰術性購買或繼承,儘管這些安全技術在整體安全性原則中毫無用武之地。
馬利克說:“這實際上可能是最容易搞定的了,因為僅僅多花點錢而已嘛。更艱巨的是,公司資產中都有哪些地方部署了這些沒有後續維護的產品。這有點像偷懶式家居重裝修,不去撕牆紙刮牆面,而只是在舊牆紙上貼新牆紙,在舊牆面上刷層漆。
通信公司 Publicis Group 首席資訊安全官索姆·蘭福德認為,閒置軟體通常是安全結構和過時報告層級導致的。
“
我覺得該問題很大程度上取決於我們安全團隊的建立和管理模式。舉個例子,若安全團隊是IT團隊的一部分,就可能會加劇閒置軟體問題——因為安全問題是透過可能會導致無用產品購買的技術視角考慮的。如果不歸屬IT範疇,就可以採取更為全面的方法態度,只在有意義有必要的方面購置。
情況正在惡化嗎?
馬利克認為該問題在加劇,蘭福德也認同該觀點。廠商的大量炒作,往往讓人驚懼,不由自主就買下了產品。隨著安全預算增加,很多所謂的萬靈解決方案在基本安全措施部署之前,就被盲目投資買下。
不過,馬利克也認為,軟體即服務(SaaS)多多少少有點可取之處:“隨著越來越多的服務被推上雲端,隨著安全朝向雲端發展,此問題得到了緩和——因為雲服務通常更易於部署和撤銷。而且,也更容易試用,或者按月訂閱。這就免除了大型現場部署所需的資金投入。”
菲爾·克萊克奈爾,英國物業維修公司HomeServe首席資訊安全官,對此表示贊同:“軟體即服務,或者靈活的年許可付費模式,有助於緩解問題。支援按使用付費的模式。反對中斷點價格,中斷點價格是廠商得利,不是你。”
解決供應商問題
CISO們的閒置軟體問題,從安全廠商及其業績驅動的銷售團隊入手是無法解決的。事實上,資訊安全人士抱怨廠商只管賣不管培訓的事並不少見。
克萊克奈爾就是抱怨人士之一,稱今天的廠商兜售全套解決方案,反病毒、資料洩露預防(DLP)、基於主機的入侵偵測系統(HIDS)和網路存取控制全覆蓋——即便客戶根本不瞭解整個套裝的全部功能。他認為如今廠商控制了市場。
“
危險在於,我們任由廠商控制市場,就像數年之前一樣。他們又開始這麼做了——定義產品和技術,然後說服客戶以為自己需要這些東西。我們才應該是定義我們自身需求和所需處理風險的人,而廠商負責以能被我們有效消費的方式產出解決方案。應該是狗搖尾巴,而不應該是尾巴搖狗。主體客體要分清楚。
蘭福德部分同意此觀點,並補充道:“雙方之間需要一種更開放的關係。前端諮詢和誠實是關鍵;告訴我除非我已經解決了自身內部問題,否則他們的解決方案不會生效的廠商,比僅僅催促我簽字付款的廠商,更能讓我甘心掏錢,更能贏得我的長期信任。首先要跟廠商建立關係,瞭解他們,也讓他們瞭解你。看看他們對其他客戶做了什麼,然後溝通瞭解。他們是怎麼向你兜售產品的?他們只是在賣東西賺錢,還是真的想與你建立長期合作關係,幫你解決問題?”
馬利克稱,最終達成的效果,是買到與遺留設備便捷集成的全功能產品。“決定性因素是溝通,找出客戶中意產品的點,找出可以改進的地方,回饋給董事會。”
CISO必須對資產負責
閒置軟體並非不可避免,通過一些非常簡單的前置措施,就能大幅減少甚至杜絕這種現象。
管控好購買過程,充分利用現有產品,在購入新解決方案前現理清基本問題,基本上便可以杜絕閒置軟體現象了。
“
首先,利用功能最全面的產品,達到最寬廣的覆蓋面。這樣可以掌握全域情況,找出需要特別注意的地方。別試圖面面俱到,先從關鍵資產開始。最後,最佳辦法就是與同事一起對產品和網路進行實驗,看各項功能部署得怎麼樣。安全沒必要多複雜,往往就是把基本動作做好,一直做好,僅此而已。
蘭福德說:“關注過程,人是重點。這兩樣對達成安全目標有很大説明,有時候説明會大到不再需要進一步投資。只有瞭解了價格、公司及人員運作模式,以及哪些方面需要技術支援,才可以決定是否做出該項投資。”
CISO和其他IT決策者應質疑購買決定的原因,儘早獲取利益相關者的支持,制定出30/60/90計畫,並在購買前擁有一份詳盡的部署方案。淘汰舊有技術,核查產品功能和調研,也是十分重要的。
情況正在惡化嗎?
馬利克認為該問題在加劇,蘭福德也認同該觀點。廠商的大量炒作,往往讓人驚懼,不由自主就買下了產品。隨著安全預算增加,很多所謂的萬靈解決方案在基本安全措施部署之前,就被盲目投資買下。
不過,馬利克也認為,軟體即服務(SaaS)多多少少有點可取之處:“隨著越來越多的服務被推上雲端,隨著安全朝向雲端發展,此問題得到了緩和——因為雲服務通常更易於部署和撤銷。而且,也更容易試用,或者按月訂閱。這就免除了大型現場部署所需的資金投入。”
菲爾·克萊克奈爾,英國物業維修公司HomeServe首席資訊安全官,對此表示贊同:“軟體即服務,或者靈活的年許可付費模式,有助於緩解問題。支援按使用付費的模式。反對中斷點價格,中斷點價格是廠商得利,不是你。”
解決供應商問題
CISO們的閒置軟體問題,從安全廠商及其業績驅動的銷售團隊入手是無法解決的。事實上,資訊安全人士抱怨廠商只管賣不管培訓的事並不少見。
克萊克奈爾就是抱怨人士之一,稱今天的廠商兜售全套解決方案,反病毒、資料洩露預防(DLP)、基於主機的入侵偵測系統(HIDS)和網路存取控制全覆蓋——即便客戶根本不瞭解整個套裝的全部功能。他認為如今廠商控制了市場。
“
危險在於,我們任由廠商控制市場,就像數年之前一樣。他們又開始這麼做了——定義產品和技術,然後說服客戶以為自己需要這些東西。我們才應該是定義我們自身需求和所需處理風險的人,而廠商負責以能被我們有效消費的方式產出解決方案。應該是狗搖尾巴,而不應該是尾巴搖狗。主體客體要分清楚。
蘭福德部分同意此觀點,並補充道:“雙方之間需要一種更開放的關係。前端諮詢和誠實是關鍵;告訴我除非我已經解決了自身內部問題,否則他們的解決方案不會生效的廠商,比僅僅催促我簽字付款的廠商,更能讓我甘心掏錢,更能贏得我的長期信任。首先要跟廠商建立關係,瞭解他們,也讓他們瞭解你。看看他們對其他客戶做了什麼,然後溝通瞭解。他們是怎麼向你兜售產品的?他們只是在賣東西賺錢,還是真的想與你建立長期合作關係,幫你解決問題?”
馬利克稱,最終達成的效果,是買到與遺留設備便捷集成的全功能產品。“決定性因素是溝通,找出客戶中意產品的點,找出可以改進的地方,回饋給董事會。”
CISO必須對資產負責
閒置軟體並非不可避免,通過一些非常簡單的前置措施,就能大幅減少甚至杜絕這種現象。
管控好購買過程,充分利用現有產品,在購入新解決方案前現理清基本問題,基本上便可以杜絕閒置軟體現象了。
“
首先,利用功能最全面的產品,達到最寬廣的覆蓋面。這樣可以掌握全域情況,找出需要特別注意的地方。別試圖面面俱到,先從關鍵資產開始。最後,最佳辦法就是與同事一起對產品和網路進行實驗,看各項功能部署得怎麼樣。安全沒必要多複雜,往往就是把基本動作做好,一直做好,僅此而已。
蘭福德說:“關注過程,人是重點。這兩樣對達成安全目標有很大説明,有時候説明會大到不再需要進一步投資。只有瞭解了價格、公司及人員運作模式,以及哪些方面需要技術支援,才可以決定是否做出該項投資。”
CISO和其他IT決策者應質疑購買決定的原因,儘早獲取利益相關者的支持,制定出30/60/90計畫,並在購買前擁有一份詳盡的部署方案。淘汰舊有技術,核查產品功能和調研,也是十分重要的。