王英哲

賣家秀與買家秀視頻想必大多數(shù)人都已經(jīng)領(lǐng)教過了?！拔蚁胂笾形业臉幼觱s我實際上的樣子”。安全行業(yè)也不能免俗，多年來一直存在類似的現(xiàn)象：新產(chǎn)品或新技術(shù)總是伴隨著天花亂墜的一大堆承諾，然而，實際運營的結(jié)果往往十分打臉?；叵胍幌略缙诘娜肭诸A(yù)防系統(tǒng)（IPSes），安全公司推出的IPSes承諾客戶可以在網(wǎng)絡(luò)上即插即用，插上就能阻止設(shè)備認為的所有不良事件。聽起來簡直太棒了，但運營現(xiàn)實卻是不該阻止的也被阻止了，誤報多到令人無法接受。而當安全團隊被問到“為什么連這個都被阻止？”時，他們甚至得不到任何答案，因為這種IPS設(shè)備是個“黑箱”。

顯然，安全技術(shù)的美好承諾和實際運營現(xiàn)實之間存在巨大的鴻溝。不妨來看看近期的例子：安全編排、自動化與響應(yīng)（SOAR）平臺以及擴展檢測與響應(yīng)（XDR）解決方案。

SOAR在過去幾年間可謂風頭無兩，然而，就是這種備受推崇的安全技術(shù)，其承諾與運營現(xiàn)實之間也脫節(jié)了。SOAR承諾，自動化過程可以幫助用戶節(jié)省時間和資源，還能加速響應(yīng)。但運營現(xiàn)實卻是你還得定義適合自身環(huán)境的各種過程。即插即用？不存在的。而且，更重要的是，必須確保為過程制定了正確的標準和觸發(fā)器，如果沒有預(yù)先聚合、評估和排序情報———可以也必須自動化的幾個步驟，那最多是搞出個“壞數(shù)據(jù)進，壞數(shù)據(jù)出”的情況。其反而放大了噪音，既阻礙安全操作，又浪費寶貴資源，最終還妨礙了安全。整個運營現(xiàn)實就是：你需要正確的輸入來聚焦對自家公司而言真正重要的事務(wù)，還需要正確的過程來更快速地采取正確的操作。

最近俘獲大量市場關(guān)注的新興產(chǎn)品是XDR。企業(yè)戰(zhàn)略集團（ESG）對XDR的定義是：“跨混合IT架構(gòu)的安全產(chǎn)品集成套件，旨在互操作和協(xié)同威脅預(yù)防、檢測與響應(yīng)。XDR將控制點、安全遙測、分析和運營統(tǒng)一到一個企業(yè)系統(tǒng)中?！逼髽I(yè)關(guān)注這種方法是因為XDR的承諾之一就是供應(yīng)商整合。從一家供應(yīng)商處獲得具有多個實施點的單一解決方案，不僅能夠利用云的各種優(yōu)勢，而且是預(yù)先集成的———這么方便流暢、功能強大的集成套件誰不想要？只要有了XDR，就可以擺脫與當前幾十家產(chǎn)品供應(yīng)商打交道的麻煩，省時省力地專心與一家（或極少數(shù)幾家）供應(yīng)商合作即可。

但這美好的承諾存在問題。實際情況是，沒有哪家企業(yè)是白紙一張。平均而言，企業(yè)正在使用的不同安全工具多達45種以上，而且全盤更換的意愿不大。此外，預(yù)算和團隊的不同部門也使用不一樣的解決方案。不可避免地，一些團隊會堅持使用其最佳解決方案，單一供應(yīng)商提供的整合解決方案在功能上無法與之匹配。而時間將證明XDR解決方案提供商是否能夠保持一流解決方案提供商的創(chuàng)新水平，將資源投注于解決特定用例、新型威脅和新興威脅載體。如何處理仍需繼續(xù)使用的內(nèi)部工具也是個問題，至少在完全遷移到云端之前是個問題。企業(yè)可將工具的數(shù)量減少到十幾個，但這些工具仍然不能互操作。

于是，該如何彌合安全技術(shù)的承諾與運營現(xiàn)實之間的鴻溝呢？在確定要投資哪些安全技術(shù)時，別忘了不僅要制定技術(shù)路線圖，還要制定并調(diào)整運營路線圖。否則，不僅短期內(nèi)無法充分發(fā)揮任何技術(shù)投資的價值，長期看還可能損害技術(shù)采用勢頭。不要被產(chǎn)品推銷時的承諾迷花了眼，要根據(jù)公司業(yè)務(wù)和將會發(fā)生的現(xiàn)實做出決策。例如，供應(yīng)商整合是個大目標，但公司要采取什么路線來達到這個目標呢？是通過全盤更換向前躍進，還是隨時間推移慢慢過渡更適合公司？什么時候需要什么技術(shù)或產(chǎn)品來支持所選擇的前進路線？

賣家秀與買家秀視頻是挺讓人會心一笑的，但涉及安全問題，幽默就不合時宜了，我們必須彌合其間的差距。