怎样避免安全软件的闲置 CIO必须对资产负责

    xiaoxiao2021-04-17  203

    投资安全工具却只是束之高阁或利用率不足,并非不可避免,通过一些非常简单的前置措施,就能大幅减少甚至杜绝这种现象。

     

     

    闲置软件是没人愿意谈及的巨大安全问题,粗略定义为未被使用、利用率低或实现不正确的技术,很多CISO都选择避而不谈。

    2015年,Trustwave委托美国奥斯特曼研究公司做的一项调查研究,展露出该问题的严重性。该调查涉及172家大大小小的企业,这些企业中投资新安全控制措施的那些,往往不是未充分利用该新技术,就是干脆用都没用上。

    奥斯特曼发现,这一情况很普遍,受访者中至少30%都是这样。某些公司里,受访者称,近30%的新安全投资都根本未被使用或使用不足。一家公司称,其60%的安全软件都是摆着好看的。

    当时的Trustwave产品管理副总裁乔什·绍尔说:“我们预料到会有安全软件被束之高阁。我们的发现表明,很多公司都在把钱打水漂。”

    闲置软件有多普遍?

    闲置软件是很多公司的普遍担忧,而这往往源于缺乏厂商咨询:太多的关注放在了合规上,却没意识到该技术真正能做什么。

    事实上,451 Research 公司之前的一份报告表明,闲置软件通常是过度炒作的产品或缺乏特色的解决方案;而利用率最低的技术,是安全信息与事件管理(SIEM)和入侵检测系统(IDS)。很多人认为SIEM名不副实,2013年数据泄露事件案发时,据说塔吉特是为其配置糟糕的反恶意软件解决方案花费了100万美元的。

    这就带来了一个问题:这些高科技解决方案怎么就被放到积灰了呢?Alienvault安全倡导者贾瓦德·马利克说:“客户角度出发的3大原因是:仅仅出于合规或监管原因而购买;内部公司政治成为阻碍(或者缺乏使用透明度和业务一致性);没有足够的时间或专业知识来恰当实现或部署。”

    只要合规仍是主要顾虑,这一现状就难以改变。“这阐明了安全技术的战术性购买或继承,尽管这些安全技术在整体安全策略中毫无用武之地。我见过有些闲置软件甚至从未部署下去,仅仅是为了满足审计员而购买的。”

    马利克说:“这实际上可能是最容易搞定的了,因为仅仅多花点钱而已嘛。更艰巨的是,公司资产中都有哪些地方部署了这些没有后续维护的产品。这有点像偷懒式家居重装修,不去撕墙纸刮墙面,而只是在旧墙纸上贴新墙纸,在旧墙面上刷层漆。”

    通信公司 Publicis Group 首席信息安全官索姆·兰福德认为,闲置软件通常是安全结构和过时报告层级导致的。

    我觉得该问题很大程度上取决于我们安全团队的建立和管理模式。举个例子,若安全团队是IT团队的一部分,就可能会加剧闲置软件问题——因为安全问题是透过可能会导致无用产品购买的技术视角考虑的。如果不归属IT范畴,就可以采取更为全面的方法态度,只在有意义有必要的方面购置。

    情况正在恶化吗?

    马利克认为该问题在加剧,兰福德也认同该观点。厂商的大量炒作,往往让人惊惧,不由自主就买下了产品。随着安全预算增加,很多所谓的万灵解决方案在基本安全措施部署之前,就被盲目投资买下。

    不过,马利克也认为,软件即服务(SaaS)多多少少有点可取之处:“随着越来越多的服务被推上云端,随着安全朝向云端发展,此问题得到了缓和——因为云服务通常更易于部署和撤销。而且,也更容易试用,或者按月订阅。这就免除了大型现场部署所需的资金投入。”

    菲尔·克莱克奈尔,英国物业维修公司HomeServe首席信息安全官,对此表示赞同:“软件即服务,或者灵活的年许可付费模式,有助于缓解问题。支持按使用付费的模式。反对断点价格,断点价格是厂商得利,不是你。”

    解决供应商问题

    CISO们的闲置软件问题,从安全厂商及其业绩驱动的销售团队入手是无法解决的。事实上,信息安全人士抱怨厂商只管卖不管培训的事并不少见。

    克莱克奈尔就是抱怨人士之一,称今天的厂商兜售全套解决方案,反病毒、数据泄露预防(DLP)、基于主机的入侵检测系统(HIDS)和网络访问控制全覆盖——即便客户根本不了解整个套装的全部功能。他认为如今厂商控制了市场。

    危险在于,我们任由厂商控制市场,就像数年之前一样。他们又开始这么做了——定义产品和技术,然后说服客户以为自己需要这些东西。我们才应该是定义我们自身需求和所需处理风险的人,而厂商负责以能被我们有效消费的方式产出解决方案。应该是狗摇尾巴,而不应该是尾巴摇狗。主体客体要分清楚。

    兰福德部分同意此观点,并补充道:“双方之间需要一种更开放的关系。前端咨询和诚实是关键;告诉我除非我已经解决了自身内部问题,否则他们的解决方案不会生效的厂商,比仅仅催促我签字付款的厂商,更能让我甘心掏钱,更能赢得我的长期信任。首先要跟厂商建立关系,了解他们,也让他们了解你。看看他们对其他客户做了什么,然后沟通了解。他们是怎么向你兜售产品的?他们只是在卖东西赚钱,还是真的想与你建立长期合作关系,帮你解决问题?”

    马利克称,最终达成的效果,是买到与遗留设备便捷集成的全功能产品。“决定性因素是沟通,找出客户中意产品的点,找出可以改进的地方,反馈给董事会。”

    CISO必须对资产负责

    闲置软件并非不可避免,通过一些非常简单的前置措施,就能大幅减少甚至杜绝这种现象。

    管控好购买过程,充分利用现有产品,在购入新解决方案前现理清基本问题,基本上便可以杜绝闲置软件现象了。

    首先,利用功能最全面的产品,达到最宽广的覆盖面。这样可以掌握全局情况,找出需要特别注意的地方。别试图面面俱到,先从关键资产开始。最后,最佳办法就是与同事一起对产品和网络进行实验,看各项功能部署得怎么样。安全没必要多复杂,往往就是把基本动作做好,一直做好,仅此而已。

    兰福德说:“关注过程,人是重点。这两样对达成安全目标有很大帮助,有时候帮助会大到不再需要进一步投资。只有了解了价格、公司及人员运作模式,以及哪些方面需要技术支持,才可以决定是否做出该项投资。”

    CISO和其他IT决策者应质疑购买决定的原因,尽早获取利益相关者的支持,制定出30/60/90计划,并在购买前拥有一份详尽的部署方案。淘汰旧有技术,核查产品功能和调研,也是十分重要的。

    本文转自d1net(转载)


    最新回复(0)