怎樣避免安全軟件的閑置 CIO必須對資產(chǎn)負(fù)責(zé)

責(zé)任編輯:editor006

作者:zoey

2017-06-19 20:40:36

摘自:安全牛

投資安全工具卻只是束之高閣或利用率不足,并非不可避免,通過一些非常簡單的前置措施,就能大幅減少甚至杜絕這種現(xiàn)象。

投資安全工具卻只是束之高閣或利用率不足,并非不可避免,通過一些非常簡單的前置措施,就能大幅減少甚至杜絕這種現(xiàn)象。

 

 

閑置軟件是沒人愿意談及的巨大安全問題,粗略定義為未被使用、利用率低或?qū)崿F(xiàn)不正確的技術(shù),很多CISO都選擇避而不談。

2015年,Trustwave委托美國奧斯特曼研究公司做的一項(xiàng)調(diào)查研究,展露出該問題的嚴(yán)重性。該調(diào)查涉及172家大大小小的企業(yè),這些企業(yè)中投資新安全控制措施的那些,往往不是未充分利用該新技術(shù),就是干脆用都沒用上。

奧斯特曼發(fā)現(xiàn),這一情況很普遍,受訪者中至少30%都是這樣。某些公司里,受訪者稱,近30%的新安全投資都根本未被使用或使用不足。一家公司稱,其60%的安全軟件都是擺著好看的。

當(dāng)時的Trustwave產(chǎn)品管理副總裁喬什·紹爾說:“我們預(yù)料到會有安全軟件被束之高閣。我們的發(fā)現(xiàn)表明,很多公司都在把錢打水漂。”

閑置軟件有多普遍?

閑置軟件是很多公司的普遍擔(dān)憂,而這往往源于缺乏廠商咨詢:太多的關(guān)注放在了合規(guī)上,卻沒意識到該技術(shù)真正能做什么。

事實(shí)上,451 Research 公司之前的一份報告表明,閑置軟件通常是過度炒作的產(chǎn)品或缺乏特色的解決方案;而利用率最低的技術(shù),是安全信息與事件管理(SIEM)和入侵檢測系統(tǒng)(IDS)。很多人認(rèn)為SIEM名不副實(shí),2013年數(shù)據(jù)泄露事件案發(fā)時,據(jù)說塔吉特是為其配置糟糕的反惡意軟件解決方案花費(fèi)了100萬美元的。

這就帶來了一個問題:這些高科技解決方案怎么就被放到積灰了呢?Alienvault安全倡導(dǎo)者賈瓦德·馬利克說:“客戶角度出發(fā)的3大原因是:僅僅出于合規(guī)或監(jiān)管原因而購買;內(nèi)部公司政治成為阻礙(或者缺乏使用透明度和業(yè)務(wù)一致性);沒有足夠的時間或?qū)I(yè)知識來恰當(dāng)實(shí)現(xiàn)或部署。”

只要合規(guī)仍是主要顧慮,這一現(xiàn)狀就難以改變。“這闡明了安全技術(shù)的戰(zhàn)術(shù)性購買或繼承,盡管這些安全技術(shù)在整體安全策略中毫無用武之地。我見過有些閑置軟件甚至從未部署下去,僅僅是為了滿足審計(jì)員而購買的。”

馬利克說:“這實(shí)際上可能是最容易搞定的了,因?yàn)閮H僅多花點(diǎn)錢而已嘛。更艱巨的是,公司資產(chǎn)中都有哪些地方部署了這些沒有后續(xù)維護(hù)的產(chǎn)品。這有點(diǎn)像偷懶式家居重裝修,不去撕墻紙刮墻面,而只是在舊墻紙上貼新墻紙,在舊墻面上刷層漆。”

通信公司 Publicis Group 首席信息安全官索姆·蘭福德認(rèn)為,閑置軟件通常是安全結(jié)構(gòu)和過時報告層級導(dǎo)致的。

我覺得該問題很大程度上取決于我們安全團(tuán)隊(duì)的建立和管理模式。舉個例子,若安全團(tuán)隊(duì)是IT團(tuán)隊(duì)的一部分,就可能會加劇閑置軟件問題——因?yàn)榘踩珕栴}是透過可能會導(dǎo)致無用產(chǎn)品購買的技術(shù)視角考慮的。如果不歸屬IT范疇,就可以采取更為全面的方法態(tài)度,只在有意義有必要的方面購置。

情況正在惡化嗎?

馬利克認(rèn)為該問題在加劇,蘭福德也認(rèn)同該觀點(diǎn)。廠商的大量炒作,往往讓人驚懼,不由自主就買下了產(chǎn)品。隨著安全預(yù)算增加,很多所謂的萬靈解決方案在基本安全措施部署之前,就被盲目投資買下。

不過,馬利克也認(rèn)為,軟件即服務(wù)(SaaS)多多少少有點(diǎn)可取之處:“隨著越來越多的服務(wù)被推上云端,隨著安全朝向云端發(fā)展,此問題得到了緩和——因?yàn)樵品?wù)通常更易于部署和撤銷。而且,也更容易試用,或者按月訂閱。這就免除了大型現(xiàn)場部署所需的資金投入。”

菲爾·克萊克奈爾,英國物業(yè)維修公司HomeServe首席信息安全官,對此表示贊同:“軟件即服務(wù),或者靈活的年許可付費(fèi)模式,有助于緩解問題。支持按使用付費(fèi)的模式。反對斷點(diǎn)價格,斷點(diǎn)價格是廠商得利,不是你。”

解決供應(yīng)商問題

CISO們的閑置軟件問題,從安全廠商及其業(yè)績驅(qū)動的銷售團(tuán)隊(duì)入手是無法解決的。事實(shí)上,信息安全人士抱怨廠商只管賣不管培訓(xùn)的事并不少見。

克萊克奈爾就是抱怨人士之一,稱今天的廠商兜售全套解決方案,反病毒、數(shù)據(jù)泄露預(yù)防(DLP)、基于主機(jī)的入侵檢測系統(tǒng)(HIDS)和網(wǎng)絡(luò)訪問控制全覆蓋——即便客戶根本不了解整個套裝的全部功能。他認(rèn)為如今廠商控制了市場。

危險在于,我們?nèi)斡蓮S商控制市場,就像數(shù)年之前一樣。他們又開始這么做了——定義產(chǎn)品和技術(shù),然后說服客戶以為自己需要這些東西。我們才應(yīng)該是定義我們自身需求和所需處理風(fēng)險的人,而廠商負(fù)責(zé)以能被我們有效消費(fèi)的方式產(chǎn)出解決方案。應(yīng)該是狗搖尾巴,而不應(yīng)該是尾巴搖狗。主體客體要分清楚。

蘭福德部分同意此觀點(diǎn),并補(bǔ)充道:“雙方之間需要一種更開放的關(guān)系。前端咨詢和誠實(shí)是關(guān)鍵;告訴我除非我已經(jīng)解決了自身內(nèi)部問題,否則他們的解決方案不會生效的廠商,比僅僅催促我簽字付款的廠商,更能讓我甘心掏錢,更能贏得我的長期信任。首先要跟廠商建立關(guān)系,了解他們,也讓他們了解你??纯此麄儗ζ渌蛻糇隽耸裁?,然后溝通了解。他們是怎么向你兜售產(chǎn)品的?他們只是在賣東西賺錢,還是真的想與你建立長期合作關(guān)系,幫你解決問題?”

馬利克稱,最終達(dá)成的效果,是買到與遺留設(shè)備便捷集成的全功能產(chǎn)品。“決定性因素是溝通,找出客戶中意產(chǎn)品的點(diǎn),找出可以改進(jìn)的地方,反饋給董事會。”

CISO必須對資產(chǎn)負(fù)責(zé)

閑置軟件并非不可避免,通過一些非常簡單的前置措施,就能大幅減少甚至杜絕這種現(xiàn)象。

管控好購買過程,充分利用現(xiàn)有產(chǎn)品,在購入新解決方案前現(xiàn)理清基本問題,基本上便可以杜絕閑置軟件現(xiàn)象了。

首先,利用功能最全面的產(chǎn)品,達(dá)到最寬廣的覆蓋面。這樣可以掌握全局情況,找出需要特別注意的地方。別試圖面面俱到,先從關(guān)鍵資產(chǎn)開始。最后,最佳辦法就是與同事一起對產(chǎn)品和網(wǎng)絡(luò)進(jìn)行實(shí)驗(yàn),看各項(xiàng)功能部署得怎么樣。安全沒必要多復(fù)雜,往往就是把基本動作做好,一直做好,僅此而已。

蘭福德說:“關(guān)注過程,人是重點(diǎn)。這兩樣對達(dá)成安全目標(biāo)有很大幫助,有時候幫助會大到不再需要進(jìn)一步投資。只有了解了價格、公司及人員運(yùn)作模式,以及哪些方面需要技術(shù)支持,才可以決定是否做出該項(xiàng)投資。”

CISO和其他IT決策者應(yīng)質(zhì)疑購買決定的原因,盡早獲取利益相關(guān)者的支持,制定出30/60/90計(jì)劃,并在購買前擁有一份詳盡的部署方案。淘汰舊有技術(shù),核查產(chǎn)品功能和調(diào)研,也是十分重要的。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號