到现在为止,您可能至少花了几分钟时间观看“我以为我得到了什么与我实际得到了什么”视频。有宠物版、成熟丈夫版,甚至还有个人版——“我认为我的样子与我实际的样子。” 你得到了图片。
类似的现象多年来一直在安全行业发生——新产品或新技术前景广阔;然而,实际操作却大不相同。回想一下早期和入侵防御系统 (IPSes)。公司发布了 IPSes,你可以在你的网络上即插即用,设备会阻止它认为不好的东西。听起来很棒吧?好吧,实际操作是它阻止了它不应该拥有的东西,从而导致了许多误报。当安全团队被问及“为什么被阻止?”时,他们无法得到答案,因为 IPS 设备是一个“黑匣子”。
显然,安全技术的承诺与操作现实之间存在差距。让我们再举两个最近的例子:安全编排、自动化和响应 (SOAR) 平台和工具以及扩展检测和响应 (XDR) 解决方案。
SOAR 在过去几年中越来越受欢迎。然而,它也表现出承诺与实际操作之间的脱节。承诺是自动化流程可以帮助您节省时间和资源并加快响应速度。但实际操作是您需要为您的环境量身定制已定义的流程。它不是即插即用。而且,更重要的是,您需要确保为流程确定正确的标准和触发器。无需首先对情报进行汇总、评分和优先排序——这些步骤可以而且也必须自动化– 您正在创造一种输入错误数据,输出错误数据的情况。结果?扰乱安全操作、浪费宝贵资源并妨碍安全的放大噪音。运营现实是,您需要正确的输入来专注于对您的组织真正重要的事情,以及正确的流程以更快地采取正确的行动。
最新获得关注的市场讨论是 XDR。ESG 将 XDR 定义为:“一套跨越混合 IT 架构的集成安全产品套件,旨在在威胁预防、检测和响应方面进行互操作和协调。XDR 将控制点、安全遥测、分析和操作统一到一个企业系统中。” 组织被这种方法所吸引,因为 XDR 的承诺之一是供应商整合。如果您可以从单一供应商处获得具有多个实施点的单一解决方案,该解决方案利用了云的优势并进行了预集成,这不是很好吗?然后,您可以与单个供应商(或极少数)与当前部署的数十种产品合作。
但问题就在这里。实际运营情况是,没有任何组织可以从头开始。平均而言,组织使用超过 45不同的安全工具,撕毁和更换的意愿很低。更重要的是,具有不同预算和团队的不同部门正在使用不同的解决方案。总是,有些人会决定坚持使用他们同类最佳的解决方案,这些解决方案在功能上是无法由提供整合解决方案的单一供应商所匹配的。时间会证明 XDR 解决方案提供商是否能够保持一流解决方案提供商的创新水平,他们将资源集中在解决特定用例、新型威胁和新兴威胁媒介上。还有一个问题是处理您仍然需要使用的本地工具,至少在您完全过渡到云之前的短期内是这样。组织将能够将工具的数量减少到十几个左右,但它们仍然无法互操作。
那么,我们如何才能弥合承诺与实际操作之间的差距?当您确定要投资哪些安全技术时,不仅要制定技术路线图,还要包括并调整运营路线图。否则,您将在短期内限制任何技术投资的价值,并可能阻碍长期采用和发展势头。超越销售给您的承诺,并根据您的运营和将发生的现实做出决定。例如,供应商整合是一个伟大的目标,但适合您的组织的路径是什么?撕裂和替换是前进的方式还是随着时间的推移进行过渡对您更好,以及在什么时候需要什么来支持您的方法?
“我以为我得到的与我实际得到的”视频很有趣。但是当谈到安全时,幽默就消失了。我们必须而且能够弥合这一差距。