如果駕駛水平不夠，購買昂貴的跑車不但浪費，而且可能會發(fā)生危險。

根據(jù)針對《財富》500強公司的網(wǎng)絡(luò)安全調(diào)查，很多企業(yè)擁有先進(jìn)的網(wǎng)絡(luò)安全技術(shù)，而這些技術(shù)僅僅發(fā)揮了一小部分功能。不可否認(rèn)這些都是很優(yōu)秀的產(chǎn)品，但是企業(yè)決策者要么對產(chǎn)品缺乏全面了解，要么不完全了解實施前后的工作量。這就像購買了一輛法拉利卻不會開一樣。

[[322839]]

術(shù)高莫用

購買大型網(wǎng)絡(luò)安全解決方案時，尤其是附帶硬件的網(wǎng)絡(luò)安全解決方案時，企業(yè)決策者必須記住，這些解決方案通常需要大量的協(xié)調(diào)和高級技能才能“正確打開”。例如，有些云服務(wù)商告訴你他們的云端零信任方案是“開箱即用”的，這聽上去是不是“too good to be true”?

確實，部署復(fù)雜的網(wǎng)絡(luò)安全解決方案僅需幾天時間，但真正有挑戰(zhàn)的是構(gòu)建高級用例，將環(huán)境中的技術(shù)作為基準(zhǔn)，然后根據(jù)業(yè)務(wù)最有可能面臨的風(fēng)險對其進(jìn)行更新和配置，這個過程需要數(shù)周甚至數(shù)月。

就像購買一輛時髦的豪華汽車前需要做充足的功課，企業(yè)不應(yīng)該只看標(biāo)價，篤信“一分錢一分貨”，要知道喬布斯買臺滾筒洗衣機還要用平衡記分卡召開多次家庭會議，耗時數(shù)周才能敲定。企業(yè)必須考慮在自身環(huán)境中日常維護(hù)和運營這些產(chǎn)品/方案的成本和時間。

此外，企業(yè)還需要評估團(tuán)隊成員的技能和專業(yè)知識，確定他們是否具有配置解決方案所需的能力，這里說的能力不僅是讓解決方案正常運行起來，還包括對其進(jìn)行優(yōu)化和充分利用的能力。這絕非易事，如果從未使用過類似技術(shù)或從未參與過如此大規(guī)模的部署項目，即使是經(jīng)驗豐富的安全團(tuán)隊成員也會迅速掉進(jìn)大坑。

我們經(jīng)常在網(wǎng)絡(luò)安全技術(shù)(例如端點檢測和響應(yīng)EDR、行為分析、欺騙技術(shù)和人工智能AI驅(qū)動的解決方案)的案例中看到這種情況，許多大型企業(yè)都有EDR解決方案，但實際上很少有公司在進(jìn)行托管檢測和響應(yīng)。他們只是在EDR上收集事件，而繞過了對事件做出快速響應(yīng)所必需的更深入的調(diào)查或威脅分析。

一些安全方案對其技術(shù)檢測、緩解和消除威脅的能力的描述聽起來令人印象深刻，安全專業(yè)人員和決策者很容易產(chǎn)生“剁手”沖動。但是，如果您的團(tuán)隊沒有足夠的資源來維護(hù)和有效地驅(qū)動產(chǎn)品，那么首先購買它就沒有任何意義，并且最終將導(dǎo)致預(yù)算浪費。

框架優(yōu)先

我見過的公司大多是下面這個常見問題的受害者。通常他們沒有購買該網(wǎng)絡(luò)安全解決方案的充足商業(yè)理由，他們可能已經(jīng)看到了需求，或者被某個特定解決方案可以為他們提供即時可見性的想法所吸引，但是他們再也沒有進(jìn)一步詢問自己，該產(chǎn)品將如何適應(yīng)他們的安全生態(tài)系統(tǒng)。可見性到目前為止。如果您沒有能力在您自己的團(tuán)隊中或通過合作伙伴審查可見性并采取行動，就不要急著出手。

為了從網(wǎng)絡(luò)安全投資中獲得最大收益，企業(yè)應(yīng)該首先創(chuàng)建一個安全成熟度框架。該框架將幫助您的企業(yè)評估自身的安全能力，發(fā)現(xiàn)弱點和優(yōu)勢，并為開發(fā)更高級的網(wǎng)絡(luò)安全計劃選定一條前進(jìn)道路。首先需要評估組織的風(fēng)險承受能力。風(fēng)險承受能力越低，您的安全成熟度就需要越高。

接下來，通過將程序與經(jīng)過驗證的行業(yè)框架(例如NIST網(wǎng)絡(luò)安全框架和網(wǎng)絡(luò)安全能力成熟度模型C2M2)的要求進(jìn)行比較，評估您的人員、流程和技術(shù)。后者是由美國政府開發(fā)的，用于能源領(lǐng)域，但是基本模型可以應(yīng)用于任何領(lǐng)域。

一旦建立了三到五年周期的安全性成熟度框架，您就可以確定存在哪些漏洞或風(fēng)險領(lǐng)域，然后可以對技術(shù)或服務(wù)進(jìn)行優(yōu)先級排序以填補這些漏洞。安全成熟度框架可幫助組織專注于適合其計劃的技術(shù)或產(chǎn)品，而不會被新技術(shù)新方案弄花了眼，盲目采購。

此外，企業(yè)還可以關(guān)注安全業(yè)界較為關(guān)注的CMMC安全成熟度框架，以及系統(tǒng)安全工程能力成熟度模型(SSE-CMM)和國標(biāo)GB/T 37988-2019數(shù)據(jù)安全成熟度模型(DSMM)，這些模型各有側(cè)重，國內(nèi)企業(yè)可以結(jié)合自身行業(yè)特性和實際情況參考借鑒。

此外，針對不同行業(yè)的安全需求，企業(yè)也可以開發(fā)自己的安全成熟度模型，例如在此前的文章中，安全牛介紹過立邦網(wǎng)絡(luò)安全主管嚴(yán)偉設(shè)計的安全成熟度模型，針對制造業(yè)的安全需求進(jìn)行了優(yōu)化，特別適合注重實效的數(shù)字化轉(zhuǎn)型階段的制造業(yè)企業(yè)參考。

人的因素

在創(chuàng)建安全成熟度框架之后，評估您的團(tuán)隊管理，以及持續(xù)優(yōu)化計劃中的技術(shù)產(chǎn)品的能力。問問自己，您的團(tuán)隊能否勝任，是否需要借助外部資源的支持。問問自己，新產(chǎn)品功能現(xiàn)在是否是運營的核心，以及針對這些功能的專業(yè)知識是否很重要。如果是這樣，請準(zhǔn)備投資培訓(xùn)和繼續(xù)教育，以提高當(dāng)前和將來團(tuán)隊成員的技能。

每次購買網(wǎng)絡(luò)安全產(chǎn)品時，企業(yè)決策者都應(yīng)該進(jìn)行全面的技能和服務(wù)評估。只有這樣，您才能確保您正在優(yōu)化和最大化領(lǐng)先的網(wǎng)絡(luò)安全技術(shù)，將您的網(wǎng)絡(luò)安全計劃帶入快速通道，充分發(fā)揮其潛力。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文