[[408222]]

賣(mài)家秀與買(mǎi)家秀視頻想必大多數(shù)人都已經(jīng)領(lǐng)教過(guò)了。“我想象中我的樣子 vs. 我實(shí)際上的樣子”也有寵物版、成熟老公版，甚至是個(gè)人版可供打破幻想認(rèn)清現(xiàn)實(shí)。

安全行業(yè)也不能免俗，多年來(lái)一直存在類似的現(xiàn)象：新產(chǎn)品或新技術(shù)總是伴隨著天花亂墜的大堆承諾;然而，實(shí)際運(yùn)營(yíng)的結(jié)果往往十分打臉?；叵胍幌略缙诘娜肭诸A(yù)防系統(tǒng)(IPSes)。安全公司推出的IPSes承諾客戶可以在網(wǎng)絡(luò)上即插即用，插上就能阻止設(shè)備認(rèn)為的所有不良事件。聽(tīng)起來(lái)簡(jiǎn)直太棒了，對(duì)吧?但運(yùn)營(yíng)現(xiàn)實(shí)卻是不該阻止的也被阻止了，誤報(bào)多到令人無(wú)法接受。而當(dāng)安全團(tuán)隊(duì)被問(wèn)到“為什么連這個(gè)都被阻止?”時(shí)，他們甚至都得不到任何答案，因?yàn)檫@種IPS設(shè)備是個(gè)“黑箱”。

顯然，安全技術(shù)的美好承諾和實(shí)際運(yùn)營(yíng)現(xiàn)實(shí)之間存在巨大的鴻溝。我們不妨來(lái)看看更近期的例子：安全編排、自動(dòng)化與響應(yīng)(SOAR)平臺(tái)，以及擴(kuò)展檢測(cè)與響應(yīng)(XDR)解決方案。

SOAR在過(guò)去幾年間可謂風(fēng)頭無(wú)兩，然而，就是這種備受推崇的安全技術(shù)，其承諾與運(yùn)營(yíng)現(xiàn)實(shí)之間也脫節(jié)了。SOAR承諾，自動(dòng)化過(guò)程可以幫助用戶節(jié)省時(shí)間和資源，還能加速響應(yīng)。但運(yùn)營(yíng)現(xiàn)實(shí)卻是你還得定義適合自身環(huán)境的各種過(guò)程。即插即用?不存在的。而且，更重要的是，你必須確保為過(guò)程制定了正確的標(biāo)準(zhǔn)和觸發(fā)器。如果沒(méi)有預(yù)先聚合、評(píng)估和排序情報(bào)——可以也必須自動(dòng)化的幾個(gè)步驟，那你最多是搞出個(gè)“壞數(shù)據(jù)進(jìn)，壞數(shù)據(jù)出”的情況。會(huì)造成什么結(jié)果呢?反而放大了噪音，既阻礙安全操作，又浪費(fèi)寶貴資源，最終還妨礙了安全。整個(gè)運(yùn)營(yíng)現(xiàn)實(shí)就是：你需要正確的輸入來(lái)聚焦對(duì)自家公司而言真正重要的事務(wù)，還需要正確的過(guò)程來(lái)更快速地采取正確的操作。

最近俘獲大量市場(chǎng)關(guān)注的新興產(chǎn)品是XDR。企業(yè)戰(zhàn)略集團(tuán)(ESG)對(duì)XDR的定義是：“跨混合IT架構(gòu)的安全產(chǎn)品集成套件，旨在互操作和協(xié)同威脅預(yù)防、檢測(cè)與響應(yīng)。XDR將控制點(diǎn)、安全遙測(cè)、分析和運(yùn)營(yíng)統(tǒng)一到一個(gè)企業(yè)系統(tǒng)中。”企業(yè)關(guān)注這種方法是因?yàn)閄DR的承諾之一就是供應(yīng)商整合。從一家供應(yīng)商處獲得具有多個(gè)實(shí)施點(diǎn)的單一解決方案，不僅能夠利用云的各種優(yōu)勢(shì)，還是預(yù)先集成的——這么方便流暢功能強(qiáng)大的集成套件誰(shuí)不想要?只要有了XDR，就可以擺脫與當(dāng)前幾十家產(chǎn)品供應(yīng)商打交道的麻煩，省時(shí)省力地專心與一家(或極少數(shù)幾家)供應(yīng)商合作即可。

但這美好的承諾存在問(wèn)題。實(shí)際情況是，沒(méi)有哪家企業(yè)是白紙一張。平均而言，企業(yè)正在使用的不同安全工具多達(dá)45種以上，而且全盤(pán)更換的意愿不大。此外，預(yù)算和團(tuán)隊(duì)各異的不同部門(mén)也用的是不一樣的解決方案。不可避免地，一些團(tuán)隊(duì)會(huì)堅(jiān)持使用其最佳解決方案，單一供應(yīng)商提供的整合解決方案在功能上無(wú)法與之匹配。而時(shí)間將證明XDR解決方案提供商是否能夠保持一流解決方案提供商的創(chuàng)新水平，將資源投注于解決特定用例、新型威脅和新興威脅載體。如何處理仍需繼續(xù)使用的內(nèi)部工具也是個(gè)問(wèn)題，至少在完全遷移到云端之前的時(shí)間里是個(gè)問(wèn)題。企業(yè)可將工具的數(shù)量減少到十幾個(gè)，但這些工具仍然不能互操作。

于是，我們?cè)撊绾螐浐习踩夹g(shù)的承諾與運(yùn)營(yíng)現(xiàn)實(shí)之間的鴻溝呢?在確定要投資哪些安全技術(shù)時(shí)，別忘了不僅要制定技術(shù)路線圖，還要制定并調(diào)整運(yùn)營(yíng)路線圖。否則，不僅短期內(nèi)無(wú)法充分發(fā)揮任何技術(shù)投資的價(jià)值，長(zhǎng)期看還可能損害技術(shù)采用勢(shì)頭。不要被產(chǎn)品推銷(xiāo)時(shí)的承諾迷花了眼，要根據(jù)公司業(yè)務(wù)和將會(huì)發(fā)生的現(xiàn)實(shí)做出決策。例如，供應(yīng)商整合是個(gè)大目標(biāo)，但你的公司要采取什么路線來(lái)達(dá)到這個(gè)目標(biāo)呢?是通過(guò)全盤(pán)更換向前躍進(jìn)，還是隨時(shí)間推移慢慢過(guò)渡更適合公司?什么時(shí)候需要什么技術(shù)或產(chǎn)品來(lái)支持你所選擇的前進(jìn)路線?

賣(mài)家秀與買(mǎi)家秀視頻是挺讓人會(huì)心一笑的。但涉及安全問(wèn)題，幽默就不合時(shí)宜了。我們必須也能夠彌合其間差距。