Terry Grogan一度發(fā)現(xiàn)自己處在一個和許多安全管理人員一樣的境地中：她所在的組織正經(jīng)歷關鍵的技術革新中，而同時要依靠一個人員不足的部門來解決大量的安全隱患。

因此，Grogan需要部署新的、更先進的網(wǎng)絡監(jiān)測能力。

[[410738]]

這時，她發(fā)現(xiàn)了一個非常突出的合作伙伴：一個供應商提出一個免費試用三個月解決方案的計劃;在這三個月中，通過試用發(fā)現(xiàn)醫(yī)院最大的安全缺口，以及解決方案究竟能否解決。

Grogan事后表示，通過三個月的試用，他們不僅能夠看到該產(chǎn)品如何能夠解決他們已知的問題，還發(fā)現(xiàn)產(chǎn)品能夠帶來一些他們之前未曾想到的效率。Grogan因此被該產(chǎn)品所折服，從而和該供應商簽下了長久的合作合同。

事實上，Grogan最終決定和該供應商簽約并非只是基于解決方案本身的能力。誠然，Grogan需要一個能生效的產(chǎn)品，但最終依然是供應商愿意和醫(yī)院進行合作，講自己的解決方案融入醫(yī)院現(xiàn)有的技術棧中，同時給Grogan提出最佳的安全策略——這些才是讓該廠商脫穎而出的地方。

“我需要的不只是一個供應商，更是一個合作伙伴——毫無例外!”如今已經(jīng)成為Pixel Health的CISO的Grogan表示，“以前都是買一些產(chǎn)品，比如反病毒軟件，由廠商安裝完以后就離開了。但是現(xiàn)在的安全相當復雜，同時接觸了太多方面，在各種架構上重疊，而變化又如此之快，因此我們需要的不僅是一個供應商，還得是一個顧問。”

CISO們總是需要安全廠商為他們提供他們需要的工具去守護企業(yè)安全——一般而言，不會有太多企業(yè)能夠自研一套自己的企業(yè)安全運營方案。但是，CISO們同樣會有大量的供應商進行選擇;考慮到CISO們有限的時間和預算，以及他們越來越重要的工作，他們變得越來越小心謹慎，并且需要區(qū)分他們到底該和哪個廠商合作。

這不僅僅需要CISO們減少使用的安全廠商的數(shù)量。不過，Gartner將“安全廠商整合”列入了2021年的企業(yè)安全趨勢中，并且表示“大部分組織會將廠商整合作為降低成本和增強安全的方法”。CISO們最終希望的，還是確保他們選擇的廠商能夠提供有質量的解決方案，以及一些額外能夠讓他們安全團隊進一步提升的附加價值。

了解CISO們的需求

羅徹斯特理工大學Golisano學院的計算與信息科學技術運營主任Thomas Cary認為，CISO們對廠商的需求各不相同，他們會在不同的時間從不同的廠商處尋求不同的價值。他表示，CISO們有時候依然會希望廠商簡單地提供一個需要的解決方案，部署完成后直接離開——但是現(xiàn)在這種情況極少。

Cary有一個關于他對廠商期望的列表。他需要廠商能夠知曉并理解他的組織以及其現(xiàn)有的安全工具，從而廠商能夠分清組織的強項和弱項;然后廠商提出能夠縮小安全缺口的方案，加強組織的安全態(tài)勢，并幫助Cary的團隊實現(xiàn)他們的目標。

“安全廠商需要花時間認識到自己的客戶，然后做好自己的功課，為滿足組織的需求建立解決方案。”Cary說道，“這樣才能從真正從其他廠商中脫穎而出。”

Cary也表示，他不想讓廠商做得太過。廠商們不僅要展現(xiàn)自己的能力，同時也要坦誠自己的局限性。

他提到一個為他組織提供多種能力的郵件過濾平臺廠商。該廠商計劃嵌入一個基于他現(xiàn)有工作流的請求過濾能力，但是同時額外的功能也會在這些工作流當中自動化一些功能。但與此同時，廠商也承認Cary的團隊已經(jīng)有一些來自其他廠商的能力，因此沒必要由他們再去做相同的功能。

“那個廠商真正將我們的利益放在了心里，沒有進行過度的營銷。所以，我們知道我們可以信任他們的話，而最終他們真的幫我們提升了我們的整體事件響應能力。”Cary對該廠商表示了肯定。

其他CISO們也表達了類似的期望。市場公司Merritt Group在2020年發(fā)布了《市場以及CISO銷售》報告，里面的內容與Cary和其他CISO們表示想從廠商那里獲得的東西基本一致。

根據(jù)該報告：“最重要的是，向CISO營銷要求定制化和基于問題的策略。在網(wǎng)絡安全里沒有‘以一配全’的萬能解決方案，而CISO們對任何這類保證都會起疑。CISO們真的需要能解決他們獨特痛點的解決方案，而近半數(shù)的CISO們需要廠商在進行銷售或者市場溝通前做好自己的功課。”

展示，而非空口說

報告進一步指出，34%的受訪CISO如果能理解CISO面臨的困境并展現(xiàn)在CISO面前，就有更大的成功機會。

報告中提到這34%的受訪人表達“一旦廠商理解了CISO的需求，下一步就展示他們的理解——而不僅僅是空口說，要具體說明某個解決方案能如何起作用。CISO們相比任何其他后續(xù)聯(lián)絡，更偏向的還是產(chǎn)品demo。”

換句話說，在有20年企業(yè)和聯(lián)邦政府中進行分析、威脅情報和安全執(zhí)行經(jīng)驗的圣路易斯馬維爾大學的助理教授Brian M. Gant看來，廠商需要證明他們如何能幫助CISO們更有效、更高效地保障企業(yè)安全。

另一方面，Gant還說，廠商還需要通過分享他們從多個組織中獲取的經(jīng)驗，展示他們如何能夠滿足當前的需求以及未來的需求。

“廠商不僅需要滿足那些馬上就要達成的需求，還需要幫助CISO們擴展他們的知識。”Gant如是說到。

廠商同樣也需要更靈活，愿意并且有能力去適應、嘗試、并快速實現(xiàn)企業(yè)的環(huán)境變化。

新冠疫情就體現(xiàn)了這樣的需求，但同樣很多日常的業(yè)務項目也會有這樣的需求。Gant提到有一次，他和另一名CISO一起工作，那名CISO的組織正在經(jīng)歷裁員，因此需要他們的安全管理服務商快速部署行為監(jiān)測能力，確保員工不會接入、復制、移除敏感信息。

Gant還提到，廠商需要有能力在談判桌上，給CISO們多樣化的選擇。

最大化廠商價值

Altria Group的CISO，Chas Heng則有類似的看法：“我們希望我們的安全伙伴能夠為我們的安全策略和總體方向提供指導和意見，將我們的安全項目和我們行業(yè)中的同行進行對比，確保我們在網(wǎng)絡安全能力上投入適當，并且和安全行業(yè)的最佳實踐匹配。”

因此，他需要的廠商不僅要有能力提供產(chǎn)品和解決方案，還需要提供咨詢服務。

“我需要他們成為戰(zhàn)略思想伙伴，這是我第一需要幫助的事——無論他們是軟件供應商，還是提供支持服務。我需要他們帶來外部的見解，從而可以幫助我們改進我們的項目。”

為此，Heng和他的團隊會經(jīng)常和廠商見面，制定月度反思和季度會議，開拓項目方向。Heng自己每個月都會和幾乎所有戰(zhàn)略供應商見面，討論他們能帶來哪些新的能力。

“我們會花時間談論解決方案的表現(xiàn)情況，這時候我會有一些額外的要求;我也會談到今后的需求以及優(yōu)先級，這樣他們也能反饋我他們可以提供的資源以及支持。”Heng提到，“他們會帶來我們可改進的推薦。”

IT管理和咨詢公司Swingtide的顧問Bill Serowka表示，CISO們依靠他們的供應商提供建議以及指導是一個明智的選擇;因為廠商在不同組織的積累能讓他們發(fā)現(xiàn)CISO們以及其團隊無法看見的盲點。

不過，同時，Serowka也表示廠商還是需要滿足CISO們最基礎的需求：能夠在CISO的組織現(xiàn)有結果中實現(xiàn)的有效解決方案，交付保證的產(chǎn)品，以及——提升組織整體的安全態(tài)勢。

Vonage的CISO，Sanjay Macwan，建立了一個7點框架，確保他自己能從他的供應商中獲得全部七項需求。根據(jù)他的框架，Macwan需要廠商能夠：

• 用簡潔的名詞說明他們的解決方案能做什么，不能做什么;
• 他們的產(chǎn)品如何能夠與現(xiàn)有解決方案互補;
• 如何在他的組織中流程化他們的解決方案——換句話說，集成點有哪些，以及他自己的工程師和架構師需要做哪些事情從而讓解決方案上線運作;
• 廠商則有誰會為他的團隊提供技術支持;
• 解決方案中任何與“智能”相關的算法(Macwan表示：“人工智能和機器學習的夸大成分太多了，因此我需要親自查看算法。”);
• 他們當前要用到的運營以及技術能力，包括他們的技術會如何演進;
• 廠商會會如何和他與他的團隊建立戰(zhàn)略關系。