如果驾驶水平不够,买一辆昂贵的跑车,不仅浪费,还可能有危险。根据对《财富》500家企业的网络安全调查,许多企业拥有先进的网络安全技术,但这些技术只发挥了一小部分功能。不可否认,这些都是优秀的产品,但业务决策者要么对产品缺乏全面的了解,要么没有完全了解实施前后的工作量。这就像买了一辆法拉利却不会驾驶它。在购买大型网络安全解决方案时,尤其是那些带有硬件的解决方案时,业务决策者必须记住,这些解决方案通常需要大量的协调和高级技能才能“做好”。例如,一些云服务提供商告诉您他们的云零信任解决方案是“开箱即用”的,这听起来是不是“好得令人难以置信”?确实,部署一个复杂的网络安全解决方案只需要几天时间,但真正的挑战是构建高级用例,使用环境中的技术作为基线,然后根据业务风险对其进行更新和配置最有可能面临,一个可能需要数周或数月的过程。就像买一辆时尚的豪车一样,你需要做足功课。企业不应只看价格标签就认为“一分钱一分货”。要知道乔布斯买了滚筒洗衣机,用平衡计分卡开过多次家庭会议。会议,这需要数周时间才能完成。企业必须考虑在其环境中对这些产品/解决方案进行日常维护和操作的成本和时间。此外,组织需要评估团队成员的技能和专业知识,以确定他们是否具备配置解决方案所需的能力,不仅要让解决方案发挥作用,还要优化并充分利用它。这不是一件容易的事,如果他们从未使用过类似技术或参与过如此规模的部署项目,即使是经验丰富的安全团队成员也可能很快掉入陷阱。我们经常在端点检测和响应(EDR)、行为分析、欺骗技术和人工智能(AI)驱动的解决方案等网络安全技术中看到这种情况。很少有公司在进行托管检测和响应。他们只是在EDR上收集事件,绕过快速响应事件所需的更深入调查或威胁分析。一些安全程序对其技术检测、缓解和消除威胁的能力的描述听起来令人印象深刻,安全专业人员和决策者很容易“跟上”。但是,如果您的团队没有资源来维护和有效地推动产品,那么一开始就没有必要购买它,最终会花费您的预算。框架优先我见过的大多数公司都成为以下这个常见问题的受害者。他们通常没有购买该网络安全解决方案的可靠商业理由,他们可能已经看到了需求,或者被特定解决方案可以为他们提供即时可见性的想法所吸引,但他们从不进一步问自己,产品如何将适合他们的安全生态系统。到目前为止的能见度。如果您没有能力在自己的团队内或通过合作伙伴审查可见性并采取行动,请不要着急。为了充分利用网络安全投资,组织应该从创建安全成熟度框架开始。该框架将帮助您的组织评估自身的安全能力,确定弱点和优势,并为开发更高级的网络安全计划指明前进的道路。第一步是评估组织的风险承受能力。您的风险承受能力越低,您的安全成熟度就需要越高。接下来,通过将程序与经过验证的行业框架(例如NIST网络安全框架和网络安全能力成熟度模型C2M2)的要求进行比较来评估您的人员、流程和技术。后者是由美国政府开发用于能源领域,但基本模型可以应用于任何领域。一旦您建立了一个三到五年周期的安全成熟度框架,您就可以确定存在哪些差距或风险领域,然后您可以确定技术或服务的优先级以填补这些差距。安全成熟度框架可帮助组织专注于符合其计划的技术或产品,而不是被新技术和新解决方案蒙蔽双眼,盲目购买。此外,企业还可以关注安防行业比较关注的CMMC安全成熟度框架,以及系统安全工程能力成熟度模型(SSE-CMM)和国标GB/T37988-2019数据安全成熟度模型(DSMM)。有重点的,国内企业可结合自身行业特点和实际情况参考。此外,为满足不同行业的安全需求,企业还可以开发自己的安全成熟度模型。对要求进行了优化,特别适合数字化转型阶段注重实效的制造企业参考。人为因素创建安全成熟度框架后,评估您的团队管理和持续优化计划技术产品的能力。问问自己,您的团队是否能胜任这项任务,您是否需要外部资源的支持。问问自己新产品功能现在是否是运营的核心,以及针对这些功能的专业知识是否重要。如果是这样,请准备好投资于培训和继续教育,以提高当前和未来团队成员的技能。业务决策者在每次购买网络安全产品时都应进行全面的技能和服务评估。只有这样,您才能确保您正在优化和最大限度地利用领先的网络安全技术,使您的网络安全计划走上快车道,以充分发挥其潜力。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者好文
