最近,国外业内专家ROSS HALELIUK在研究“为什么会有这么多安全厂商”时,得出了一个令人大开眼界的结论:首先,网络安全中的一切都基于信任;其次,对组织而言,安全产品是至关重要的,但在选择安全产品时,需要建立足够的信任,而想要建立足够的信任就需要大量的时间。因此,市场上才会不断冒出各种安全厂商(安全供应商)。
ROSS表示,这体现在四个环节:
1、安全销售的周期长是因为需要深入试验,比如在投入使用之前需要在公司实验室测试每个解决方案;
2、安全行业的初创公司无法在短期内扩大规模,这意味着它们无法快速增长,并迅速占领市场;
3、等到下一种新方案流行的时候,供应商依旧需要解决同样的问题;
4、由此得出结论:网络安全产品的导向型增长(PLG)与其他行业不同。
ROSS表示,安全行业中的大多数人都认可一点:信任确实至关重要。这层共识的底层逻辑在于“安全的发展视角永远是最独特的”。
因此,赢得信任并非易事。ROSS说,为了让消费者在电子商务网站上输入信用卡的详细信息,有时只需要在网站上标注一个“100%安全”的图像。而如果要说服安全团队相信供应商的解决方案,则需要做更多的事:他们不仅要测试产品的各个功能,还要尝试破解产品,并挑战产品的构建方式。在其他任何行业中,你都不会看到买方试图拆解供应商的解决方案,或在公司的设计和软件交付方式上寻找漏洞。
ROSS将在本文中介绍一些安全工具和技术,以及部分安全供应商的哪些行为,可能会给组织带来风险。
ROSS介绍,过去,安全产品销售涉及买方的CISO和卖方的销售主管。而随着时间的推移,许多安全负责人开始避开任何挂有“销售”头衔的人,因此,供应商争相将他们的销售主管更名为收入主管,还有一些人则改名为“客户支持主管”等。这一变化的作用是,当人们听到“客户支持主管”时,不会立即就对其露出“防御模式”,同时也能使买卖双方建立更真诚的关系。
一方面,经验丰富的CISO加入一家安全初创公司,他可以创建出独特的分销渠道,比如他们可以和同行说:“你们与其和客户经理浪费时间,不如就我们之间探讨下未来安全的发展趋势。”这是建立信任的一种捷径。
另一方面,ROSS表示,为供应商工作的CISO必须非常灵巧,因为直截了当地向同行推销安全产品,可能会破坏CISO在该行业的人际关系。当然,ROSS认为,聘请CISO,让CISO向CISO推销产品并不是无效模式,因为它能很好地协调激励措施。“声誉良好的安全负责人,若能为供应商工作,更能避免不道德的销售行为,这也是维护他们自身声誉的一种方式。”
ROSS表示,如果这种同行互相推荐解决方案是唯一的新趋势,那倒也还好,但不幸的是,该安全领域里还出现了新的角色:顾问。安全顾问会为安全供应商提供相应的展示平台,以此来赞助私人活动。在这些活动中,CISO可以和安全供应商花几个小时建立关系,并谈论产品。ROSS对此表示,自己无权对任何人的诚信、意图,以及对公司选择安全解决方案的方式作出判断,但这种情况的发生,有时会给安全产品的购买方式蒙上阴影。
ROSS说,许多供应商的销售流程确实会引起购买者的不满。“买方没有理由为了了解产品的实际功能或定价,就要展示自己来证明有能力满足最低消费,或者签署意向书、保密协议等来获得‘资格’。这就是为什么任何产品主导的增长要素,如透明的定价、免费等级以及开源安全工具等,会受到安全人员的欢迎。”
ROSS表示,安全人员完全有能力看穿营销网站、行业术语和无休止的缩写。那些希望与产品用户建立信任关系的安全厂商,通常会雇用安全人员作为销售工程师和解决方案架构师,并通过他们来帮助客户解决问题。
由于网络安全领域的销售过程严重依赖于信任,因此安全厂商若能展示已经使用该产品的用户,那在获取客户信任方面是非常有利的,尤其是那些处在早期发展阶段的初创公司。
但说起来容易做起来难。ROSS表示,正如 Lital Asher-Dotan 指出的那样:“让客户公开支持他们所使用的产品或解决方案是很难的,因为客户更愿意将他们的安全技术栈保密。不像其他行业,客户会更乐于分享他们所使用的产品。”显然,在其他行业中能轻松建立信任的方法,对于安全厂商来说,通常难以施行。
由于网络安全是所有公司都能体现其作用的一个独特领域,因此客户有时也会想知道安全厂商的安全态势是怎样的。“若安全厂商都管理不好自己的安全,客户又怎么能信任他们所提供的产品呢?”
ROSS表示,虽然潜在买家可以测试安全厂商的产品,但如果每个买家都被允许评估公司的整体安全态势,这肯定是不可持续的,这也就是为什么业内会要求SOC II合规性成为安全购买过程中的一部分。“虽然合规措施不能保证安全,但如果厂商在SOC II方面真的做得好,倒确实可以促进组织控制的成熟度。而问题在于,为了满足这层需求,又出现了能提供‘快速合规’的服务公司,这也就使得该认证的完整性和真正价值受到质疑。”
对于初创公司的发展而言,没有什么比口碑更重要的了。因为一切都基于信任,最真实、最有价值的口碑,是在没有任何交易的情况下,被众人推荐。ROSS介绍,比如在网络安全社区里,真正有价值的安全厂商确实可以赢得安全负责人的信任,口碑也因此会在网络中被传播。
ROSS说,大多数以安全人员为中心的初创公司,正在寻找方法提高奖赏,以激励更多忠实的用户,能在各自的社交圈里对厂商的产品进行传播。“Snyk的运营计划就是很好的例子。他们会在社区中分享兴趣、专业知识和技能,以帮助其他开发人员和工程师构建安全软件。”ROSS说,该公司为其客户(那些安全人员)提供了预算计划,用于个人发展,比如考证、培训课程和其他学习途径,甚至在任何以Snyk为主题的演讲活动中,赞助所需的差旅费等。
而其中最重要的地方在于,这些奖赏举措能使安全从业人员形成实践社区,并与同行建立联系,这样就会有更多的人来倡导他们所相信的解决方案。ROSS表示,值得注意的是,并非每家公司都能建立这样成功的赞助计划。“只有那些解决实际问题,并能让人们对未来愿景感到期待的公司,才能在不损害其品牌的情况下实现这一目标。”
ROSS说,每隔几个月,大家就能看到数百家公司在社交媒体上大肆发稿,以庆祝他们新颁布的奖项成为“行业第一”。显然,公众认可已成为获得热点的一种方式,而其最重要的地方还是与客户建立信任。“当然,这之中也有挑战。因为安全行业很少有奖项是不需要付费的,比如SC Awards、SANS Awards、Pwn Awards、SINET16等等。而当行业认可与金钱挂钩时,其会损害信任度,部分以此为捷径的公司可能会破坏行业环境。”
ROSS认为,新闻报道是赢得信任最好的方式之一,因为其可以让公司接触到更广泛的受众。
然而,大多数报道网络安全问题的记者,就只会挑选两类事件作为报道内容,要么寻找能够引起广泛受众(大众媒体)注意的事件,要么专精于为少数非常专业的受众(如报道新漏洞的媒体)服务,而安全供应商通常不符合任何一类,因此很难吸引到相应的媒体。
由于许多公司都希望获得外部新闻报道,但很少有公司能够接触到这些平台,因此就出现了一种新的现象:付费媒体报道。ROSS说,“付费媒体”能帮助安全厂商将他们的思想、方法论、想法和观点融入安全新闻中,然后这些新闻又可以在安全厂商的营销中发挥作用。“这类付费媒体的文章和专题似乎是当下的趋势。”
ROSS感叹,在一个如此依赖信任的行业里,竟然难以找到值得信赖的媒介来理解问题、了解潜在的解决方案,甚至很多相关方连行业的机制都不了解,这是多么讽刺啊。“这并不奇怪,因为人类从定义上来讲,永不可能做到绝对客观。但任何阅读安全相关材料和文章的人,都应该学会问自己:‘这文章对谁有益?’”
ROSS指出,网络安全行业是“公共悲剧”的典型例子。当有权使用共享资源的个人,其不受共享规范或正式规则的限制,只为了自己的利益行事,最终当资源被耗尽时,就会引发“公共悲剧”,一如当下的交通拥堵、快餐文化、过度捕捞等。在网络安全领域,当每个人都为自己的利益行事时,被耗尽的资源就是信任。
然而,ROSS表示,这只是所有问题中的冰山一角,因为信任问题早已超出了“市场买卖关系”。比如,一些信息来源本身就存在偏见:安全供应商生产的任何内容,都是一种实现商业目标的投资。无论是博客、报道、调查还是白皮书,不可能找到任何一份报告,表明委托该报告的供应商没有做好工作或没有解决关键问题。一些顾问和市场研究公司也渴望按需制作白皮书,因此,这些白皮书的客观性,通常取决于供应商自己的道德准则和内部指导方针。
此外还有“受众偏差”的问题。ROSS以行业调查为例,比如由安全厂商自己进行的调查,自然会以他们所接触到的人群为目标,而这部分人群很可能与安全厂商本身有着相同的世界观。再比如,由市场研究公司进行的调查,他们的人群样板通常是那些“签约参与调查以获得报酬”的受众,因此这些事实都是可能会影响结果的。
虽然那些错误的奖赏措施可能会导致不良结果,但比起如此多的“政党”试图以多种方式最大化自己的结果,显然,“公共悲剧”更有可能引发在他们手中。
过去,安全厂商只会提供最低限度的信息,当客户对产品表现出好奇心时,他们会强迫客户与销售代表进行交谈。ROSS认为,安全厂商一定要改变这一流程,同时要提高自己的透明度。
安全厂商要学会从基于承诺的安全性转向基于证据的安全性,这也是使安全厂商透明度成为可能的另一个重要因素。ROSS表示,建立安全态势的最佳方式是在可以观察、测试和增强的控制设施之上进行建立。其不是建立在安全厂商的承诺之上,而是安全厂商应该知晓如何在恶意活动的确切集合中保护组织,并能通过自己的产品来证明这一点。
此外,ROSS表示,网络安全透明度有许多层面:供应商需要公开说明他们实际提供的能力和价格;市场参与者需要披露可能影响其评审客观性的冲突、利益和激励措施;董事会和组织领导层也要透明化某个供应商的选择方式,以及影响评估过程的因素。
所以,这就是为什么董事会和领导层需要透明化对安全厂商的选择。而最重要的是,随着安全漏洞数量的增加,CISO们有足够的动力进行深入的产品评估,并确保他们所选择的安全厂商能够保护其组织的网络安全。
最后,ROSS表示,建立、恢复和防止信任被侵蚀,这对于网络安全的未来而言是至关重要的。ROSS在与安全负责人和安全人员交谈时发现,人们对安全行业的发展方向感到悲观。但ROSS相信,安全行业的未来是光明的。“如果行业能继续推动变革,同时每个人都能学习、分享各种最佳实践,并在做所有这些事情的同时保持诚信,那我们将处于一个十分有利的位置,可以应对未来任何复杂的威胁和风险。”
ROSS说,虽然没有什么魔法能解决所有的行业问题,但透明度和诚信是可以实现的。同时他也建议,行业内众人要齐心协力,一起清除那些会对“安全信任”造成破坏的人群。他表示,只要对安全始终报以信仰,那安全一定会让众人看到美好的未来。
https://ventureinsecurity.net/p/the-role-of-trust-in-cybersecurity
原文始发于微信公众号(安在):为什么网络安全的终极目标是“信任”?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论