安全运营YY(二):为什么很难买到满意的安全产品?

admin 2024年11月26日00:08:26评论7 views字数 2839阅读9分27秒阅读模式

安全运营YY(二):为什么很难买到满意的安全产品?

安全运营YY(二):为什么很难买到满意的安全产品?

做安全的,尤其是以买代研的组织,安全业者大概都会有一种困惑:为什么总是很难买到一款满意的安全产品?

伴随这种困惑的,往往就是安全工作做得不尽人意。现实中也确实如此,要是问起安全运营做得咋样,答案大多可能是“不咋地”“一般般”、“就那样”……简短答案的背后,冷暖唯有安全人员自知。

其实,这背后存在很多问题,比如了解自己的需求,了解产品的技术,了解市场的动态等。但我们觉得,安全运营与业务耦合存在的难题,可能是困惑的关键所在。因为安全最终要为业务服务,而安全运营作为业务运营的一个子集,其本质必然与业务紧密相连。

另外,乙方安全厂商的作为,也是问题的另一大关键因素。

安全运营YY(二):为什么很难买到满意的安全产品?

安全运营与业务耦合是问题关键

有过甲方大厂工作经历的安全同学,在日常安全工作中,不论是参与者角色还是领导者角色,都能体会到安全运营与业务耦合的重要性,主要表现在价值体现和权威性(地位),不论是安全,还是产品、运维、开发,全都被业务拉着跑。

所以,有过类似经历的做安全的同学,在安全管理、技术方案设计和选择时,往往会本能选择这样的操作思路:市面上没有完全符合全部需求的安全产品,能购买的商业化产品就直接买,剩下的修补联结的开发等技术工作由自家团队完成

这样的操作并没有错,一能符合业务往前跑的需求,二能最快速地完成捏合。

时间久了,这就容易导致甲方自我感觉良好,萌生一种盲目的安全自信,继而对乙方产品产生一丝不屑的心态和错误的认知,最终形成一个观念:“乙方厂商的安全产品贴合度不高,都那么回事……”

你看,有了这样的心态,肯定买不到满意的安全产品。

但时间一长,业务线条增多,同时业务也在不停变更,需要安全不断去耦合的时候,就会猛然发现,似乎我安全和业务耦合的灵活性并没有那么强,即安全无法在业务发生变化时灵活适应。

也就是说,过度一味满足业务快跑的做法,也导致安全团队在工程能力上存在一定的先天缺陷,无法真正适应复杂多变的业务环境。

想必有甲方经历的同学应该深有体会,业务运营快速迭代时,安全和产品、运维、开发人员需要马不停蹄地去一次次耦合,疲于奔命。

当这问题产生时,安全第一时间并不认为是自身出了问题,往往会把责任归咎于安全厂商产品上,认为安全产品能力不足是导致问题的根源。

到这里,进一步加强了买不到满意安全产品的观念。

安全运营YY(二):为什么很难买到满意的安全产品?

那事实真是如此吗?当然,我们并不否认,因为种种因素,乙方安全产品大多确实是通用型的,想要针对甲方业务进行定制化产品也确实很难,实际跟业务结合应用时可能并不贴合业务。

但另一层原因是,甲方长期在上述错误逻辑认知之下,对自身缺陷认知不足,同时在简单的买买买思维模式下,也让他们在工作中缺失安全工程能力。

换句话说,甲方安全团队往往因为熟悉业务、能快速上线而自视甚高,同时他们却给其他团队提出诸多开发要求和安全红线,但自己却并不具备正儿八经的安全技术研发能力,所造的产品往往只是工具和玩具,产品能力也不具通用性,缺乏大场景和高压环境的挑战与验证

延伸一下说,从甲方大厂出来的安全同学,大部分人在打造产品的工程能力上反而存在某种先天缺陷。从现实中许多甲方出来的创业团队所表现出来的状况,也能一窥此问题。

这就形成了某种恶性循环,即导致不仅甲方安全存在这样的问题,就连市面上的一些安全产品在设计之初也已出现类似问题。一来二去,更加导致安全和业务难以耦合。

所以我们建议甲方不要再沉浸于错误的安全建设逻辑之中,而是要加强工程能力,不要一味地买买买。一些甲方出来的创业者,也不要带着之前的老毛病出来创业,把一些通病带进安全产品之中。

乙方安全厂商也不能置身问题之外

我们把甲方安全说了一通,那乙方安全厂商就没错吗?非也!

对于厂商而言,他们同样面临着两难的选择。这种两难选择,成为导致甲方对安全产品不那么满意的关键。

一方面,厂商希望产品能贴合甲方实际需求,以此来提高产品的市场竞争力。所以,我们常看到乙方厂商常打出“助力甲方业务发展”等宣传语;

另一方面,厂商又不得不考虑成本因素。因为安全产品具有普适性和通用性,才能有机会占领更大的市场。而为每一个客户做定制化产品服务,那成本将会远超项目合同价,厂商承受不起这样的成本支出。

这种矛盾导致了市场上出现了大量“形似神不似”的安全产品。

安全运营YY(二):为什么很难买到满意的安全产品?

因为,某些安全厂商,尤其是初创企业,最开始真有可能针对客户的需求做定制化的产品。而其他厂商看到,便会照猫画虎,只要产品功能能够达到对标产品的七七八八,便可宣称自家产品也有同等能力,同时对外标出更低的价格。

对于客户而言,可能部分客户并不具备很强的鉴别能力,或者没有足够时间去验证安全产品的实际能力,往往会只看类似安全产品,哪个报价更低,就会选择哪个。

长此以往就会形成“劣币驱逐良币”的恶性循环,大家都会对仿制趋之若鹜,最后形成整个安全市场“雪崩了没一片雪花是无辜的”恶劣后果。

甲方乙方安全的一些小结

在网安领域,甲乙方就像硬币的两面,缺一不可,否则这硬币便成了废币。

所以,甲乙方的共同追求都是做好网安工作,这本身并没有什么矛盾存在。但现实之所以不那么完美契合,主要还是安全问题瞬息万变,安全产品跟不上安全变化;甲乙方也缺乏有效沟通对接渠道,导致存在一些割裂。

除此之外,甲乙方也都各自存在不少问题,需要适当思考与改进。

因此,我们建议甲方安全应当摒弃单一的“买买买”模式,转而注重提升自身的安全工程能力。甲方在采购安全产品时,不仅要关注产品的功能和价格,更要注重产品的灵活性和可扩展性,以及厂商的服务和支持能力。通过深入调研和测试,选择真正贴合自身业务需求的安全产品,确保在出现问题时能够及时获得有效的解决方案。

此外,甲方内部需对安全产品具有规范,应建立统一的安全标准和开发流程,确保产品的安全性和稳定性。业务架构设计时,需将安全作为核心要素融入其中,实现安全与业务的深度融合。

甲方还应定期对自身的安全运营情况进行评估,发现潜在的安全风险和问题,并及时进行改进和优化。同时,加强与乙方安全厂商的沟通与合作,共同提升安全产品的质量和效果。

安全运营YY(二):为什么很难买到满意的安全产品?

对于乙方安全厂商而言,也不能闷头闭门造车,应当深入了解甲方的实际需求,努力提供更加贴合业务需求的定制化解决方案。通过加强与甲方的沟通与合作,共同探索和创新安全产品的应用场景和模式。

厂商在保持产品灵活性和可扩展性的同时,也应加强对产品通用性和稳定性的投入,确保产品能够应对复杂多变的业务环境。

当前,AI技术迅猛发展,厂商更应积极探索将这些技术应用于安全产品中,提升产品的智能化水平,降低甲方的运维成本和安全风险。

总的来说,甲方和乙方是相辅相成的两个重要角色。双方应建立紧密的合作关系,共同应对安全挑战。未来,随着数字化转型的深入和AI以及网安技术的不断进步,甲乙方之间的合作将更加紧密和深入。

当然,甲乙方协调处理好安全工作是一项长期而艰巨的任务,实现真正的双向奔赴可能很难,但有了奔赴的决心,乙方就能推出更优秀的安全产品,甲方自然就能买到满意的安全产品。

原文始发于微信公众号(安在):安全运营YY(二):为什么很难买到满意的安全产品?

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月26日00:08:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   安全运营YY(二):为什么很难买到满意的安全产品?http://cn-sec.com/archives/3436309.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息