悖论：安全解决方案的承诺与现实

卖家秀与买家秀视频想必大多数人都已经领教过了。“我想象中我的样子 vs. 我实际上的样子”也有宠物版、成熟老公版，甚至是个人版可供打破幻想认清现实。

安全行业也不能免俗，多年来一直存在类似的现象：新产品或新技术总是伴随着天花乱坠的大堆承诺;然而，实际运营的结果往往十分打脸。回想一下早期的入侵预防系统(IPSes)。安全公司推出的IPSes承诺客户可以在网络上即插即用，插上就能阻止设备认为的所有不良事件。听起来简直太棒了，对吧?但运营现实却是不该阻止的也被阻止了，误报多到令人无法接受。而当安全团队被问到“为什么连这个都被阻止?”时，他们甚至都得不到任何答案，因为这种IPS设备是个“黑箱”。

显然，安全技术的美好承诺和实际运营现实之间存在巨大的鸿沟。我们不妨来看看更近期的例子：安全编排、自动化与响应(SOAR)平台，以及扩展检测与响应(XDR)解决方案。

SOAR在过去几年间可谓风头无两，然而，就是这种备受推崇的安全技术，其承诺与运营现实之间也脱节了。SOAR承诺，自动化过程可以帮助用户节省时间和资源，还能加速响应。但运营现实却是你还得定义适合自身环境的各种过程。即插即用?不存在的。而且，更重要的是，你必须确保为过程制定了正确的标准和触发器。如果没有预先聚合、评估和排序情报——可以也必须自动化的几个步骤，那你最多是搞出个“坏数据进，坏数据出”的情况。会造成什么结果呢?反而放大了噪音，既阻碍安全操作，又浪费宝贵资源，最终还妨碍了安全。整个运营现实就是：你需要正确的输入来聚焦对自家公司而言真正重要的事务，还需要正确的过程来更快速地采取正确的操作。

最近俘获大量市场关注的新兴产品是XDR。企业战略集团(ESG)对XDR的定义是：“跨混合IT架构的安全产品集成套件，旨在互操作和协同威胁预防、检测与响应。XDR将控制点、安全遥测、分析和运营统一到一个企业系统中。”企业关注这种方法是因为XDR的承诺之一就是供应商整合。从一家供应商处获得具有多个实施点的单一解决方案，不仅能够利用云的各种优势，还是预先集成的——这么方便流畅功能强大的集成套件谁不想要?只要有了XDR，就可以摆脱与当前几十家产品供应商打交道的麻烦，省时省力地专心与一家(或极少数几家)供应商合作即可。

但这美好的承诺存在问题。实际情况是，没有哪家企业是白纸一张。平均而言，企业正在使用的不同安全工具多达45种以上，而且全盘更换的意愿不大。此外，预算和团队各异的不同部门也用的是不一样的解决方案。不可避免地，一些团队会坚持使用其最佳解决方案，单一供应商提供的整合解决方案在功能上无法与之匹配。而时间将证明XDR解决方案提供商是否能够保持一流解决方案提供商的创新水平，将资源投注于解决特定用例、新型威胁和新兴威胁载体。如何处理仍需继续使用的内部工具也是个问题，至少在完全迁移到云端之前的时间里是个问题。企业可将工具的数量减少到十几个，但这些工具仍然不能互操作。

于是，我们该如何弥合安全技术的承诺与运营现实之间的鸿沟呢?在确定要投资哪些安全技术时，别忘了不仅要制定技术路线图，还要制定并调整运营路线图。否则，不仅短期内无法充分发挥任何技术投资的价值，长期看还可能损害技术采用势头。不要被产品推销时的承诺迷花了眼，要根据公司业务和将会发生的现实做出决策。例如，供应商整合是个大目标，但你的公司要采取什么路线来达到这个目标呢?是通过全盘更换向前跃进，还是随时间推移慢慢过渡更适合公司?什么时候需要什么技术或产品来支持你所选择的前进路线?

卖家秀与买家秀视频是挺让人会心一笑的。但涉及安全问题，幽默就不合时宜了。我们必须也能够弥合其间差距。