网络安全领域的威胁越来越大,可能会从毫无防备的企业那里吸走数以百万计的资金,使它们容易受到黑客威胁。
这不是一种新的勒索软件。这是网络安全行业本身。
具有讽刺意味的是,据几位实际购买该技术的业务主管说,供应商销售的产品和他们使用的营销手段有时会让买家得到错误的信息,安全性也会降低。
“肯定有很多雾件,”一家大型互联网公司的IT安全经理达米安·菲诺(Damian Finol)说。“确实有一些产品夸大了它们的实际用途。”
it高管说,对一些供应商来说,销售比安全更重要。为了达成交易,糟糕的供应商往往会过度承诺一些功能,他们声称这些功能会在未来添加,但从未实现。这使得买方的工作更加困难。
“找到合适的产品需要花费越来越多的时间和投资,”亚特兰大一家医院的首席信息安全官马丁·费希尔(Martin Fisher)说。“很多人在这方面做得不好,这很可怕。”
买家注意
安全管理人员说,进入网络安全市场从未像现在这样困难。到RSA或Black Hat这样的安全展会上,你会发现有数百家厂商提供杀毒软件、网络防火墙和其他产品来保护你的企业免受黑客攻击。
显然,人们正在购买大量产品。根据研究公司高德纳(Gartner)的数据,苹果公司(apple inc估计去年全球消费总额为816亿美元,预计销售额只会上升。
但要弄清楚哪些产品值得购买并非易事,尤其是在供应商大肆宣传他们的技术的时候。
佳能EMEA的信息安全主管昆丁•泰勒(Quentyn Taylor)表示:“很多人都有非常棒的想法。”“但然后你坐在那里想:‘除了PowerPoint演示文稿,这个还能用吗?’”这到底是怎么安装的?’”
“这可能是最好的安全工具,”他补充说。“但是IT操作可以轻松地部署或维护它吗?”
经理们说,这是当今一些安全产品的一个关键问题:一旦安装,它们可能很难使用,或者在现实世界中无法很好地工作。
“如果他们失败了,大多数产品就会在规模上失败,”一家娱乐公司的首席信息官Jonathan Chow说。“这才是真正的难题:安装在1000台电脑上的产品能正常工作吗?”还是10000年?”
其他一些公司,如Finol,则受到了安全供应商的困扰,这些供应商只为续签服务合同而与客户进行核对,而不是帮助他们使用产品。
“这是一个浪费的机会,”他说。“买家会说,‘我们几乎没用过这个。我们没有充分利用这个产品。’”
积极的销售
表现不佳的产品也等于浪费钱。在企业层面,授权安全产品很容易花费100万美元或更多,Chow说。但供应商似乎认为他有无限的预算。
“他们中的很多人都认为我的首席财务官是一个小精灵,我的办公室里有一大笔钱,”Chow说。“每个产品都超级贵。”
一些供应商甚至采取恐吓策略。当周星驰拒绝一个产品推介时,销售人员经常告诉他,他不关心公司的安全。
“这是一个羞耻和内疚的游戏,”周说。
一位CISO说,供应商曾两次威胁要向美国卫生与公众服务部(U.S. department of Health and Human Services)举报他的组织,声称他没有购买他们的安全产品,违反了合规规定。
这种激进的销售策略并不令人意外。近年来,随着一波安全初创公司推出了有望提供更好保护的新产品,该行业受到了冲击,供应商之间的竞争也在加剧。这给这个日益拥挤的市场带来了大量风险投资。
有利的一面是,市场的增长意味着更多的选择,可能还意味着更多的创新——但这是有争议的。
“创新更多的是在市场营销方面,而不是在产品方面,”Fisher说。
炒作技术
例如,供应商喜欢谈论前沿技术,例如机器学习,并将它们包括在他们的产品中市场营销。或者他们会讨论如何阻止民族国家的黑客,因为这听起来很性感。
但通常情况下,他们所推广的技术并不令人印象深刻,更不用说改变游戏规则了,顾客们说。而普通企业可能根本不需要它们,因为它们往往会面临电子邮件钓鱼欺诈等更普通的威胁。
泰勒说:“商家往往对‘黑天鹅’(一种罕见的、不可预见的事件)的宣传过度,而不是对每天都在发生的常见威胁的过度宣传。”
他说:“在机器学习领域,我还没有看到任何东西能让我在安全领域坐直身子,发出‘哇’的惊叹。”
泰勒很期待这个行业的下一步计划。但经验不足的企业高管很容易陷入所有营销活动,因为他们担心自己接下来会被黑客攻击。
Finol说:“这是听到一个新的流行词时的自然反应,比如内部威胁或高级持续威胁。”“客户会不做尽职调查就草率行事。”
当然,好的供应商是存在的。但在网络安全方面,没有灵丹妙药或一刀切的方法。IT经理说,企业在考虑企业安全产品时应该问几个问题:
- 我的同事对这个产品有什么看法?有人试过吗?
- 我的保安人员会觉得这个产品有用吗?
- 产品可以扩展并与我的IT基础设施集成吗?
- 我是否拥有一个已经做同样事情的现有产品(或免费工具)?
“人们必须做他们的家庭作业,”Chow说。“他们不能依赖别人告诉他们的东西。”