Terry Grogan一度發(fā)現(xiàn)自己處在一個(gè)和許多安全管理人員一樣的境地中：她所在的組織正經(jīng)歷關(guān)鍵的技術(shù)革新中，而同時(shí)要依靠一個(gè)人員不足的部門來解決大量的安全隱患。

因此，Grogan需要部署新的、更先進(jìn)的網(wǎng)絡(luò)監(jiān)測(cè)能力。

[[410738]]

這時(shí)，她發(fā)現(xiàn)了一個(gè)非常突出的合作伙伴：一個(gè)供應(yīng)商提出一個(gè)免費(fèi)試用三個(gè)月解決方案的計(jì)劃;在這三個(gè)月中，通過試用發(fā)現(xiàn)醫(yī)院最大的安全缺口，以及解決方案究竟能否解決。

Grogan事后表示，通過三個(gè)月的試用，他們不僅能夠看到該產(chǎn)品如何能夠解決他們已知的問題，還發(fā)現(xiàn)產(chǎn)品能夠帶來一些他們之前未曾想到的效率。Grogan因此被該產(chǎn)品所折服，從而和該供應(yīng)商簽下了長(zhǎng)久的合作合同。

事實(shí)上，Grogan最終決定和該供應(yīng)商簽約并非只是基于解決方案本身的能力。誠(chéng)然，Grogan需要一個(gè)能生效的產(chǎn)品，但最終依然是供應(yīng)商愿意和醫(yī)院進(jìn)行合作，講自己的解決方案融入醫(yī)院現(xiàn)有的技術(shù)棧中，同時(shí)給Grogan提出最佳的安全策略——這些才是讓該廠商脫穎而出的地方。

“我需要的不只是一個(gè)供應(yīng)商，更是一個(gè)合作伙伴——毫無例外!”如今已經(jīng)成為Pixel Health的CISO的Grogan表示，“以前都是買一些產(chǎn)品，比如反病毒軟件，由廠商安裝完以后就離開了。但是現(xiàn)在的安全相當(dāng)復(fù)雜，同時(shí)接觸了太多方面，在各種架構(gòu)上重疊，而變化又如此之快，因此我們需要的不僅是一個(gè)供應(yīng)商，還得是一個(gè)顧問。”

CISO們總是需要安全廠商為他們提供他們需要的工具去守護(hù)企業(yè)安全——一般而言，不會(huì)有太多企業(yè)能夠自研一套自己的企業(yè)安全運(yùn)營(yíng)方案。但是，CISO們同樣會(huì)有大量的供應(yīng)商進(jìn)行選擇;考慮到CISO們有限的時(shí)間和預(yù)算，以及他們?cè)絹碓街匾墓ぷ?，他們變得越來越小心?jǐn)慎，并且需要區(qū)分他們到底該和哪個(gè)廠商合作。

這不僅僅需要CISO們減少使用的安全廠商的數(shù)量。不過，Gartner將“安全廠商整合”列入了2021年的企業(yè)安全趨勢(shì)中，并且表示“大部分組織會(huì)將廠商整合作為降低成本和增強(qiáng)安全的方法”。CISO們最終希望的，還是確保他們選擇的廠商能夠提供有質(zhì)量的解決方案，以及一些額外能夠讓他們安全團(tuán)隊(duì)進(jìn)一步提升的附加價(jià)值。

了解CISO們的需求

羅徹斯特理工大學(xué)Golisano學(xué)院的計(jì)算與信息科學(xué)技術(shù)運(yùn)營(yíng)主任Thomas Cary認(rèn)為，CISO們對(duì)廠商的需求各不相同，他們會(huì)在不同的時(shí)間從不同的廠商處尋求不同的價(jià)值。他表示，CISO們有時(shí)候依然會(huì)希望廠商簡(jiǎn)單地提供一個(gè)需要的解決方案，部署完成后直接離開——但是現(xiàn)在這種情況極少。

Cary有一個(gè)關(guān)于他對(duì)廠商期望的列表。他需要廠商能夠知曉并理解他的組織以及其現(xiàn)有的安全工具，從而廠商能夠分清組織的強(qiáng)項(xiàng)和弱項(xiàng);然后廠商提出能夠縮小安全缺口的方案，加強(qiáng)組織的安全態(tài)勢(shì)，并幫助Cary的團(tuán)隊(duì)實(shí)現(xiàn)他們的目標(biāo)。

“安全廠商需要花時(shí)間認(rèn)識(shí)到自己的客戶，然后做好自己的功課，為滿足組織的需求建立解決方案。”Cary說道，“這樣才能從真正從其他廠商中脫穎而出。”

Cary也表示，他不想讓廠商做得太過。廠商們不僅要展現(xiàn)自己的能力，同時(shí)也要坦誠(chéng)自己的局限性。

他提到一個(gè)為他組織提供多種能力的郵件過濾平臺(tái)廠商。該廠商計(jì)劃嵌入一個(gè)基于他現(xiàn)有工作流的請(qǐng)求過濾能力，但是同時(shí)額外的功能也會(huì)在這些工作流當(dāng)中自動(dòng)化一些功能。但與此同時(shí)，廠商也承認(rèn)Cary的團(tuán)隊(duì)已經(jīng)有一些來自其他廠商的能力，因此沒必要由他們?cè)偃プ鱿嗤墓δ堋?/p>

“那個(gè)廠商真正將我們的利益放在了心里，沒有進(jìn)行過度的營(yíng)銷。所以，我們知道我們可以信任他們的話，而最終他們真的幫我們提升了我們的整體事件響應(yīng)能力。”Cary對(duì)該廠商表示了肯定。

其他CISO們也表達(dá)了類似的期望。市場(chǎng)公司Merritt Group在2020年發(fā)布了《市場(chǎng)以及CISO銷售》報(bào)告，里面的內(nèi)容與Cary和其他CISO們表示想從廠商那里獲得的東西基本一致。

根據(jù)該報(bào)告：“最重要的是，向CISO營(yíng)銷要求定制化和基于問題的策略。在網(wǎng)絡(luò)安全里沒有‘以一配全’的萬能解決方案，而CISO們對(duì)任何這類保證都會(huì)起疑。CISO們真的需要能解決他們獨(dú)特痛點(diǎn)的解決方案，而近半數(shù)的CISO們需要廠商在進(jìn)行銷售或者市場(chǎng)溝通前做好自己的功課。”

展示，而非空口說

報(bào)告進(jìn)一步指出，34%的受訪CISO如果能理解CISO面臨的困境并展現(xiàn)在CISO面前，就有更大的成功機(jī)會(huì)。

報(bào)告中提到這34%的受訪人表達(dá)“一旦廠商理解了CISO的需求，下一步就展示他們的理解——而不僅僅是空口說，要具體說明某個(gè)解決方案能如何起作用。CISO們相比任何其他后續(xù)聯(lián)絡(luò)，更偏向的還是產(chǎn)品demo。”

換句話說，在有20年企業(yè)和聯(lián)邦政府中進(jìn)行分析、威脅情報(bào)和安全執(zhí)行經(jīng)驗(yàn)的圣路易斯馬維爾大學(xué)的助理教授Brian M. Gant看來，廠商需要證明他們?nèi)绾文軒椭鶦ISO們更有效、更高效地保障企業(yè)安全。

另一方面，Gant還說，廠商還需要通過分享他們從多個(gè)組織中獲取的經(jīng)驗(yàn)，展示他們?nèi)绾文軌驖M足當(dāng)前的需求以及未來的需求。

“廠商不僅需要滿足那些馬上就要達(dá)成的需求，還需要幫助CISO們擴(kuò)展他們的知識(shí)。”Gant如是說到。

廠商同樣也需要更靈活，愿意并且有能力去適應(yīng)、嘗試、并快速實(shí)現(xiàn)企業(yè)的環(huán)境變化。

新冠疫情就體現(xiàn)了這樣的需求，但同樣很多日常的業(yè)務(wù)項(xiàng)目也會(huì)有這樣的需求。Gant提到有一次，他和另一名CISO一起工作，那名CISO的組織正在經(jīng)歷裁員，因此需要他們的安全管理服務(wù)商快速部署行為監(jiān)測(cè)能力，確保員工不會(huì)接入、復(fù)制、移除敏感信息。

Gant還提到，廠商需要有能力在談判桌上，給CISO們多樣化的選擇。

最大化廠商價(jià)值

Altria Group的CISO，Chas Heng則有類似的看法：“我們希望我們的安全伙伴能夠?yàn)槲覀兊陌踩呗院涂傮w方向提供指導(dǎo)和意見，將我們的安全項(xiàng)目和我們行業(yè)中的同行進(jìn)行對(duì)比，確保我們?cè)诰W(wǎng)絡(luò)安全能力上投入適當(dāng)，并且和安全行業(yè)的最佳實(shí)踐匹配。”

因此，他需要的廠商不僅要有能力提供產(chǎn)品和解決方案，還需要提供咨詢服務(wù)。

“我需要他們成為戰(zhàn)略思想伙伴，這是我第一需要幫助的事——無論他們是軟件供應(yīng)商，還是提供支持服務(wù)。我需要他們帶來外部的見解，從而可以幫助我們改進(jìn)我們的項(xiàng)目。”

為此，Heng和他的團(tuán)隊(duì)會(huì)經(jīng)常和廠商見面，制定月度反思和季度會(huì)議，開拓項(xiàng)目方向。Heng自己每個(gè)月都會(huì)和幾乎所有戰(zhàn)略供應(yīng)商見面，討論他們能帶來哪些新的能力。

“我們會(huì)花時(shí)間談?wù)摻鉀Q方案的表現(xiàn)情況，這時(shí)候我會(huì)有一些額外的要求;我也會(huì)談到今后的需求以及優(yōu)先級(jí)，這樣他們也能反饋我他們可以提供的資源以及支持。”Heng提到，“他們會(huì)帶來我們可改進(jìn)的推薦。”

IT管理和咨詢公司Swingtide的顧問Bill Serowka表示，CISO們依靠他們的供應(yīng)商提供建議以及指導(dǎo)是一個(gè)明智的選擇;因?yàn)閺S商在不同組織的積累能讓他們發(fā)現(xiàn)CISO們以及其團(tuán)隊(duì)無法看見的盲點(diǎn)。

不過，同時(shí)，Serowka也表示廠商還是需要滿足CISO們最基礎(chǔ)的需求：能夠在CISO的組織現(xiàn)有結(jié)果中實(shí)現(xiàn)的有效解決方案，交付保證的產(chǎn)品，以及——提升組織整體的安全態(tài)勢(shì)。

Vonage的CISO，Sanjay Macwan，建立了一個(gè)7點(diǎn)框架，確保他自己能從他的供應(yīng)商中獲得全部七項(xiàng)需求。根據(jù)他的框架，Macwan需要廠商能夠：

• 用簡(jiǎn)潔的名詞說明他們的解決方案能做什么，不能做什么;
• 他們的產(chǎn)品如何能夠與現(xiàn)有解決方案互補(bǔ);
• 如何在他的組織中流程化他們的解決方案——換句話說，集成點(diǎn)有哪些，以及他自己的工程師和架構(gòu)師需要做哪些事情從而讓解決方案上線運(yùn)作;
• 廠商則有誰會(huì)為他的團(tuán)隊(duì)提供技術(shù)支持;
• 解決方案中任何與“智能”相關(guān)的算法(Macwan表示：“人工智能和機(jī)器學(xué)習(xí)的夸大成分太多了，因此我需要親自查看算法。”);
• 他們當(dāng)前要用到的運(yùn)營(yíng)以及技術(shù)能力，包括他們的技術(shù)會(huì)如何演進(jìn);
• 廠商會(huì)會(huì)如何和他與他的團(tuán)隊(duì)建立戰(zhàn)略關(guān)系。