電話、電子郵件和LinkedIn消息——CISO們被供應(yīng)商推銷其安全產(chǎn)品的信息所淹沒，每周的推銷嘗試可能多達(dá)30次。無論是視頻通話還是在辦公室現(xiàn)場(chǎng)演示，當(dāng)CISO與新供應(yīng)商接觸時(shí)，他們會(huì)準(zhǔn)備一系列關(guān)鍵問題，以評(píng)估潛在新產(chǎn)品的適用性。

多位CISO分享了他們多年來在該領(lǐng)域積累的、在眾多推銷會(huì)議中總結(jié)出的最重要的問題。

1. 你了解我的業(yè)務(wù)嗎?

當(dāng)CISO詢問潛在供應(yīng)商是否了解其企業(yè)面臨的特定挑戰(zhàn)時(shí)，他們真正想要的是證明供應(yīng)商已經(jīng)做了充分的準(zhǔn)備工作。國(guó)際海運(yùn)公司的CISO兼CIO Amit Basu表示：“我希望他們從解決我企業(yè)業(yè)務(wù)問題的方法入手，而不是介紹一套功能或別處面臨的通用問題?！?/p>

隨著解決方案組合的不斷擴(kuò)大，Basu希望立即了解新工具如何滿足其需求，同時(shí)避免技術(shù)冗余。他解釋道：“只有當(dāng)新產(chǎn)品能明顯提升安全性，最好能取代一個(gè)或多個(gè)現(xiàn)有工具，并滿足實(shí)際運(yùn)營(yíng)需求時(shí)，它才具有相關(guān)性?！?/p>

然而，他發(fā)現(xiàn)許多供應(yīng)商的推銷過分強(qiáng)調(diào)“神奇”功能，而沒有展示該工具如何解決安全問題。他說：“我重視清晰和誠(chéng)實(shí)，如果一個(gè)工具能很好地解決兩個(gè)用例，這比聲稱能解決二十個(gè)用例卻含糊其辭更有力?！?/p>

Basu同時(shí)擔(dān)任CISO和CIO，他專注于確保安全性成為任何新技術(shù)的核心組成部分，而非事后補(bǔ)救。

他說：“你不能向我推銷一款基于我技術(shù)棧無法支持的舊技術(shù)的安全產(chǎn)品，它們必須實(shí)現(xiàn)無縫集成?！?/p>

2. 它會(huì)減輕我的工作量、增加價(jià)值還是改善運(yùn)營(yíng)?

一個(gè)常見的出發(fā)點(diǎn)是詢問新工具將如何減輕工作量、降低風(fēng)險(xiǎn)、提高韌性或簡(jiǎn)化運(yùn)營(yíng)。

Basu想知道該產(chǎn)品是否能整合多種功能，而不是再增加一個(gè)單一解決方案。他表示：“否則，每個(gè)工具都只能保障一小部分安全，同時(shí)卻推高成本并增加維護(hù)負(fù)擔(dān)?！?/p>

然而，Hydrolix公司的CISO Joshua Scott對(duì)那些聲稱能創(chuàng)造巨大價(jià)值，實(shí)則增加警報(bào)數(shù)量和工作量的新工具持謹(jǐn)慎態(tài)度。他說：“我常?？吹揭恍┊a(chǎn)品，看似能提供價(jià)值，但最終卻成了噪音發(fā)生器，比如漏洞發(fā)現(xiàn)工具或其他掃描工具，它們只會(huì)給團(tuán)隊(duì)帶來更多工作?！?/p>

在某些情況下，推銷內(nèi)容技術(shù)細(xì)節(jié)過多，而解決問題的方法卻不足。對(duì)CISO來說，定制化的推銷比一刀切的風(fēng)格更有用。

Scott說：“最好的推銷應(yīng)高度聚焦于企業(yè)試圖解決的問題，而不是泛泛而談或充斥不必要細(xì)節(jié)，而且內(nèi)容越精簡(jiǎn)越好。直接說明你將如何展現(xiàn)價(jià)值，以及如何為我減輕工作量?！?/p>

Scott的問題集中在降低風(fēng)險(xiǎn)、提高韌性、評(píng)估業(yè)務(wù)影響以及平衡安全與業(yè)務(wù)考量上。情況并非一直如此，但他的方法已變得更加以業(yè)務(wù)為中心。Scott說：“早期，我并沒有問這類問題，結(jié)果可能會(huì)得到一個(gè)技術(shù)先進(jìn)但光鮮亮麗的新產(chǎn)品，卻解決不了任何問題——而這正是我們必須關(guān)注的重點(diǎn)?！?/p>

3. 集成和持續(xù)維護(hù)的負(fù)擔(dān)是什么?

Couchbase公司的CISO Vasanth Madhure在評(píng)估新工具時(shí)，不僅會(huì)詢問許可成本，還會(huì)詢問實(shí)施要求、培訓(xùn)需求以及信息安全團(tuán)隊(duì)的學(xué)習(xí)曲線。

在考慮采用之前，Madhure希望了解配置和運(yùn)行該產(chǎn)品所需的時(shí)間和精力。他表示：“有些產(chǎn)品相當(dāng)簡(jiǎn)單，但有些則需要大量配置。”

了解更新是自動(dòng)還是手動(dòng)進(jìn)行至關(guān)重要，因?yàn)槌掷m(xù)維護(hù)直接影響工作量。Madhure重視那些提供清晰、可操作報(bào)告和儀表板的工具，特別是那些有助于跟蹤安全計(jì)劃成熟度和進(jìn)展的工具。

他還想知道某些功能是否需要額外成本，因?yàn)檫@會(huì)改變產(chǎn)品的價(jià)值和投資回報(bào)率。他說：“我們不希望采用產(chǎn)品后，又被告知需要購(gòu)買額外的企業(yè)版或其他產(chǎn)品才能使某項(xiàng)功能正常工作。”

在選擇新供應(yīng)商時(shí)，Madhure和他的團(tuán)隊(duì)會(huì)嘗試列出所有問題，然后比較各供應(yīng)商的表現(xiàn)，然而，這一過程仍無法捕捉到所有信息。他說：“我們盡量預(yù)測(cè)大多數(shù)問題，但總有一些是我們無法提前識(shí)別的?！?/p>

4. 你的更新周期是怎樣的?我能參與產(chǎn)品設(shè)計(jì)的塑造嗎?

Scott會(huì)詢問供應(yīng)商的更新周期，包括他們發(fā)布更新的頻率以及對(duì)新威脅或行業(yè)變化的響應(yīng)速度。他說：“我想了解供應(yīng)商如何跟上新框架、法規(guī)和安全挑戰(zhàn)的步伐，特別是在漏洞掃描或治理、風(fēng)險(xiǎn)管理和合規(guī)等快速變化的領(lǐng)域?！?/p>

Scott還想知道集成情況，以及該工具是完全基于云的還是具有本地或混合組件，這對(duì)于一家原生云公司來說尤為重要。他還增加了關(guān)于供應(yīng)商如何使用AI以及如何處理數(shù)據(jù)的問題。

他說：“我們希望確保我們的知識(shí)產(chǎn)權(quán)和投入其中的任何內(nèi)容都不會(huì)被用于培訓(xùn)第三方或第四方供應(yīng)商?！?/p>

5. 你能提供實(shí)際用例并驗(yàn)證你的說法嗎?

經(jīng)驗(yàn)豐富的CISO會(huì)要求供應(yīng)商提供具體例子，說明他們的工具如何解決與他們面臨的問題相似的問題。

Basu說：“與NIST網(wǎng)絡(luò)安全框架或MITRE ATT&CK等既定框架進(jìn)行映射是有用的，但更重要的是成果證據(jù)——增強(qiáng)保護(hù)、縮短檢測(cè)時(shí)間、加快響應(yīng)速度或降低成本?！?/p>

在一次令人難忘的推銷中，供應(yīng)商展示了Madhure所需的所有功能，并且在回答問題時(shí)對(duì)產(chǎn)品非常了解。他說：“他能回答我們的問題，或者提供關(guān)于該工具如何解決我們痛點(diǎn)的指導(dǎo)。他們做了市場(chǎng)調(diào)研，了解我們面臨的問題類型?！?/p>

Scott更喜歡現(xiàn)場(chǎng)演示，以確保該工具不是虛構(gòu)的，也不會(huì)因界面不佳或功能笨拙而令人失望。他還會(huì)詢問潛在供應(yīng)商其他企業(yè)如何使用他們的工具，并分享將親自操作該工具的團(tuán)隊(duì)成員的問題。

他說：“CISO可能從高層面上理解為什么該工具能提供價(jià)值，但可能有一些技術(shù)細(xì)節(jié)被我們忽略了，或者現(xiàn)場(chǎng)操作人員會(huì)有更深入的理解?！?/p>

警惕這些危險(xiǎn)信號(hào)

CISO們都承認(rèn)，在推銷會(huì)議中，有一些危險(xiǎn)信號(hào)會(huì)立即讓人失去興趣，其中一個(gè)主要信號(hào)就是含糊其辭或夸大其詞的宣傳。Basu說：“不要使用令人困惑的術(shù)語，也不要夸大其詞地說你的解決方案能解決我所有的問題，讓我高枕無憂?！?/p>

Madhure表示，渲染恐慌情緒會(huì)讓他非常反感。他說：“當(dāng)他們使用恐懼、不確定性和懷疑策略時(shí)，那就是一個(gè)危險(xiǎn)信號(hào)?！?/p>

將公司事件作為銷售策略會(huì)讓人感覺像是“趁火打劫”，并不受歡迎。Scott說：“他們從未命中要害，而且這種做法也不合適，因?yàn)榘踩绺敢庀嗷ブС?，而不是利用困境?！?/p>

使用流行語也是一個(gè)大問題。Madhure說：“當(dāng)供應(yīng)商在推銷或演示中使用流行語，但實(shí)際上并不支持這些功能時(shí)，這可能會(huì)產(chǎn)生誤導(dǎo)。由于我們有技術(shù)背景，所以能識(shí)破這些?！?/p>

供應(yīng)商不愿接受對(duì)他們推銷方式的反饋可能預(yù)示著合作中的挑戰(zhàn)。

Scott說：“有時(shí)我會(huì)建議他們改進(jìn)推銷方式——內(nèi)容更精煉一些或更聚焦于實(shí)際問題。有些人欣然接受，而有些人則不然。”