PoC的一大问题在于,他们仅仅告诉CISO以及他们的安全团队,该产品能快速集成并且有一个好看的用户界面——而这些东西很容易就能进行评估。至于这些解决方案是否真的能防住攻击并且降低风险,就很难判断了。结果,由于PoC无法阻止泄露问题的放生,CISO们很多时候在发生攻击事件后左右为难。

PoC失败的原因,在于深度测试的成本使得许多组织望而却步。网络安全厂商却因为只需要测试用户界面和集成的简易性,站在了一个相当有利的位置。因此,我们需要重建一个评估解决方案的方式。

尽管包括NetSecOpen在内的一些安全厂商也给出了一些提案,整个行业显然不能单靠厂商一方之言进行评估并测试新的解决方案。甲方企业必须带头,才能有真正的改变。在新冠疫情造成的大范围居家办公情况下,需要有一个产业联营站出来帮助企业更好地评估产品,尤其是那些自身缺乏有效进行PoC的企业。

在某些情况下,比较合理的第一步是基于政府已经发布的一些评估标准。但是,鉴于政府和商业之间的巨大差异,双方的安全需求很难说是一致的。另一方面,不同政府有不同的策略和想法,从而给跨国企业带来了更多挑战。

一个碎片化的市场

网络安全解决方案和服务市场在越来越碎片化,而CISO在面对ROI指标的时候承受了巨大的压力。因此,一个由多个买家组成,在购买安全产品前一起评估其真实价值的联营,有了重要的意义。联营能够一定程度上解决成本问题,因为多家公司能够将他们的PoC成本整合到一起,进行更完整的黑盒与白盒测试。

一方面,这些企业在市场上互为对手,但是另一方面他们也是“战友”。显然,在一个未知的产品上花费难以计数的金钱前和自己的“战友”/对手一起合作将这个产品研究透,比最终购买这个很快就宣告失效的产品要好得多。另外,这种联营也不会让某些成员在资源合并上获得竞争优势:每个人都在同一位置上。

为了让联营评估的目的达成,参加组织必须任命第三方测试人员。测试人员不能在这个过程中有测试之外的利益关系,从而确保他们的结果是真实的。

从测试方法上,第三方测试人员需要确保产品不仅能够防御已知威胁,也要对未来的未知威胁有一定预防能力。测试人员应该要求安全厂商披露设计的完整细节,工程操作,尤其不能让他们以“商业机密”为由保留一些重要的信息。

严格的评估和审阅

测试人员接下来需要对设计细节、部署文档、与源代码进行严格的评估和审阅。他们之后可以用白盒测试已知的攻击,也可以假设攻击者在已知安全部署的情况下进行测试。当然,这样的测试会有高昂的费用;但是,联营成员可以通过将各自的预算合并到一起以分担成本。

一旦这种程度的评估成为常态,安全厂商也不得不做出改变。为了保持在市场的地位,他们不得不进行更严厉的内部审查。

CISO们忙于应对各类网络风险状况以及各种运营问题,从而难以在产品评估和测试上投入太多精力。因此,有同样想法与目的的企业可以相互信任,一起决定他们想要进行的测试。在数量和金钱的驱动下,这些联营可以带来真正的变化。

我们需要尽快形成这样的联营机制。现有的PoC流程、产品评估和测试并不能给出足够多的信息。但基于联营的第三方测试可以发现真正的价值,而安全厂商也不得不确保他们的产品能发挥他们保证的效果。

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。