网络安全科技采用周期

安全团队采用新网络安全理念和技术的方式与他们的成熟度、工程思维和获得资源的途径高度相关。从采用新创意的方式来看,安全团队大致可分为三种类型:

  • 成熟的、以工程为重点的安全团队。

  • 成熟但不注重工程设计的安全团队。

  • 不够成熟的安全团队和缺乏资源的组织。

成熟且注重工程设计的安全团队

成熟且以工程为重点的安全团队最常见于云原生、风险投资支持、经常(但不一定)位于硅谷的软件公司,这些公司的运营规模特别大,面临的问题比业界其他公司的问题要复杂得多。这些公司认为有必要雇佣安全工程师、安全架构师、检测工程师以及其他具有工程思维的从业人员,并为此投入了大量资源。谷歌、微软、Netflix、Uber、Meta、Figma、Brex、Canva 等公司都属于这一类。

拥有工程资源的成熟安全团队通常不会直接使用传统的现成工具。当出现新的安全需求时,以工程为重点的组织通常会分配资源在内部开发定制解决方案(例如,Canva 建立了一个工具,可以将工单/结果导出到正确的地方,分配给所有者等)。这样做非常合理,因为它们有动力比更广泛的市场更快地响应新的攻击向量或技术需求。

一旦市场上的解决方案达到自研工具70-80% 的效果时,聪明的安全团队就会寻求成为雄心勃勃的早期初创公司的设计合作伙伴,以解决相同的问题。这样做可以让他们决定初创公司的发展方向,同时认识到组织的工程资源最好用于解决公司特有的问题,而不是构建可以现成购买的解决方案。我们面临的挑战是,如何当市场上的初创企业准备好提供可用产品的时候,适时做出这种转变,同时又不打击那些构建了自研方案的工程师。

在某些时候,特定市场中的解决方案会变得商品化--它们看起来都一样,解决的问题都一样,提供的功能也都一样。在这种情况下,明智的做法是选择 "足够好 "的解决方案,并根据定价做出决策。

成熟但不注重工程设计的安全团队

第二类,即没有工程思维的成熟安全团队,通常出现在金融机构、处理大量数据的大型企业,以及对自身安全态势敏感的其他组织。这些公司通常属于生物技术、医疗保健和金融等强监管的行业。与软件公司不同,它们缺乏软件产品开发的思维模式和技术诀窍,因此很少投入资源来构建自己的安全解决方案。

当出现新的安全需求时,成熟的组织往往会成为早期网络安全初创公司提供的新解决方案的早期采用者。对于创业者来说,这部分公司是用户反馈的重要来源,因为与习惯于在遇到问题时寻找变通方法的工程团队相比,他们更加难以忍受漏洞和其他问题。

与注重工程的安全团队类似,一旦新类别成为商品,没有工程思维的成熟安全团队也会根据价格等审查标准选择可接受的解决方案。这种商品化经常被称为行业整合,尽管这两个词代表了不同的趋势,且并不相同。

不够成熟的安全团队和缺乏资源的组织

绝大多数安全团队都不那么成熟,他们所在的组织也没有为安全分配足够的资源。具体原因不在本文讨论范围之内,但可以肯定的是,如果不对安全进行持续投资,他们就不得不用有限的资源做很多的事情。

这一类公司是安全解决方案的后期采用者,他们是否采用新工具通常取决于合规标准和客户要求。这些公司通常会利用现有的供应商,尽可能多地白嫖安全解决方案,以求勉强度日。不那么成熟的安全团队很少向 "同类最佳 "的初创公司付费;相反,他们通常会等待大型供应商开始提供新的解决方案,然后才购买,通常会整合到几个精选的平台上。

Image Source: Kane Narraway in Canva

网络安全科技采用周期:对初创企业的影响

站在网络安全初创企业的角度,了解该行业的科技采用周期对于设计成功的上市战略至关重要。因为安全行业的运作方式与大多数(或所有)行业截然相反。

在大多数行业中,初创企业进入市场时都以中小型企业(SMB)为目标,因为它们最容易接受新技术。在找到最初的产品与市场契合点并使解决方案成熟后,它们会向中型企业销售,然后才是大型企业和财富 500 强企业。

在安全领域,初创企业面临着 "跨越鸿沟 "的问题(我第一次听到这个词是来自 a16z 的 Joel de la Garza)。简单地说,在其他行业,中小企业最先采用新解决方案,而大型企业最后才采用,但在安全领域,情况恰恰相反。

销售安全产品比销售其他解决方案更难:大型企业的安全团队是出了名的风险规避者,但他们又是创新者和早期采用者。这种对立造成了许多初创企业无法跨越的采购障碍。更糟糕的是,由于大多数安全问题都相当小众,因此往往没有通往普适化的途径(因此,初创企业也没有机会跨越鸿沟)。

Image Source: Ross Haleliuk in Canva

网络安全科技采用周期:安全团队的最佳实践

网络安全科技采用周期对安全团队有几个重要影响。第一,他们需要明智地做出构建与购买的决策,同时认识到他们的一些问题最终将由创新型初创企业解决,而另一些问题则非常小众,解决方案很可能需要在内部无限期地构建。第二,他们需要建立可扩展的方法,从市场中获取创新,而不会被花里胡哨的工具分散注意力,因为花里胡哨的工具有很多。第三,他们需要确保评估和/或构建新的安全解决方案不会分散他们对组织防御的优先考虑。

以下是安全团队应牢记的一些最佳实践:

  • 一定要慎重考虑打造已经成为商品的产品。你虽然有理由这样做,但如果可以,请坚决放弃。打造产品总是比你预想的要难。这些原因包括

    • 您只需要产品的一小部分,而且要避免臃肿。

    • 您以为您可以在内部降低成本(但真的可以吗?)

    • 您希望降低供应链风险,减少表面积意味着减少外部供应商。

    • 市场上的产品无法满足您的所有需求。它们可能无法根据您的规模进行扩展,没有数据驻留,或者不太适合您的环境。

  • 如果您决定建造,不要把所有鸡蛋都放在一个篮子里。

    • 很多时候,我们看到安全工程团队把所有东西都归到一个 "产品 "下。即使是在微服务架构中,服务也会变得高度互联,因此很难移除单一组件。尽早考虑分段设计,这样将来就可以根据需要进行切换。

  • 找到一个设计合作伙伴并不难,难的是找到一个既优秀又能长期合作的设计合作伙伴。初创企业经常会失败。您可以通过以下方式降低这种风险

    • 对合作伙伴进行尽职调查,就像对投资者一样。询问他们的财务状况、目标和目的。

    • 确保你不是他们唯一的客户。初创企业的长期健康发展至少需要经历一定程度的早期增长。

    • 对于极早期的初创企业,可以考虑在合同中加入托管协议。如果初创公司宣布退出,你至少还能拥有源代码,继续完成迄今为止的工作。

  • 使用(和不使用)市场的主角是有原因的。例如

    • 通常情况下,使用市场领导者是一种安全的选择,即 "没有人会因为购买 IBM 而被解雇"。与此同时,市场领导者也会变得陈旧过时。看看端点安全市场就知道它经历了多少次迭代。过去的大型工具现在往往都已不复存在。

    • 密切关注安全社区,了解下一个市场领导者可能是谁。你不可能总是准确无误地选择它们,但尝试这样做可能会使你不必过快地更换工具。

    • 不要一遇到问题就更换工具。太多的人每隔几年就会更换两三种工具。取而代之的是,尝试与供应商合作,让他们开发出你所需要的产品。

原文链接:

https://ventureinsecurity.net/p/cybersecurity-technology-adoption

声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。