相煎何太急 ：下一代安全

安全業界一直在摩拳擦掌，積極尋找強化保護的方法。但是要決定下一步做什么并非易事。負責任的領導者認識到，并沒有什么新招術可以“挽狂瀾于既倒”，實際上，相互競爭的廠商們用于描繪現有方案的不足所花費的營銷費用，要比解釋新方法所帶來的附加價值所花的錢更多。由此，購買者感到困惑和被誤導也就不足為奇了。

隨著公司尋求在安全方面花錢，公司就需要能夠規劃出如何改善已經擁有的，而不必感到像是要舍棄已經在使用的設備和服務。如果廠商能夠誠實地描述其固有的好處，而不去大肆地貶低已有方案和競爭者的價值，那么，整個行業，無論是廠商還是企業都會受益匪淺。

在經濟學中有一個描述這種情況的工具，稱為“納什均衡”或“非合作博弈均衡”。這個概念是指，在某些系統中，當每個競爭者都根據自己所認為的最佳利益而做出決策時，系統就不會達到最佳的效果。在安全領域也存在此現象。市場的新參與者尋找可以帶來獨特價值的方法，但是有些參與者通過對“前輩”進行全面攻擊而實現此目標。在保護方面的一個小缺陷也會成為“非此即彼”的一個理由。當然，安全界的前輩也提出了新參與者在穩定性、范圍和功能方面的問題。那么，客戶呢？客戶會不信任所有的廠商，尋求某種客觀的數據來幫助自己形成一種合理的安全策略。

但這在安全領域并非易事，言辭已經失去了其特定的意思，而測試結果也必然與提交的測試產品一樣具有主觀性。近期以來，我們看到安全產品的認證企業在獨立地衡量相互競爭的安全產品的相對功效時，也會產生相互矛盾的結果。那么，用戶該怎么辦？

公司都夸張了其競爭對手的弱點，企業能夠做的最簡單的事情更是如此。他們不太可能投資于新設備和新服務，且不滿意于已有的，這往往會導致不與新方法同步發展的安全策略。這些方法并沒有充分利用已購工具的全部價值，并且在能夠負擔得起的企業中，也會導致不同廠商的不同方法解決同樣的問題而實施了冗余的保護。由于新產品并沒有被快速應用，現有的產品被認為是過時的和低效的，整個市場將遭受損害，所有的負面消息也會使安全團隊保持觀望。

安全領域的挑戰使得改進和提高存在困難，而這種具有破壞力的競爭性消息使問題尤其嚴重。過去的10年有很多消息都宣稱安全技術（包括反病毒和入侵檢測）已死，但其實，這個“死”在多數情況下是被極大地夸張了。

更好的方法是理解這些工具可以提供的額外保護。在全力對付新的威脅和日漸增多的風險時，多數企業都希望解決存在的已知問題，而不管這些問題是監視中，還是存在于預防或響應中的。廠商們建議正確的做法是用新工具替換已有的套件，但這回避了一個問題：會出現什么樣的新漏洞，還有，隨著過程的改變會發生哪些人力成本？

反病毒套件就是一個很好的例子，因為當今最流行的版本都提供了多種重要的服務，而不僅僅是簡單的簽名匹配和管理功能。雖然這些技術可以與現代的多態的和無文件的惡意軟件相斗爭，但平臺的數據泄露保護、個人防火墻以及網站過濾或本地加密可能會是至關重要的。

對于期望大幅度增加安全預算的企業來說，應當花時間理解企業中暴露最多的地方。簡單地用一種技術替換另一種技術可能會帶來不可預料的風險和暴露。而在很多情況下，通過修補已有的漏洞而增強已有的保護可能更為有效，其帶來的破壞性也更小。IT員工繼續管理他們理解的方案，其管理過程大體上是相同的，而采用新的解決方案并不是廢棄原本已經緊張的資源。如果新的方案不必證明對老的產品的價值和保護能力，同時，企業可以選擇遷離早期的安全保護方案，那么，業務發生中斷和延遲的可能性就要小得多。

多數IT和安全團隊認識到安全策略和工具都要求持續的檢查和更新。下一代安全公司沒有必要從市場中將“老前輩”趕走就可以存活。他們只需要證明自己的價值：彌補新威脅所擴大的差距，如此，分析師就可以做出明智的決策，而不必過于關注負面的消息。