什么是好产品?听听甲方网安专家怎么说
基于诸子云社群(企业网络安全专家联盟),出于“甲方说好,产品才好”、“取之于民、用之于民”之理念,由安在新媒体发起的网络安全“大众点评”——2019中国网络安全产品用户调查,已于近期正式启动。
作为颇受关注也极具意义的一件事,除了来自各行各业以及各代表城市和典型企业的“甲方”网络安全业者的广泛参与,我们还特意邀请了一些具有行业代表性和影响力的大咖担任专家顾问,包括前期策划、问卷设计、过程指导以及后续的成果评定,特邀专家都给予我们极大的信任和帮助。
这里,我们向本次活动的特邀专家表达诚挚的谢意,他们是:
除了上述专家,受邀顾问本次活动的还有数位不具名专家,包括某金融机构网络安全专家Y、某股份制银行信息安全负责人L、某知名证券公司资深安全专家C,这里一并表示感谢。
针对本次活动,我们特意听取特邀专家意见和建议,并以问答方式整理成文。专家观点聚焦两个方面:什么是好的网络安全产品?网络安全产品选购部署和使用都有哪些“坑”?这两方面内容,我们将分两次发布,以飨读者。
今天本文,关于网络安全产品好坏,就让我们听听专家都怎么说吧。
黄乐:没有哪款产品可以满足所有企业的某方面需求,所以判断一个相对好的产品可以从通用标准和企业特殊需求的符合性来判断。
通用标准方面,可以通过稳定性、功能性和合规性几个方面来判断。信息来源有限的,可以通过行业排名、第三方评测等方式获得相关信息。在安全行业有较多人脉的,当然可以通过交流来听取其他同行的看法。
特殊需求方面,需要考察安全产品的API开放性和定制开发能力,当然定制价格也是需要考虑的。
最后,测试是难免的,口碑再好的产品都不可能满足所有企业的需求。
李维春:当然有啦!一是可以有效地解决对应场景下的安全痛点,二是综合成本恰当,两者相加其实就是投资收益比高。如果还有第三条,那就是能够有恰当的开放性和兼容性,便于安全产品之间的连接、联动、智能化运作。
能够有效解决安全痛点,这个不言而喻。综合成本不止包括采购成本,还包括项目实施成本、维保升级成本、运营人员学习成本、运营时间精力投入成本及其他成本。第三条,其实是随着SIEM/SOC、态势感知、SONAR概念兴起之后,随着降低运营成本、提升运营有效性的诉求越来越强烈,用户对安全产品自然而言的需求。
刘锋:有。一是要真的安全,能解决需求的安全问题;二是要可用性高,不能因为安全导致性能不可用,如时延过长,流程太繁琐等。
刘新凯:主要有几个核心判断标准:1) 能够切实有效的解决问题;2) 稳定且持续优化可运营;3) 价格在合理范围。
孙锦泉:好的网络安全产品没有特定的标准,我觉得能够解决实际问题的就是好产品。例如:有些产品很细小,只解决某个细分领域的问题,只要效果得当就是好产品。有些产品规模很大,是整体解决方案,能够解决某个领域的问题,也是好产品。好的产品的判断标准不是过了多少认证,拿了多少荣誉,而是解决了多少实际问题。
王彬:我觉得,能实现产品标注的功能且安全稳定就好,响应要及时快速,能解决痛点都是好产品。
薛忠胜:有,也没有。说有,是因为网络安全产品与其它的信息化产品一样,稳定、可靠是其必要的特征,或者说是标准之一;说没有,是因为网络安全产品的品类非常多,很难用一种统一的标准来要求。在现在的情况下,有一个特性我认为是比较重要的,即开放性,或者说互联互通的能力。
叶翔:有标准啊,实用、易用、漂亮,3个维度。实用很好理解,比如堡垒机,实用程度差不多,主要是否易用,有些很难用,运维人员很排斥,再比如态势感知,大多不实用,那就要看谁家的漂亮。
赵锐:固化的安全产品肯定要有标准,必须有的功能、要求,可以做为亮点的增强功能。像主要在金融机构使用的加密机、ATM机、POS机等强安全属性的产品就有标准。
Y(某金融机构网安专家):各种场景太多,无法覆盖。整体原则,能够满足当时要求并且适度超前的就是好产品。注意两点,一是避免铁锤人效应,拿着榔头找钉子,需要从用户角度出发,先满足用户需求为主,套用猫论,不管白猫黑猫,抓住老鼠就是好猫。二是极简,遵循奥卡姆剃刀原则,如非必要,勿增实体,用内部的复杂设计和逻辑换取界面的简洁明了,替用户节省时间,就是节省开支。
L(某股份制银行信息安全负责人):网络安全涉及领域非常广泛,好的网络安全产品应有几点特征:1、聚焦某一领域,不要样样都有样样稀松;2、应充分考虑准确性,安全产品要能够适应用户环境,也应消除误报,功能上先做减法再做加法;3、网络安全需要不同产品间相互支持,因此能够具有便于进行服务和数据对接的行业标准接口。
C(某知名证券公司资深安全专家):a.精准、专业 ,误报率低;b.开放、兼容,提供api/sdk/接口,易与客户的现有系统、设备和流程集成,便于客户二次开发;c.高性能。
黄乐:网络安全产品的“老三样”曾经为企业的网络安全立下了汗马功劳,现在有人说它们太陈旧,有人说他们不够高大上。但站在企业安全运营者的角度看,它们是企业安全的基石。企业安全团队永远关注的是如何简单、高效的解决实际问题。所以老三样是否过气的问题主要看企业的实际需求。从另一个角度来说,不管产品是否过气,四层防御、入侵检测和防病毒的基本手段永远是企业的核心需求。
李维春:老三样是指“防火墙、防病毒和入侵检测”吗?依然少不了哇。对于大多数中小企业来说,能把这三样真正全面覆盖、用足用好,已经可以满足绝大部分的安全需求了。这也是为什么现在传统安全厂家依然活得还不错的主要原因。
刘锋:还不过时,就像是锅碗瓢盆基础生活用品,刚新建的房子,都需要的。
刘新凯:依旧在很多组织内部发挥着作用,属于“安全基础”型防护,但是随着新的安全理念,架构,技术及产品的革新,老三样已经不是必然的选择,更多更好的模式,更能适应当下安全的需要。
孙锦泉:众所周知的网络安全产品的 “老三样”防火墙、入侵检测以及防病毒,从目前的发展趋势来看,“老三样”确实无法满足现有的安全发展需求,但是客观的说,老三样仍然是网络安全防护中的基础。
从实际工作中来看,这老三样并没有过时,这老三样仍然可以用于构筑网络安全的最基础防线,其部署方式,性价比都是不错的。对于小型企业来说,老三样基本可以满足日常防护要求。而对于金融、运营商、互联网公司等对于网络安全要求较高的企业,则在老三样的基础上,需要补充更多的,更加全面和智能的网络安全产品措施。
王彬:可能的话还是建议部署的,这个是安全的底子,用的好可以减少很多工作量。
薛忠胜:虽然“老三样”现在不再是网络安全的热门产品,但对于大部分单位来说仍然有非常重要的作用,是网络安全的基础能力。随着网络安全工作的逐渐深入,“老三样”在保持传统能力的同时,也应适当跟进发展的步伐,比如增强开放性,与新的网络安全技术(如威胁情报)进行结合等,从而焕发出新的活力。
叶翔:老三样指的是防火墙、病毒查杀、入侵检测。防火墙依然还是非常实用的,病毒查杀对于终端还是很有必要,虽然现在炒作EDR,但我还是觉得病毒查杀更有意义。惟独IDS/IPS,我一直觉得不实用,但是等保合规还不得不买。
赵锐:网络安全产品的“老三样”防火墙、入侵检测以及防病毒虽然无法应对当时网络空间的新问题,但这已经是网络安全中最基础的安全保护服务。他可能已经集成到某些产品中了,像入侵检测已经从网络到应用到业务逻辑,风控系统就是应用和业务逻辑层面的入侵检测。
Y(某金融机构网安专家):好多人说老三样过时了,实际上并非如此。还是和企业实际情况相关。防火墙对于网络隔离以及攻击面收敛的效果非常明显,只是好多单位由于各种原因不敢上策略。防病毒对于终端依然重要,是终端的最后一道屏障,不过是现在的防病毒不在作为一个单独功能,而是终端管控的一个组件,配合终端行为一起分析为主。入侵检测之前的问题是误报率高,自从可以看回包的入侵检测出现后误报可明显降低。
说到底,老三样都没用好的情况下,不适合说老三样过时,不过随着加密技术发展和计算机性能的提升,网络侧能够看到的东西越来越少了,主机安全成为基础安全配置的一部分。最后,老三样主要解决的部分基础安全问题,在做好基础安全的后,数据安全、业务安全、安全风控以及引申出来的关于个人隐私保护等逐渐成为高阶需求,对安全从业人员的要求更高了。
如同马洛斯需求论,先解决温饱,再追求理想。
L(某股份制银行信息安全负责人):防病毒、防火墙、入侵检测仍提供了网络安全设备的重要基础功能,在应对针对性的入侵时,需要结合企业安全需求和风险管理策略选择新型的安全检测、防护设备,通过数据收集、分析提供高阶安全防护能力。
C(某知名证券公司资深安全专家):有不足,但仍是基础安全不可或缺的部分,通过扩展新功能或与其他设备集成可发挥新作用。
黄乐:近年来随着网络安全行业不断火爆,很多初创企业和老牌安全厂商都推出了很多新的概念和产品。总体来说这是件好事,企业安全团队的可选择范围扩宽了。但过多的选择和宣传,会给安全管理者带来一些困扰。在这种情况下,企业安全团队应该一方面抓住企业自身的核心需求,另一方面抛开产品PR,从逻辑上理解产品逻辑。再辅以适当的测试,就可以对一个新的概念和产品有一个客观的认识。
李维春:网络安全市场一个是需求驱动,一个是技术驱动。前些年,国内的用户、甲方都还不太成熟,基本以技术驱动为主,同时大量借鉴国外的新概念、新产品,虽然甲乙方都踩了不少坑,但确实对国内的产品创新、用户教育起到了非常重要的作用。最近7、8年,以互联网、金融、高科技企业为代表的甲方爸爸们迅速崛起,自身能力、成熟度迅速提升,有效地带动了网络安全产品创新。但是遗憾的是,网络安全新概念似乎还是以国外创新为主。
我个人认为网络安全新概念的持续出现,是个好事,它可以持续引发从业人员的思考,进而在产品、服务等各个层面进行改良。如果不停地有人编造新概念、玩弄新词汇,那是好事还是坏事呢?依然是好事!因为会让不成熟的甲方、用户吃到苦头,迅速成熟,会让成熟的甲方、用户更加擦亮眼睛、明辨是非。我们这些企业安全建设者都说,老板需要经历过信息安全事件、通过之后才会重视信息安全,对于这些新概念,我们自己何尝不是经过了这个历程?
刘锋:安全产品就像是战场上战士的枪,可以创新研发,但用在一线的,最好好事久经考验的可靠产品,老点不怕,要关键时刻别出问题。所以新概念和创新还是先作为研究和试点。
刘新凯:近几年全新的概念,重点指全新的技术和理念,相对比较少,但是产品的应用创新,一直在持续。在逐步优化的过程中,期望能够见到跨越式,或者全新模式的概念和产品出现。
孙锦泉:随着近几年国家和行业对网络安全的重视,网络安全的新概念和产品也层出不穷。但是,我认为,要冷静看待网络安全的新概念和产品创新,只有解决实际问题的创新,才是有效的创新,纯粹了为了创新而创新,炒作概念的创新,并不利于产业的长远发展。随着大数据、AI人工智能等的发展,新技术其实在网络安全领域可以有很多作为,但是其核心,就是一定要实用,解决实际问题。
王彬:要贴合业务,解决实际问题的前提下就是好产品。鼓励创新,我们也很喜欢试用并接受新的产品。
薛忠胜:网络安全的形势正发生着深刻的变化,网络安全不再是传统的老三样,不再是信息化的独立功能,而是信息化的一种属性,与信息化的方方面面密切相关,从硬件到软件,从基础架构到上层应用,从设备到人员乃至供应链。要解决如此广泛的网络安全问题,网络安全的新概念和产品创新是一种必然措施。
叶翔:和所有行业一样,有新的挑战,就会有新的产品,这很正常。创新的东西,有些实用,有些骗人,我们甲方要苦练内功,保持甄别的能力。
赵锐:这个世界唯一不变的是变化。网络空间日新月异,网络安全概念和产品也要不断创新,我在看待这些创新时要理解并独立思考,不独立思考就可能被某些新概念蒙蔽。
Y(某金融机构网安专家):概念创新和产品创新是好事情。创新的动力在于解决问题,而随着社会分工的细化和技术革新,需要聚焦到更加细分领域同时增强和周围群体的互动,从原有的一个产业创新,产品创新到一个接口创新,否则无法继续下去。同时,概念创新要切合实际,和产品创新可互相结合,知行合一,受限于工程化能力时可尽快加入外部协作组织同步验证。
L(某股份制银行信息安全负责人):一些是基于新型技术的创新,主要是数据获取、分析处理能力的提升,使得原来不可见、无法处理的数据带来价值;另一些是架构、模式方面的创新,需要有合适的业务场景,也要考虑企业现状、使用习惯、现有业务系统改造等多方面因素。
C(某知名证券公司资深安全专家):借用DJ的话:创新,来自于对安全本质的深刻理解,才能厚积薄发。
黄乐:总的来说,国产化和自主可控是未来的趋势,但目前部分技术还不甚成熟。企业安全团队在不影响系统正常运行的情况下,适当的使用相关产品和技术。有强制监管的单位建议充分测试,做好应急预案。
李维春:应该搞,值得搞,抓紧搞。不要再奢望市场换技术了,拿出造原子弹的精神来,踏踏实实搞一轮。向鬼子学习,用政府和军队采购带动市场,用市场规则引导企业技术进步、管理提升,建立灵活的投融资体系扶持一帮中小企业成长;同时建立机制,裁掉信息安全绩效后50%的企业CSO/CIO,应该可以迅速地达到期望。
当然,自主可控不等同于国产化,现在已经是一个开放的国际大市场了,我们只要掌握核心竞争力,在市场竞争、国家竞争中掌握有分量的筹码就可以了。
刘锋:一是要有国产化和自主可控的准备,以备在极端情况下有后手。二是在性能差不多情况下,首选国产和自主可控。三是不要做到极端,在安全要求没那么高的地方,还是考虑性价比。
刘新凯:完全是应该且必要的。在当前国际形势和未来国家定位及发展来看,国产和自主可控的安全产品,已经不仅仅是经济和技术成熟度的范畴,更是国家发展和国家安全重要的组成部分,应当大力发展。
但是也不能固步自封,还需要和国际最近的业态,技术等保持紧密的沟通和连接,持续提高,保持在一个高的水准上。
孙锦泉:网络安全产品的国产化和自主可控势在必行,目前网络空间的安全已经与海陆空天并列,成为国家安全的一部分,而在国家安全层面,国产化和自主可控是基础要求。近几年网络攻击造成的国家关键基础设施瘫痪的案例屡见不鲜,因此网络安全产品自主可控的重要性也可见一斑。
王彬:国产化是必须的,现在很多国内产品已经很好了,甚至比国外的还要好且有服务优势,还是很鼓励的。
薛忠胜:由于众所周知的原因,国家层面非常重视网络安全产品的国产化或自主可控,也创造了比较好的发展条件,网络安全产品的国产化或自主可控是一种必然的趋势。同时,随着国内企业自身能力的不断增强,网络安全产品国产化也具备了更强的可行性。因此,未来一定会看到更多、更好的国产网络安全产品。
作为使用者,我们也非常乐意选用国产化网络安全产品,其中一个重要的原因是国内安全企业有更强的服务意愿,更强的服务、支持和定制化能力。
叶翔:除了涉及国家安全的军网、保密网,应考虑国产化和自主可控,其他领域我支持自由竞争,物美价廉是我的唯一考量,不盲目迷信外国货,也绝不会因为这是国产的而优选。
赵锐:早期其他国家针对中国的封锁、刁难,以及近几年的“棱镜门事件”、“勒索病毒事件”、“乌克兰停电事件”、“中兴事件”和“华为事件”,充分说明如果没有国产化和自主可控就可能被他国遏制,无法得到自身的发展。网络安全产品更是如此,核心技术不能受制于人,没有网络安全就没有国家安全。
Y(某金融机构网安专家):科学没有国界,而科学家有国籍,网络空间是海陆空天后的第五空间,对网络空间的保护也是如此。
L(某股份制银行信息安全负责人):安全可控是大战略,意识形态、经济利益的冲突不可避免会影响各个领域,市场经济并非万能的无形之手,因此这条路要坚定不移地贯彻执行。考虑到产品的起点、成熟度、兼容性和企业战略等多方面因素,应在统筹管理、市场化竞争的环境下,逐步推进安全可控的布局和覆盖范围。
C(某知名证券公司资深安全专家):任重道远,同时度的把握是个难题。
黄乐:在笔者团队中,标准化产品用于解决常规的,已经解决的很好的产品,如防火墙。企业自主研发的产品主要是决绝商业产品的空白,或者企业的特殊需求商业产品无法满足的情况。在大部分情况下,安全体系应该是商业产品+开源产品+自研产品相结合的,对安全团队的考验是整合能力。
李维春:我觉得还是看企业自身资源、能力以及业务特点吧,以合理的代价解决问题、达到目标就可以了,一般来说不追求绝对的标准化产品,也不苛求全面企业自研。在标准化产品之外,自己开发一些小工具作为补充,可能是大多数企业的选择。
刘锋:标准化产品利于降低价格,互相竞争提升产品品质。企业要根据自己服务的对象,针对服务对象的业务方向,选择自己有技术积累的方向进行产品自研,沉淀自己企业的核心竞争力。初期可以与外部进行合作开发。
刘新凯:在组织内,作为安全的负责人,最重要的是将安全和组织的发展目标做匹配,选择最适合所在组织,最能够提高组织竞争力的路线。
所以第一步选择标注化产品,还是自研,就应该符合组织当下和未来的愿景,而不是单纯的为了自研和自研。
其次,在选择了部分自研以后,应该看清楚成熟标准化产品的发展情况,把有限的资源投入到商业产品不成熟,同时组织需求度高,本身基础积累较多的方向上,形成自身的特点和能力。
孙锦泉:标准化产品和企业自研的产品是二个发展路径。本身并没有谁对谁错,只是应用领域和应用环境不同。
对于普通企业而言,选择标准化产品是比较好的选择,因为标准化产品往往是业界最佳实践的产物,标准化产品会随着业务的发展不断更新迭代,对于普通企业而言,部署标准化产品方式简单,维护便捷,快速有效。
而对于大型企业或者特定行业来说,可能出现标准化产品无法满足企业实际应用场景的情况,这个时候就会引入企业自研的路径,对于企业自研的路径,企业本身一定要有强有力的安全开发和维护团队,才能将自研的路走好。否则,还不如标品。
王彬:标准化产品需要可扩展以及二次开发能力,这样甲方可以减少时间与成本,对甲乙都是好事情。
薛忠胜:个人认为,现在的网络安全非常复杂,今后的网络安全产品在功能、模块上有更强的发散性,很难做到标准化,但应遵循一定的标准,特别是数据标准或接口标准。
对于大部分单位而言,自研是不是一条好的道路。企业用户作为网络安全产品的使用者,很难有好的产品规划能力,同时企业往往也不会有足够的工程能力。我们的策略是尽可能从市场上选取符合预期的产品或与进行合作定制。这样做的原因,一是知道自己在研发方面的经验和能力不足,二是可以大大缩短任务的实现周期。
叶翔:大部分企业没有能力自研的,自研也不会比标准化产品好,死了这条心吧。少量企业有能力的,或者业务需求很强烈(特别是涉及业务的风控),卖不到标准产品,那就只能开发,或者合作开发,我觉得这是被迫的。
赵锐:标准化产品可能有效帮助各组织实现安全可控,一方面是依据参照,另一方面是提升能力。组织的大小、能力不同,在安全可控的过程可能存在不同的短板,标准化产品可以减少这部分风险。
专业乙方公司固然有其特长和能力,但在行业不断细化的今天,像业务安全就和企业的业务紧密相关,有些专业乙方公司就不一定清楚企业的业务情况,这部分自研的收益比外购好。
Y(某金融机构网安专家):首先,没必要重新造轮子,如果信息安全都不清楚标准化是什么,能解决什么问题,证明你还没有迈过基本的安全门槛。其次,如果全部采用标准化产品即可满足要求,那么恭喜你,一是证明安全已基本搭建成功,二是信息安全完全可以外包,信息安全团队进入价值递减通道,这种情况的出现还有一种可能,就是单位业务增长已经进入停滞期,不再有新增安全需求。最后,有的自研是为了用开源的省钱,有的自研是真的标准化产品无法满足要求,要仔细区分。对于第一种,在安全人力成本已经不低的情况下,建议直接使用商业化标准产品,第二种情况是用钱解决不了的,会带来更多的产品创新。不是说企业自研都是高大上,大潮退去,才知道谁在裸泳。
L(某股份制银行信息安全负责人):标准化产品具有快速、可复用等特点,适用于满足基础性需求;企业通常因技术架构、组织架构差异造成不同的使用需求,这部分需要通过自研或定制化开发的方式来满足。对于自研能力和资源投入不足的企业,可以考虑定制化。
C(某知名证券公司资深安全专家):理想情况下,标准化促进推广和集成,自研推动创新。
扫下面海报二维码即可进入问卷,请务必先行确认并填写诸子云会员编号,具体可以联系群秘(可扫本文文末“加入诸子云”二维码),抽奖活动将以会员号为准哦。
截止目前,本次调查活动已收到近300份问卷反馈,并在诸子云社群内部分两次抽出四件礼品。就在昨天,我们第二次抽出两份礼品——小米照片打印机一台,富士复古拍立得相机一部,抽奖写真参见如下视频。
中奖者是:
祝贺中奖的朋友!
此外,下周,也就是本次活动截止前,我们将第三次也就是最后一次抽奖,最终大奖iphone11手机一部将花落谁家?我们拭目以待!
还犹豫什么?最后一周多的时间,赶紧参与吧!
推荐阅读
甲方说好,产品才好!2019网络安全产品用户大调查
▼加入诸子云