论安全的“闭环“和KPI

最近发现了一个怪现象

甲方做安全的,总是有人会搞一堆看起来很高大上的东西,或者就是一堆没有落地的,没有闭环的安全产品,或是拿改一改的开源产品,但是自己也不清楚一些指标或是具体的使用细节的产品.

比如,挂着各种头衔的产品在换了关键人物之后便处于弃用状态, 或者总喜欢做一些当前很难落地或者根本也不考虑能否落地的东西,这些产品大多会用到机器学习等,还会有一个酷炫的名字.然鹅最核心的指标,安全能力,或是是否闭环等环节都是问题.

也许这是KPI在作怪?

做甲方安全的也都知道,安全这个东西本来就无法给甲方盈利,随着很多中小型公司迁到云上,安全产品越来越强,对于一些对安全没有那么那么高要求的,也还有点钱的公司来说,买买买应该可以解决百分之95的需求了,其实说白了就是中小甲方的安全工程师(非偏管理/合规/SRC管理/运维安全等)来说其实日子没有那么好过了,比如在阿里云上,可做的事情就非常少了,一个懂一些安全的运维,剩下的交给阿里云就行了.

那怎么办呢?KPI不能写买买买吧,也不能什么都不做,就盯着大屏,然后点点点?最多再拿PoC测一下?剩下的就是渗透测试?那怎么行,如此往复早晚药丸,当然就是在搞一套XXX系统咯,一般都是一顿说买来的多不好,我来搞,之类的.

诚然,自研有些情况下的确利大于弊,但是最怕的问题是无法落地,无法闭环,搞完了记完了KPI就完事儿了,自研安全产品虽然也是工程类项目,但是不是所有的自研安全产品都有产品,测试,运营这样一体系的资源去支撑他,往往编码完了,也没有测试,也很难去运营,况且可能有些时候关键人物已经离职,OK,腹死胎中?还是根本就没想生下来,只是需要隆起的肚子去拿点红包.

再加上这几年的机器学习/深度学习各种流行,大家纷纷往自己的产品里加料,目前来看仅仅一年不到的时间,几乎所有的安全产品都有“机器学习”的标签,但是目前来看,还没有看到真正的突破,大家用的最多的都是用一些聚类分类方法去识别异常,殊不知真实环境和大家使用的训练样本差异还是比较大的,我认为机器学习的应用场景应该和传统的正则等场景应该是不重叠的,即正则规则该上上,机器学习应该解决他们解决不了的一块,等.

所以导致“机器学习”也泛滥成灾(甲方也是),我也不是很懂是为了宣传自己还是为了KPI,使用的地方要么鸡肋要么还不如正则.

所以呢,无论什么产品,尤其是安全产品,这种缺乏资源的产品,更应该重视闭环能力,应该更多的注视安全能力,实用能力,不是名字越酷炫越NB越好,而是能真实落地,解决痛点才好.

  • Post author: E_Bwill

你可能感兴趣的:(企业信息安全)