374      技術社區[雲棲]

當安全團隊在尋求解決方案的時候，他們在尋找什麼？

雖然我們很難準確地指出信息安全市場的確切規模，但可以肯定的是，即其規模日漸增長。無論是對人力、過程，還是技術方麵的投資，在未來的幾年都將繼續增長。但是，對於所有這些投資，如果你問一些安全購買者在找什麼樣的方案或產品，其中的多數可能會說還沒有找到正在找的東西。

信息安全市場由大量的廠商以及子市場組成。讓我們做一個大膽的假設：信息安全的購買者成功地記住了名片資料、電子郵件、職業社交網站的邀請。那麼，問題就變成：企業要傳達什麼樣的賣點，如何引起購買者的共鳴?

某廠商所強調的產品或服務也許在激烈的市場競爭中隻是比競爭者稍微好一點。或者，可能廠商宣傳中所描述的產品或服務並不適合購買者的策略計劃或預算?或者，廠商詳細描述的產品或服務，但購買者已經投資購買了呢?

這種問題還可以舉出很多，真正的問題是：安全購買者在找什麼呢?進一步講，賣方如何理解購買者正在尋找的東西，從而決定自己提供的產品或服務是否適合，以及如何用適當的方式來傳達服務或產品的價值?因此，測試、評估、審核在買賣雙方的會話中可以起巨大作用。

擁有大型安全團隊的大型企業經常對自身進行評級和測試，執行評估和自我審計，用以確認需要解決的挑戰和問題。因而，這些大型企業一般都確切的知道哪些問題需要解決。因而，賣方就可以直接問買方他們在找些什麼。購買者往往會非常高興地分享自己優先考慮的問題以及近期和將來的計劃。如果賣方認真傾聽，就會找到所需要的信息。

但是，中小型企業怎麼辦?當然，中小型企業也有需要解決的問題和挑戰。不幸的是，在多數情況下，這些企業並沒有評測自身的資源、財力和人力，很難客觀地評估其安全項目的狀態，也不能有效和客觀地審核安全項目的功能。

這是不是意味著中小型企業必然無法洞察應當投資的資源和時間呢?或者除了大型企業外，買方和賣方就應當總是處於不同的高度呢?當然不是，但是如何克服這種困難?

而這種情況正是自動評測和評估發揮功能的時機。中小型企業需要和大型企業一樣多的評測、評估和審計能力。問題是當前的技術涉及到大量的人工過程。這個過程對大型企業來說還是不錯的，但對於中小型企業來說，存在兩個限製其使用這些服務的因素：

成本：無疑，這種需要人工的勞動密集型過程要求高度熟練的高級人才。這就使得人工的評測、評估、審計成本高昂，而這必然不是中小型企業的財力所能承擔的。

帶寬：除了依賴熟練的技術人才，這種服務還自然存在一個帶寬的限製問題。即使價格不是很高，中小型企業也沒有足夠的帶寬來執行評測、評估、審計服務。

這些問題的解決都需要評測、評估、審計過程的自動化，隻有這樣，中小型企業才能從中受益。

現在又回到了最初的問題上：安全購買者在找什麼?在廠商們問這個問題之前，首先需要給予購買者回答這個問題的能力。而使其能夠自動評測、評估和審計是完成這個任務的一個好方法。

本文作者：趙長林

來源：51CTO

最後更新：2017-11-03 15:04:19

  上一篇：  IBM指出企業應建立"三重防護"認知安全免疫係統

  下一篇：  應對安全漏洞：如何將LFI變為RFI