網絡安全供應商在兜售騙人的萬靈藥嗎？

新型安全產品層出不窮，花在網絡安全上的預算也水漲船高，但安全事件冒頭的速度似乎超越了安全產品和網絡安全預算增長的速度。Egress軟件技術公司調研分析報告的主題，就是不斷增長的網絡安全支出與網絡安全有效性的明顯提升之間基本不存在相關性。

Statista數據平臺的資料顯示，僅2022年第二季度就發生了5200萬數據泄露。基于此，Egress就為什么安全供應商所售產品名不副實的問題調研了800位網絡安全負責人及IT主管。調研的主要結果是，91%的決策者都因供應商模糊營銷其具體產品而難以選擇網絡安全供應商。

在這方面，財務投資周期起不到什么作用。對很多投資人而言，管理團隊的能力比產品更重要。爭論的焦點不在于產品是不是網絡安全萬靈丹，而在于管理團隊能不能帶領公司拿下可觀利潤。 

只要拿到投資，其中大部分都會投到營銷當中。營銷必須拼過現有的成熟供應商，所以往往更高調、更激進、更夸張。營銷噪聲會帶來高估值，讓投資人可以成功獲利撤出。

當然，以上只是過度簡化的描述，情況也不總是這樣。但是，這種情況確實存在，而且與產品的真實有效性并無關聯。毫無疑問，很多產品是被逐利投資人的營銷資金給過度炒作了。

基于人工智能（AI）的下一代反惡意軟件產品與基于特征碼的傳統殺毒軟件產品之間的早期“戰爭”，就是此類炒作的一個實際樣例。事實上，“下一代”產品照樣需要使用特征碼，而傳統產品也早在十年前就已經在用AI了。 

然而，激進的市場營銷將AI推到了聚光燈下，引入了一系列新問題：誤報增多、員工出現警報疲勞，以及需要更多高薪威脅分析師。至于效果如何？人員配置增加，新產品支出增長，安全技術棧復雜性上升，但安全事件總體上并未減少。

安全意識培訓是營銷炒作帶來不現實安全提升預期的另一個例子。96%的受訪者認為，培訓能夠長久改善員工的行為，但事實表明并非如此。

所有“官方”建議都是意識培訓是安全的重要組成部分。而大多數意識培訓產品可以證明其服務能夠降低客戶的網絡釣魚上鉤率，比如說從50%降低到10%。這聽起來似乎是場勝利，直到你想起來只要上鉤一次就能導致災難。而且，花在意識培訓上的錢對減少始于網絡釣魚的數據泄露數量壓根兒沒有什么太大的效果。

還有另一個因素需要考慮：安全法規的影響。發生數據泄露會受到監管處罰。但如果發生數據泄露的公司能證明采取了實際行動來阻止數據盜竊，那么GDPR之類的罰款會降檔。安全防御措施不能杜絕黑客入侵公司，但能保護公司免于遭到最嚴重的不合規處罰。

網絡保險也開始產生類似的效果了，公司得裝上特定的防御措施，但不是出于自己的選擇，而是只有這樣才能獲得網絡保險。未來幾年里，這種來自保險行業的需求可能會增長。

也就是說，加大力度使用最新安全產品具有非關效率的巨大價值。而看不穿營銷炒作、遵循官方建議，以及合規與保險要求，幾個因素疊加，使得安全決策者困惑于到底買了個什么產品、為什么會買下這個產品、它能實現什么功能、該怎么融入整體安全態勢。Egress的調研清晰呈現了這一結果。

49%的受訪者認為自身安全技術棧過于復雜，而48%的受訪者認為自身安全技術棧難以管理。49%的受訪者表示受到供應商擴張的影響而導致攻擊面擴大。安全產品也和其他軟件一樣存在漏洞。

新技術總是難以掌握并高效使用的。77%的IT主管在用基于人工智能的產品；但其中只有66%聲稱了解AI是怎么增幅其安全措施有效性的。

Egress聯合創始人兼首席執行官Tony Pepper認為，安全供應商有時會利用市場情況兜售蒙人的所謂萬靈丹。“安全行業競爭激烈，初創公司和老牌巨頭都在同一領域不斷推陳出新，試圖跟上別人的腳步又彰顯自己的新意。身處門類創建、產品發布、熱詞涌現、首字母縮寫泛濫的隆隆噪聲中，網絡安全買家持續投資降低風險的各種機制，但這些投資實際上往往與其初衷大相徑庭。”