網絡主管如何穿透營銷噪音 - 《華爾街日報》

Cheryl Winokur Munk

2022-08-02

作者：謝麗爾·維諾庫爾·芒克2022年8月2日上午5:30（美國東部時間）|WSJ專業版企業安全主管們常會收到網絡安全供應商如潮水般的營銷攻勢。圖為7月在波士頓舉行的亞馬遜安全會議。圖片來源：KIM S. NASH/華爾街日報數百家網絡安全公司通過電子郵件推銷、陌生電話和技術會議爭奪首席信息安全官的關注。

以下是企業安全主管用來篩選不合適網絡安全供應商的五種策略。

郵件過濾器

“作為首席信息安全官，來自網絡安全初創企業的營銷和推銷郵件如洪水般湧來，令人應接不暇，”傑裏·佩魯洛説道。他是一位網絡安全管理顧問，曾在紐約證券交易所所有者洲際交易所公司擔任首席信息安全官長達20年，直至2021年離職。他曾統計過被自己設置的過濾器攔截的所有郵件，發現每天收到的推銷郵件超過120封。

他在過濾工具中為這類郵件專門設置了一個類別，公司內部稱之為“UCE”，即“未經請求的商業郵件”。佩魯洛先生表示，由於這些郵件並非惡意且常涉及相關主題，因此精細調整過濾系統至關重要。他提到一個小技巧：攔截所有主題中包含“白皮書”一詞的郵件。

熱情的介紹

位於加州帕洛阿爾託的CyCognito有限公司首席安全官安妮·瑪麗·澤特勒莫耶表示，她更傾向於閲讀那些有熱情介紹的電子郵件，或是來自供應商代表的跟進郵件，這些郵件基於她已表達的興趣。該公司提供網絡風險評估工具。某些郵件她幾乎會立即刪除。

作為萬事達卡公司安全工程副總裁，直到今年初夏，她收到了許多針對金融服務高管的通用郵件，有些郵件稱呼她為“親愛的買家”。其他讓她反感的自動行為包括供應商代理人在未與她交談的情況下發送日曆邀請，以及撥打她的非工作電話號碼。

主動尋找與被追求

在尋找供應商時，首席信息安全官（CISOs）通常更傾向於掌握主動權。對於Principal金融集團公司身份和訪問管理治理助理總監瑞安·赫克曼來説，供應商選擇是一個持續的過程，以確保其團隊的能力與不斷變化的威脅環境保持一致。赫克曼先生直到7月底還是愛荷華州便利店連鎖店Casey’s General Stores公司的網絡安全經理。他回憶説，在最近對Casey’s的能力和需求進行評估時，他希望瞭解哪些行業產品可能成為公司的有用附加組件，因此他在去年夏天的美國黑帽大會上進行了“櫥窗購物”。通過與供應商討論公司的需求，他能夠將選擇範圍縮小到大約六個選項，然後他可以自行研究並徵求同行的意見。

在接下來的幾個月裏，赫克曼先生的網絡安全專家團隊測試了各種平台，並根據當時已知的攻擊向量對每個平台進行了評估。他表示，有些產品被發現會影響最終用户體驗，因此很快被淘汰。其他產品表現良好，需要通過進一步比較集成和管理成本來縮小選擇範圍。赫克曼先生稱，這種實踐方法加上與零售業同行的公開討論，最終促成了產品的選定。

丹麥文檔生成平台Templafy ApS的首席信息安全官埃倫·貝納姆在去年底Log4j漏洞出現後收到了大量郵件。她等待了大約兩週才做出回應，那時她已經獲得了預算和資源來調查供應商。在此期間，貝納姆女士表示，公司自行解決了Log4j漏洞，並開始尋找補充工具。

她的供應商研究包括利用CISO論壇。一位使用開源漏洞掃描工具的首席信息安全官向她展示了該工具，並討論了公司之前使用的另一種解決方案遇到的問題。她説：“這種經驗是無價的。”此後，Templafy實施了這位首席信息安全官展示的工具。

合作伙伴，而非交易

安全主管們表示，一旦將候選名單縮小到一兩個，最終的審查過程會考慮價格、服務和工具定製能力，以及供應商自身的安全實踐和財務穩健性。總部位於費城的科技公司Crossbeam Inc.的首席信息安全官克里斯·卡斯塔爾多表示，入選的供應商通常願意適應客户的需求。該公司幫助企業尋找新的商業夥伴和客户。

“你能看出一個人是否真正熱衷於將你的問題當作他們自己的問題來解決，”他説。

追求專業精神

澤特勒莫耶女士表示，篩選供應商的一個方法是淘汰那些顯得躲閃、不提供所要求信息或純粹馬虎的供應商。她強調，供應商理解客户需求並避免粗心錯誤至關重要。有一家供應商甚至沒有個性化推介方案，直接向她展示了為另一家公司準備的材料。“這聽起來很基礎，但（有些）供應商就是做不到位，”她説，“在安全領域，有3000家供應商，沒有誰真正不可替代的。”