网络主管如何穿透营销噪音 - 《华尔街日报》

Cheryl Winokur Munk

2022-08-02

作者：谢丽尔·维诺库尔·芒克2022年8月2日上午5:30（美国东部时间）|WSJ专业版企业安全主管们常会收到网络安全供应商如潮水般的营销攻势。图为7月在波士顿举行的亚马逊安全会议。图片来源：KIM S. NASH/华尔街日报数百家网络安全公司通过电子邮件推销、陌生电话和技术会议争夺首席信息安全官的关注。

以下是企业安全主管用来筛选不合适网络安全供应商的五种策略。

邮件过滤器

“作为首席信息安全官，来自网络安全初创企业的营销和推销邮件如洪水般涌来，令人应接不暇，”杰里·佩鲁洛说道。他是一位网络安全管理顾问，曾在纽约证券交易所所有者洲际交易所公司担任首席信息安全官长达20年，直至2021年离职。他曾统计过被自己设置的过滤器拦截的所有邮件，发现每天收到的推销邮件超过120封。

他在过滤工具中为这类邮件专门设置了一个类别，公司内部称之为“UCE”，即“未经请求的商业邮件”。佩鲁洛先生表示，由于这些邮件并非恶意且常涉及相关主题，因此精细调整过滤系统至关重要。他提到一个小技巧：拦截所有主题中包含“白皮书”一词的邮件。

热情的介绍

位于加州帕洛阿尔托的CyCognito有限公司首席安全官安妮·玛丽·泽特勒莫耶表示，她更倾向于阅读那些有热情介绍的电子邮件，或是来自供应商代表的跟进邮件，这些邮件基于她已表达的兴趣。该公司提供网络风险评估工具。某些邮件她几乎会立即删除。

作为万事达卡公司安全工程副总裁，直到今年初夏，她收到了许多针对金融服务高管的通用邮件，有些邮件称呼她为“亲爱的买家”。其他让她反感的自动行为包括供应商代理人在未与她交谈的情况下发送日历邀请，以及拨打她的非工作电话号码。

主动寻找与被追求

在寻找供应商时，首席信息安全官（CISOs）通常更倾向于掌握主动权。对于Principal金融集团公司身份和访问管理治理助理总监瑞安·赫克曼来说，供应商选择是一个持续的过程，以确保其团队的能力与不断变化的威胁环境保持一致。赫克曼先生直到7月底还是爱荷华州便利店连锁店Casey’s General Stores公司的网络安全经理。他回忆说，在最近对Casey’s的能力和需求进行评估时，他希望了解哪些行业产品可能成为公司的有用附加组件，因此他在去年夏天的美国黑帽大会上进行了“橱窗购物”。通过与供应商讨论公司的需求，他能够将选择范围缩小到大约六个选项，然后他可以自行研究并征求同行的意见。

在接下来的几个月里，赫克曼先生的网络安全专家团队测试了各种平台，并根据当时已知的攻击向量对每个平台进行了评估。他表示，有些产品被发现会影响最终用户体验，因此很快被淘汰。其他产品表现良好，需要通过进一步比较集成和管理成本来缩小选择范围。赫克曼先生称，这种实践方法加上与零售业同行的公开讨论，最终促成了产品的选定。

丹麦文档生成平台Templafy ApS的首席信息安全官埃伦·贝纳姆在去年底Log4j漏洞出现后收到了大量邮件。她等待了大约两周才做出回应，那时她已经获得了预算和资源来调查供应商。在此期间，贝纳姆女士表示，公司自行解决了Log4j漏洞，并开始寻找补充工具。

她的供应商研究包括利用CISO论坛。一位使用开源漏洞扫描工具的首席信息安全官向她展示了该工具，并讨论了公司之前使用的另一种解决方案遇到的问题。她说：“这种经验是无价的。”此后，Templafy实施了这位首席信息安全官展示的工具。

合作伙伴，而非交易

安全主管们表示，一旦将候选名单缩小到一两个，最终的审查过程会考虑价格、服务和工具定制能力，以及供应商自身的安全实践和财务稳健性。总部位于费城的科技公司Crossbeam Inc.的首席信息安全官克里斯·卡斯塔尔多表示，入选的供应商通常愿意适应客户的需求。该公司帮助企业寻找新的商业伙伴和客户。

“你能看出一个人是否真正热衷于将你的问题当作他们自己的问题来解决，”他说。

追求专业精神

泽特勒莫耶女士表示，筛选供应商的一个方法是淘汰那些显得躲闪、不提供所要求信息或纯粹马虎的供应商。她强调，供应商理解客户需求并避免粗心错误至关重要。有一家供应商甚至没有个性化推介方案，直接向她展示了为另一家公司准备的材料。“这听起来很基础，但（有些）供应商就是做不到位，”她说，“在安全领域，有3000家供应商，没有谁真正不可替代的。”