С RSA 2023 несколько недель назад сейчас хорошее время, чтобы подумать о том, что я видел, о вещах, которые я узнал, и о вопросах, которые у меня остались. Я провел более 30 встреч, около дюжины обедов и прошел 60 000 шагов вокруг десятков киосков. Когда я размышляю, на ум приходят несколько тем.
Во-первых, приятно видеть, что мы говорим о безопасности как о состоянии бизнеса, в которое нужно инвестировать, а не о диалогах, основанных на страхе, неуверенности и сомнении (FUD). Цепочка поставок, программы-вымогатели и ИИ были темами, как и в предыдущие годы, но никто не чувствовал, что мы прыгаем вглубь. Скорее это было похоже на то, эй, эти вещи здесь, чтобы остаться, нам нужно научиться справляться с ними.
Конечно, поставщики всегда будут использовать запугивающие тактические сообщения. В торговом зале обмен сообщениями был гораздо больше основан на FUD, чем на сцене. Я не уверен, что это было оправдано. Уровень паники по поводу исчезновения долларов, дефицита денег, сокращения бюджетов был постоянным.
Но мы не видим, как исчезают огромные массы долларов. Деньги дороже: процентные ставки растут, поэтому денег становится все меньше. Венчурные капиталисты меньше кредитуют, и поэтому меньше доступно для стартапов. Но это непропорционально сильно влияет на Силиконовую долину. Мы не видим, чтобы корпорации несли огромные убытки. Мы не видим массовых увольнений после увольнений в Силиконовой долине.
Конечно, общие расходы на технологии в целом, а также на ИИ и данные сильно пострадали. Но это в основном потому, что организации не получили ожидаемой окупаемости инвестиций. То, что они делали в области науки о данных, было слишком хрупким и требовало слишком большой поддержки в большинстве случаев, чтобы они могли получить ожидаемую масштабируемость и окупаемость инвестиций.
Мы определенно увидим сокращение общих расходов на ИТ, но я не думаю, что мы увидим крупномасштабное снижение расходов на безопасность, в основном потому, что мы остаемся в нехарактерном восходящем тренде. Я думаю, что мы, вероятно, увидим общее улучшение на три процента по сравнению с семью процентами, но не упадем в минус. Большинство компаний из года в год тратят меньше средств на безопасность, и управление ею по-прежнему остается приоритетной задачей.
Еще одна интересная тема, которую я очень рад видеть, — это реальный взгляд на рамки стандартизации. NIST и MITRE с академической точки зрения очень и очень хороши, но на самом деле они не соответствуют тому, как мы реализуем, что мы делаем или что производят поставщики. Это почти пост-эффект.
Поставщик создает решение, которое кажется инновационным в пространстве, он производит продукт, отвечающий на вызов. Затем, после этого, они говорят, что мы думаем, что это соответствует NIST таким же образом, как и MITRE. «Это решает раздел 5.1.» и т. д. На самом деле это не так, но это самое близкое, что они могут найти.
Эта ситуация с квадратными штифтами и круглыми отверстиями в конечном счете не очень хорошо служит клиентам, но нельзя всю вину возлагать на продавцов. Честно говоря, я не думаю, что кибербезопасность для большинства компаний является действительно стратегической инициативой. Все еще такое ощущение, что нас атакуют, захлопываем люки, всем двигаться как можно быстрее. Таким образом, пока поставщики говорят о FUD, организации не помогают себе.
В ответ нам нужно начать рассматривать безопасность как стратегию технического лидерства. Технический директор, занимающийся разработкой программного обеспечения, не может избежать безопасности как стратегического императива в контексте того, чем он занимается. ИТ-директор, вероятно, какое-то время лучше справлялся с этим. Но разговоры о безопасности на уровне корпоративной архитектуры — это то, где организации найдут наибольшее улучшение.
Каковы ваши мировые стандарты? Имеют ли они смысл? Справятся ли они с вызовом? И думаем ли мы об этих вещах связно, последовательно и обоснованно, и учитываем ли как состояние рынка, так и возможности организации?
Это приводит к рабочей силе. Сейчас проще нанять ИТ-специалистов и облачных специалистов, но безопасность по-прежнему остается кошмаром, верно? Так что думать о том, как любое изменение повлияет на тех самых людей, которые должны им управлять, я думаю, будет очень важно.
Любая веская причина отказаться от перехода к технологии, которая может показаться крутой или интересной, потому что трансформация рабочей силы, необходимая для некоторых из этих инструментов, никогда не бывает незначительной. Он может варьироваться от низкого до высокого, но всегда должен учитываться.
Я бы также сказал, что если вы занимаетесь модернизацией приложений или облачными технологиями, безопасность должна быть в центре внимания. И я не имею в виду, что это должно быть в центре внимания, потому что это важнее, чем разработка программного обеспечения.
В нативном облаке вы, вероятно, разобрались с компонентами сервисной сетки и, вероятно, разобрались со своей стратегией контейнеризации. Но командам разработчиков программного обеспечения необходимо начать сосредотачивать все больше и больше активной энергии на изучении и понимании безопасности и сетей.
В облаке сеть и безопасность идут рука об руку. Что беспокоит людей, с которыми работают разработчики, так это отсутствие понимания того, как они работают, и я бы рекомендовал потратить время на то и другое. Недавно я провел вебинар, на котором рекомендовал инженерам DevOps получить образование, эквивалентное сети плюс или CCNA, или что-то подобное.
Учитывая, что специалистов по безопасности найти сложно, в этом году меня очень заинтересовала компания InfoSec. InfoSec занимается обучением и сертификацией аналитиков безопасности, но теперь у них также есть агентство по трудоустройству. В рамках размещения они проведут сертификацию. Итак, если кто-то говорит что-то в своем резюме, вы знаете, что он прошел тестирование и получил сертификат на это.
Кроме того, допустим, вам сегодня нужно 10 человек, ваш бюджет немного мал, и вы хотите со временем увеличить их до должностей, у Infosec также есть программа «обучения на рабочем месте», где они сразу же размещаются, начинают обучение программа с ними.
Они приходят по более низкой ставке, тренируются в течение года или двух лет и все время получают повышение? Ваша стоимость соответствует их возможностям, но вы сразу получаете людей, и они растут и развиваются вместе с вашей растущей и развивающейся практикой безопасности. Мы не говорили о ценах, но обсудили, насколько важно для них быть конкурентоспособными с другими агентствами.
Выскочило еще несколько компаний. Nokia, например, четко определила свое место на рынке, фактически заявив, что мы специализируемся на телекоммуникационных услугах. Компания, которая может сказать: «Это наш рынок, он узкий, и мы хотим сосредоточиться на нем», вселяет в меня большую уверенность.
OpenText продолжает меня удивлять: компания, которая может быть монолитной и с которой трудно работать, на самом деле, кажется, сосредоточена на том, чтобы с ней не было сложно работать, на покупке хороших продуктов, их согласованном соединении и предоставлении результатов, которые полезны и применимы для организаций. Они, как правило, склоняются к большей стороне среднего рынка, что является хорошим местом для них.
Мне понравился подход SyxSense к унификации управление исправлениямитехнологичный подход WIB к безопасность APIа также быстрая доставка Keeper в соответствии с его дорожной картой для управление паролями. HackerOne тестирование на проникновение как услуга имеет большую ценность, особенно если вы объедините его с программой вознаграждения за обнаружение ошибок, и стоит проверить Splunk (не та компания, которой он когда-то был) SIEM.
В целом, конференция была посвящена выполнению работы, а это означает, что нужно думать о безопасности стратегически, а не спешить, закрывая двери конюшен. Вместо этого сделайте безопасность деловым разговором, который повлечет за собой правильные разговоры, стандарты и правильные продукты от правильных поставщиков.
Если вы отвечаете за стратегию безопасности, вы можете рассмотреть этот сдвиг на рынке и то, как он повлияет на вашу организацию, а также изучить, как структуры стандартизации согласуются с потребностями вашей компании. Что касается конкретных действий, я рекомендую вам оценить влияние трансформации рабочей силы на ваших сотрудников и подумать о том, как повысить квалификацию в мультиоблачном мире.
RSA была фантастической конференцией, и я планирую войти в систему и посмотреть как можно больше сессий. Надеюсь, вы нашли это полезным, и я поговорю со всеми вами позже.
2023-06-01 15:23:01
1686139456
#Темы #тренды #RSA
