网络安全供应商在兜售骗人的万灵药吗？

新型安全产品层出不穷，花在网络安全上的预算也水涨船高，但安全事件冒头的速度似乎超越了安全产品和网络安全预算增长的速度。Egress软件技术公司调研分析报告的主题，就是不断增长的网络安全支出与网络安全有效性的明显提升之间基本不存在相关性。

Statista数据平台的资料显示，仅2022年第二季度就发生了5200万数据泄露。基于此，Egress就为什么安全供应商所售产品名不副实的问题调研了800位网络安全负责人及IT主管。调研的主要结果是，91%的决策者都因供应商模糊营销其具体产品而难以选择网络安全供应商。

在这方面，财务投资周期起不到什么作用。对很多投资人而言，管理团队的能力比产品更重要。争论的焦点不在于产品是不是网络安全万灵丹，而在于管理团队能不能带领公司拿下可观利润。 

只要拿到投资，其中大部分都会投到营销当中。营销必须拼过现有的成熟供应商，所以往往更高调、更激进、更夸张。营销噪声会带来高估值，让投资人可以成功获利撤出。

当然，以上只是过度简化的描述，情况也不总是这样。但是，这种情况确实存在，而且与产品的真实有效性并无关联。毫无疑问，很多产品是被逐利投资人的营销资金给过度炒作了。

基于人工智能（AI）的下一代反恶意软件产品与基于特征码的传统杀毒软件产品之间的早期“战争”，就是此类炒作的一个实际样例。事实上，“下一代”产品照样需要使用特征码，而传统产品也早在十年前就已经在用AI了。 

然而，激进的市场营销将AI推到了聚光灯下，引入了一系列新问题：误报增多、员工出现警报疲劳，以及需要更多高薪威胁分析师。至于效果如何？人员配置增加，新产品支出增长，安全技术栈复杂性上升，但安全事件总体上并未减少。

安全意识培训是营销炒作带来不现实安全提升预期的另一个例子。96%的受访者认为，培训能够长久改善员工的行为，但事实表明并非如此。

所有“官方”建议都是意识培训是安全的重要组成部分。而大多数意识培训产品可以证明其服务能够降低客户的网络钓鱼上钩率，比如说从50%降低到10%。这听起来似乎是场胜利，直到你想起来只要上钩一次就能导致灾难。而且，花在意识培训上的钱对减少始于网络钓鱼的数据泄露数量压根儿没有什么太大的效果。

还有另一个因素需要考虑：安全法规的影响。发生数据泄露会受到监管处罚。但如果发生数据泄露的公司能证明采取了实际行动来阻止数据盗窃，那么GDPR之类的罚款会降档。安全防御措施不能杜绝黑客入侵公司，但能保护公司免于遭到最严重的不合规处罚。

网络保险也开始产生类似的效果了，公司得装上特定的防御措施，但不是出于自己的选择，而是只有这样才能获得网络保险。未来几年里，这种来自保险行业的需求可能会增长。

也就是说，加大力度使用最新安全产品具有非关效率的巨大价值。而看不穿营销炒作、遵循官方建议，以及合规与保险要求，几个因素叠加，使得安全决策者困惑于到底买了个什么产品、为什么会买下这个产品、它能实现什么功能、该怎么融入整体安全态势。Egress的调研清晰呈现了这一结果。

49%的受访者认为自身安全技术栈过于复杂，而48%的受访者认为自身安全技术栈难以管理。49%的受访者表示受到供应商扩张的影响而导致攻击面扩大。安全产品也和其他软件一样存在漏洞。

新技术总是难以掌握并高效使用的。77%的IT主管在用基于人工智能的产品；但其中只有66%声称了解AI是怎么增幅其安全措施有效性的。

Egress联合创始人兼首席执行官Tony Pepper认为，安全供应商有时会利用市场情况兜售蒙人的所谓万灵丹。“安全行业竞争激烈，初创公司和老牌巨头都在同一领域不断推陈出新，试图跟上别人的脚步又彰显自己的新意。身处门类创建、产品发布、热词涌现、首字母缩写泛滥的隆隆噪声中，网络安全买家持续投资降低风险的各种机制，但这些投资实际上往往与其初衷大相径庭。”