安全产业的死亡

  • 布鲁斯·施奈188滚球网站尔
  • IEEE安全与隐私
  • 2007年11月/12月

在IT安全领域工作最困难的是说服用户购买我们的技术。大量的精力集中在这个问题的风险分析上,ROI模型然而,审计仍然没有安装关键技术,重要的网络仍然不安全。我经常被沮丧的安全供应商问到如何解决这个问题,遗憾的是,我没有很好的答案。但我知道问题是暂时的:从长远来看,我们所知道的信息安全行业将会消失。

整个IT安全行业都是一场意外:是计算机行业如何发展的产物。电脑很难使用,你需要一个由专家组成的IT部门来让它工作。与其他成熟的高科技产品,如电力和照明产品相比,供暖和空调,汽车和飞机。没有一家公司有汽车技术部门,充满了汽车极客安装最新的发动机模型,帮助用户从不可避免的车祸中恢复。

它正朝着这个方向发展:当它变得更实用时,用户购买的服务多于产品。从本质上说,服务更多的是结果,而不是技术。从家庭用户到跨国公司的服务客户对技术细节不太关心,只是希望它能发挥作用。

八年前,在大型IT部门不想真正处理网络安全的前提下,我组建了反平面网络安全。他们想驾驶飞机,生产药品,管理财务账户,或者只关注他们的核心业务。Countane提供了一系列服务,使我们的客户无法掌控日常安全,包括:安全监控,安全设备管理,事件响应。安全是我们的客户购买的,但他们在寻找结果,不是细节。

去年,英国电信收购了反垃圾邮件,并将我们的网络安全服务嵌入其IT基础设施中。英国电信的客户根本不想处理网络管理问题;他们只想让网络正常工作。他们希望互联网像电话网络一样,一个电网,或者简而言之是一个水系统,他们希望它是一个实用工具。对于这些客户,安全甚至不是他们购买的东西:

这只是大型IT服务交易的一小部分。IBM收购ISS的原因与此相同:为了向客户销售更为集成的解决方案。

已经,有一小部分公司将其公司电子邮件外包给谷歌等公司。如果您有新的电子邮件安全解决方案,说服谷歌将其嵌入其电子邮件服务远比试图将其出售给用户更有效。

这就是IT行业的发展方向,当它到达那里,在像InfoSec和RSA这样的用户会议中没有意义。它们不会消失;它们只会成为行业会议。如果你想测量进度,看看这些会议的人口统计。向面向基础设施的与会者转变是衡量成功的一个指标。

当然,安全产品不会消失。还有防火墙,防病毒软件,以及各种新技术和新产品。但用户不会关心它们。相反,新技术将嵌入到英国电信等大型IT外包公司销售的服务中。EDS,和IBM,或者像EarthLink和Comcast这样的ISP,就像新的汽车技术一样,向汽车制造商销售,而不是个人车主。

这是进步。IT安全至关重要,但是没有任何理由让用户知道什么是具有状态协议分析的入侵检测系统,或者为什么它有助于发现SQL注入攻击。当它淡入背景并变成另一个实用程序时,用户只希望它能工作。它如何工作的细节无关紧要。

类别:证券业务计算机和信息安全

布鲁斯·施耐尔的照片。188滚球网站

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是IBM弹性.