Tiga tanda vendor keamanan siber Anda mungkin mempermainkan sistem
Bagi Anda yang hadir pada acara Konferensi RSA pada bulan April, saya yakin akan ada banyak email vendor, panggilan telepon, dan permintaan rapat LinkedIn. Meskipun saya yakin banyak vendor yang meminta rapat menawarkan produk atau layanan yang tidak Anda ketahui untuk tahun 2023-2024, mungkin ada beberapa yang ingin Anda uji untuk melihat apakah mereka dapat memberikan hasil yang lebih baik daripada yang Anda gunakan saat ini. Untuk vendor tersebut, setelah pertemuan pengantar wajib, beberapa diskusi teknis, atau bahkan panggilan referensi pelanggan, Anda akan ditawari Bukti Konsep (kadang-kadang juga disebut Bukti Nilai). Tradisi yang sudah lama ada ini memungkinkan Anda untuk “uji sendiri produknya.”
Selama PoC, vendor mencoba menunjukkan kepada Anda bagaimana produk mereka menghentikan lebih banyak serangan, mendeteksi lebih banyak email phishing, menemukan lebih banyak situs web berbahaya, dan sejenisnya untuk memvalidasi klaim pemasaran mereka. Maksud di balik penawaran PoC sangat masuk akal dan seharusnya membantu pembeli menghindari pembelian produk dengan kemampuan yang terlalu diunggulkan. Namun sayangnya, terlalu sering, produk yang tampaknya berkinerja baik selama PoC tidak memberikan hasil yang sama setelah diterapkan sepenuhnya di lingkungan pembeli.
Bagaimana ini bisa terjadi? Selama hampir 20 tahun saya membangun, menjual, dan memasarkan keamanan cyber produk, saya telah melihat berbagai cara vendor mencoba mengakali PoC ini. Berikut tiga tanda bahwa PoC Anda mungkin tidak jujur.
“Kami menyediakan semua data di lingkungan kami, jadi Anda tidak perlu khawatir tentang hal itu.”
Faktanya adalah pengujian yang menyeluruh keamanan cyber Produk yang mengandalkan beberapa jenis ancaman eksternal atau sejumlah besar data internal untuk melatih model pembelajaran mesin bisa jadi merepotkan. Karena tidak ada praktisi keamanan yang mau, atau seharusnya, setuju untuk menguji produk yang tidak dikenal di lingkungan produksi mereka, mereka akan memerlukan lingkungan pengujian yang cukup tangguh untuk menguji produk baru ini. Mengingat persyaratan ini, akan tergoda untuk menerima tawaran vendor untuk melakukan pengujian menggunakan data mereka di lingkungan vendor. Jika Anda memikirkannya sebentar, ini seperti meminta siswa untuk menulis pertanyaan untuk ujian akhir mereka. Tidakkah Anda berpikir pengujian di lingkungan vendor dengan data mereka mungkin akan mendistorsi hasil yang menguntungkan mereka? Tentu saja. Meskipun tidak ada yang ingin PoC mereka memakan waktu lebih lama dari musim hoki NHL, Anda harus menyediakan data untuk memeriksa produk dengan benar. Beberapa vendor mungkin menawarkan penggunaan beberapa alat yang mensimulasikan serangan, yang masuk akal, selama Anda, sebagai calon pelanggan, memiliki pilihan untuk menggunakannya atau tidak. Cara terbaik untuk mengurangi panjang PoC adalah dengan memilih dua atau tiga kasus penggunaan yang menjadi target Anda, maksimal, dan menyediakan data yang diperlukan untuk kasus penggunaan tersebut saja. Idealnya, produk yang Anda uji akan memudahkan pengintegrasian produk yang menghasilkan data di lingkungan Anda.
“Versi apa yang sedang kami uji? Ini hampir sama dengan produk GA kami. Anda tidak bisa membedakannya.”
Ketika saya memasuki industri keamanan siber dan mempersiapkan PoC, kami meminta calon pelanggan untuk menyiapkan server yang memenuhi persyaratan minimum kami. Kemudian, saya akan menginstal produk secara manual pada mesin tersebut sehingga peserta PoC dapat melihat versi produk yang akan kami gunakan untuk pengujian.
Di dunia saat ini, di mana SaaS menjadi standar, mengetahui versi produk yang Anda uji dapat terasa seperti perjalanan menyusuri lubang cacing. Sayangnya, saya telah mendengar cerita-cerita mengerikan dari para praktisi di mana mereka berada dalam PoC dengan vendor, dan hasilnya luar biasa, sehingga mereka menandatangani kontrak untuk membeli produk tersebut. Maju cepat satu atau dua bulan, dan para praktisi dan manajemen menjadi sangat frustrasi. Produk yang dipasang di lingkungan mereka sama sekali tidak seperti yang mereka uji. Fitur-fiturnya hilang, integrasi yang mereka gunakan tidak dapat ditemukan, dan cerita dari vendor adalah, "Versi itu akan segera keluar." Dalam beberapa kasus, saya tidak melihat masalah menggunakan versi produk yang belum dirilis untuk PoC selama vendor bersikap transparan dengan klien prospektif. Sayangnya, ketika klien merasa seperti vendor mencoba menyembunyikan sesuatu dari mereka, hubungan pelanggan/vendor yang seharusnya kolaboratif dapat langsung menjadi agresif.
“Kami tidak pernah melewatkan ancaman selama PoC.”
Pada tahun 1941, Ted Williams, juga dikenal sebagai Serpihan yang Luar Biasa, memiliki musim yang ajaib di plate, menyelesaikan musimnya dengan Boston Red Sox dengan rata-rata batting .406 yang mengejutkan dan persentase on-base sebesar .553. Banyak sejarawan bisbol berpendapat Ted Williams adalah pemukul paling murni yang pernah bermain dalam permainan tersebut. Hingga saat ini, tidak ada pemukul di AL atau NL yang melampaui rata-rata .400 untuk tahun tersebut. Jadi, apa hubungannya Ted Williams dengan blog tentang PoC keamanan siber? Intinya adalah bahwa tidak ada, baik produk keamanan siber atau pemukul terbaik yang pernah bermain dalam permainan tersebut, yang selalu sempurna. Dapatkah Anda menguji suatu produk terhadap serangkaian vektor ancaman tertentu, dan produk tersebut mengidentifikasi semuanya? Tentu saja. Dapatkah produk tersebut melakukannya secara berurutan dengan ancaman baru selama dua hari, 5, 10, atau bahkan 100 hari? Namun, seyakin yang saya tahu bahwa selama musim 1941 itu, Ted Williams melakukan strike out sebanyak 27 kali, akan tiba saatnya ketika produk baru Anda yang mengilap keamanan cyber produk melewatkan ancaman yang Anda pikir akan terdeteksi.
Selama PoC, jika hasil mentah dari pengujian produk tidak tersedia segera atau Anda melihat orang-orang dari vendor mengerjakan proyek yang belum pernah Anda temui, berhati-hatilah. Anda menyaksikan tim penjualan memanggil bantuan dari pengembang, peneliti intelijen ancaman, atau teknisi perangkat lunak yang mengerjakan penerapan Anda, mencoba mencari tahu mengapa mereka melewatkan ancaman atau suatu fitur tidak berfungsi. Sekali lagi, dapatkah cacat perangkat lunak muncul selama PoC? Tentu saja. Ketika itu terjadi, dapatkah Anda menemukan pengembang dan teknisi men-debug kode secara langsung – pasti. Kuncinya di sini adalah transparansi. Vendor yang etis akan terbuka dengan Anda jika dan ketika cacat muncul. Mereka juga akan menjelaskan mengapa ancaman, jika ada, terlewatkan selama PoC. Ingat, ketika menjalankan PoC produk, Anda harus membandingkan hasilnya dengan apa yang saat ini Anda gunakan dan produk lain yang Anda uji, bukan sistem mitis yang terus-menerus mendeteksi 100% ancaman. Anda mencari hasil yang jauh lebih baik, bukan kesempurnaan.
PoC untuk Rakyat
Dengan begitu banyak produk di pasaran yang mengklaim kemampuan, manfaat, dan hasil yang serupa, hampir mustahil untuk menentukan produk mana yang paling cocok untuk Anda tanpa menjalankan PoC. Oleh karena itu, saya penggemar PoC karena, jika dijalankan secara adil, produk tersebut memberi peluang bagi produk pesaing untuk bersaing secara langsung di dunia nyata.
Biarkan produk terbaik menang.
