Trzy oznaki, że dostawca cyberbezpieczeństwa może oszukiwać system
Dla tych z Państwa, którzy uczestniczyli w tzw Konferencja RSA w kwietniu jestem pewien, że trwa bombardowanie e-mailami dostawców, telefonami i zaproszeniami na spotkania LinkedIn. Chociaż założę się, że wielu dostawców błagających o spotkania oferuje produkty lub usługi, których nie planujesz na lata 2023-2024, prawdopodobnie jest garstka, którą chciałbyś przetestować, aby sprawdzić, czy mogą zapewnić lepsze wyniki niż czego aktualnie używasz. W przypadku tych dostawców, po obowiązkowym spotkaniu wprowadzającym, dyskusji technicznej, a nawet rozmowie telefonicznej z klientem, zaoferowana zostanie weryfikacja koncepcji (czasami nazywana również weryfikacją wartości). Ta uświęcona tradycją tradycja na to pozwala „przetestuj produkt dla siebie”.
Podczas PoC sprzedawca próbuje pokazać, w jaki sposób jego produkt powstrzymuje więcej ataków, wykrywa więcej wiadomości e-mail typu phishing, wykrywa więcej złośliwych stron internetowych itp., aby potwierdzić swoje twierdzenia marketingowe. Zamiar oferowania PoC ma sens i powinien pomóc kupującym uniknąć kupowania produktów z przecenionymi możliwościami. Niestety, zbyt często produkty, które wydawały się działać dobrze podczas PoC, nie zapewniają podobnych wyników po całkowitym wdrożeniu w środowisku kupującego.
Jak to może być? Przez prawie 20 lat budowania, sprzedaży i marketingu bezpieczeństwo cybernetyczne produktów, widziałem prawie każdy sposób, w jaki dostawcy próbują oszukać te PoC. Oto trzy oznaki, że Twój PoC może być mniejszy niż powyżej.
„Wszystkie dane udostępniamy w naszym środowisku, więc nie musisz się o to martwić.”
Faktem jest, że dokładnie testuje bezpieczeństwo cybernetyczne produkty, które opierają się na jakimś zewnętrznym zagrożeniu lub ogromnej ilości danych wewnętrznych do szkolenia modeli uczenia maszynowego, mogą być uciążliwe. Ponieważ żaden specjalista ds. bezpieczeństwa nie zgodziłby się i nie powinien zgodzić się na przetestowanie nieznanego produktu w swoim środowisku produkcyjnym, będzie potrzebował odpowiednio solidnego środowiska testowego, aby przetestować ten nowy produkt. Biorąc pod uwagę to wymaganie, kuszące będzie przyjęcie oferty dostawcy dotyczącej przeprowadzenia testu z wykorzystaniem jego danych w środowisku dostawcy. Jeśli pomyślisz o tym przez chwilę, przypomina to poproszenie uczniów o napisanie pytań na egzamin końcowy. Nie sądzisz, że testowanie w środowisku dostawcy z jego danymi może wypaczyć wyniki na jego korzyść? Oczywiście. Chociaż nikt nie chce, aby ich PoC trwało dłużej niż sezon hokejowy NHL, musisz podać dane, aby prawidłowo zweryfikować produkt. Niektórzy dostawcy mogą oferować użycie niektórych narzędzi symulujących ataki, co jest rozsądne, o ile jako potencjalny klient masz wybór, czy ich użyć, czy nie. Najlepszym sposobem na ograniczenie długości PoC jest wybranie maksymalnie dwóch lub trzech docelowych przypadków użycia i dostarczenie niezbędnych danych tylko dla tych przypadków użycia. W idealnej sytuacji produkty, które testujesz, ułatwią integrację produktów generujących dane w Twoim środowisku.
„Jaką wersję testujemy? To prawie nasz produkt GA. Nie widać różnicy”.
Kiedy wszedłem do branży cyberbezpieczeństwa i przygotowywałem się do PoC, poprosiliśmy potencjalnych klientów o stworzenie serwera spełniającego nasze minimalne wymagania. Następnie ręcznie instalowałem produkt na maszynie, aby uczestnicy PoC mogli zobaczyć, jakiej wersji produktu użyjemy do testów.
W dzisiejszym świecie, w którym standardem jest SaaS, znajomość wersji testowanego produktu może przypominać wyprawę w tunel czasoprzestrzenny. Niestety słyszałem przerażające historie od praktyków, którzy byli w PoC ze sprzedawcą, a wyniki były znakomite, więc zawarli umowę na zakup produktu. Szybko do przodu miesiąc lub dwa, a praktycy i kierownictwo są bardziej sfrustrowani. Produkt zainstalowany w ich środowisku w niczym nie przypomina tego, co testowali. Brakuje funkcji, nigdzie nie można znaleźć integracji, z których korzystali, a historia od dostawcy brzmi: „Ta wersja powinna wkrótce zostać wydana”. W niektórych przypadkach nie widzę problemu z użyciem niewydanej wersji produktu dla PoC, o ile dostawca jest przejrzysty dla potencjalnego klienta. Niestety, gdy klient czuje, że sprzedawca próbuje coś przed nim ukryć, relacja klient-dostawca, która powinna opierać się na współpracy, może natychmiast przerodzić się w wojowniczość.
„Nigdy nie przeoczyliśmy zagrożenia podczas PoC”.
W 1941 roku Ted Williams, znany również jako Wspaniały Splender, miał magiczny sezon na płycie, kończąc sezon z Boston Red Sox z oszałamiającą średnią 406 mrugnięć i procentem bazowym 553. Wielu historyków baseballu twierdzi, że Ted Williams był najczystszym pałkarzem, jaki kiedykolwiek grał w tę grę. Jak dotąd żaden pałkarz w AL lub NL nie przekroczył średniej rocznej 400. Co więc ma wspólnego Ted Williams z blogiem o PoC cyberbezpieczeństwa? Chodzi o to, że nic, czy to produkt cyberbezpieczeństwa, czy najlepszy pałkarz, jaki kiedykolwiek grał w tę grę, nie jest zawsze doskonały. Czy można przetestować produkt pod kątem określonego zestawu wektorów zagrożeń, a produkt identyfikuje je wszystkie? Absolutnie. Czy mógłby to robić kolejno z nowymi zagrożeniami przez dwa dni, 5, 10, a nawet 100 dni? Ale wiem, że w tym sezonie 1941, Ted Williams uderzał 27 razy, nadejdzie dzień, kiedy twój lśniący nowy bezpieczeństwo cybernetyczne produkt nie dostrzega zagrożenia, które według Ciebie miało wykryć.
Podczas PoC, jeśli surowe wyniki testu produktu nie są dostępne od razu lub zauważysz ludzi z dostawcy pracujących nad projektem, których nigdy nie spotkałeś, bądź ostrzeżony. Jesteś świadkiem, jak zespół sprzedaży prosi o pomoc programistów, badaczy danych o zagrożeniach lub inżynierów oprogramowania pracujących nad Twoim wdrożeniem, próbując dowiedzieć się, dlaczego brakuje im zagrożeń lub funkcja nie działa. Ponownie, czy wady oprogramowania mogą ujawnić się podczas PoC? Absolutnie. Kiedy to zrobią, czy możesz znaleźć programistów i inżynierów debugujących kod na żywo – na pewno. Kluczem jest tu przejrzystość. Etyczni dostawcy będą z Tobą szczerzy, jeśli i kiedy pojawi się wada. Wyjaśnią również, dlaczego zagrożenie, jeśli w ogóle, zostało pominięte podczas PoC. Pamiętaj, prowadząc PoC produktu, powinieneś porównywać wyniki z tym, czego aktualnie używasz i innymi testowanymi produktami, a nie z mitycznym systemem, który stale wykrywa 100% zagrożeń. Szukasz znacznie lepszych wyników, a nie perfekcji.
POC dla ludzi
Przy tak wielu produktach na rynku, które mają podobne możliwości, korzyści i wyniki, prawie niemożliwe jest określenie, który będzie dla Ciebie najlepszy bez przeprowadzania PoC. Dlatego jestem fanem PoC, ponieważ prowadzony uczciwie daje konkurencyjnym produktom szansę na zmierzenie się w prawdziwym świecie.
Niech wygra najlepszy produkt.
