Siber güvenlik satıcı pazarına baktığınızda, çoğu satıcının ürünlerine erişimi kolay hale getirmediğini, potansiyel müşterilerin bir dizi demoya katılmasını, çok yıllı sözleşmeler imzalamasını ve minimum harcama taahhüdünü, minimum sayıyı taahhüt ettiğini fark etmemek zor. uç noktalar veya bunların bazı kombinasyonları. Siber güvenlik şirketlerinin bu davranışının birkaç geniş kapsamlı sonucu vardır.
Geçitli Güvenlik Ürünleri, Güvenlik Yeteneği Eksikliğini Sürdürüyor
Siber güvenlik endüstrisindeki uygulayıcıları minimum harcama gereksinimlerini karşılayarak ve uzun vadeli sözleşmeler imzalayarak “nitelik kazanmaya” zorlayan satış modeli, yetenek eksikliğini sürdürüyor. Giriş düzeyindeki profesyoneller, uç nokta algılama ve yanıt verme, kimlik yönetimi, varlık yönetimi, güvenlik otomasyonu, orkestrasyon ve sektörde her yerde yaygın hale gelen diğerleri gibi bir iş bulmaları için kullandıkları araçları kullanmayı öğrenme fırsatından etkili bir şekilde mahrum bırakılır. Bu, kısır bir yakalama-22 yaratır: X ürününü kullanma deneyiminiz yoksa, işe alınamazsınız ve zaten sektörde değilseniz araçla deneyim kazanamazsınız.
Bugün hevesli gençler, YouTube’da videolar izleyerek, binlerce bayrağı kapma (CTF) yarışmasından birine katılarak veya bug ödül yarışmalarına katılarak saldırı güvenliği alanında bir kariyere başlayabilirler. Bununla birlikte, mavi bir takımda işe alınmaları için gereken becerileri biriktirmek için, hiçbir şekilde erişilemeyen araçlara erişimleri gerekir.
Kapı Güvenlik Ürünleri Dışlanmaya Yol Açar ve Çeşitlilik Çabalarına Zarar Verir
Güvenlik ürünlerine erişimin kısıtlanması, yeterince temsil edilmeyen gruplardan insanların halihazırda en son araçlara erişimi olan işletmelerde istihdam edilen daha şanslı akranlarına kolayca yetişemediği durumlar yaratır. Başka bir deyişle, çeşitliliği artırma ve sektördeki yeterince temsil edilmeyen gruplardan daha fazla insan alma çabalarını alenen savunan şirketler aslında aynı kişilerin siber güvenliğe girmesini zorlaştırıyor.
Yeterince temsil edilmeyen geçmişlere sahip motive olmuş ve azimli insanların boş zamanlarını çalışarak ve kariyer basamaklarını yükseltebilmek için becerilerini geliştirmeye çalışarak geçirdiklerini görmek alışılmadık bir durum değil. Burslar ve hibeler kesinlikle yardımcı olsa da, daha da etkili olabilecek şey, onlara yeni beceriler geliştirmek, özgeçmiş oluşturmak ve işe alınmak veya terfi etmek için ihtiyaç duydukları araçlara erişim sağlamaktır.
Erişilemeyen Güvenlik Ürünleri Küçük İşletmeleri Savunmayı Zorlaştırıyor
İster bir olay müdahale firması ister yönetilen bir güvenlik hizmeti sağlayıcısı (MSSP) olsun, kendi hizmet işini kurmakla ilgilenen birçok güvenlik uzmanıyla tanıştım. Sorun şu ki, hevesli bir girişimci için başlamak zordur: Pazar inanılmaz derecede rekabetçi olmakla kalmaz, aynı zamanda her şeyi ayarlamak için gereken araçlara erişmek de zordur.
Küçük ve orta ölçekli işletmelerin (KOBİ’ler), siber güvenlik hakkında fazla bir şey bilmedikleri ve güvenlik duruşlarını güçlendirmeye nereden başlayacakları konusunda pek bilgi sahibi olmadıkları için siber suçların kurbanı oldukları gerçeğinden bahsetmeyi seviyoruz. Büyük güvenlik firmaları, tanımları gereği küçük oldukları ve bir iş fırsatı kadar çekici olmadıkları için genellikle KOBİ’leri görmezden gelirler: Çok şeye ihtiyaçları vardır, ancak biraz öderler. KOBİ odaklı hizmet sağlayıcıların devreye girebileceği yer burasıdır.
Kendi işlerini yapma konusunda güçlü bir istek duyan ve kendi alanlarındaki şirketlere yardım etme becerisine sahip birçok güvenlik uzmanı vardır. Sorun şu ki, bir uç nokta algılama ve yanıt (EDR), varlık yönetimi veya bulut güvenlik duruş yönetimi çözümüne erişmek için çok yıllı anlaşmalar imzalamaları ve minimum harcamayı tahmin etmeleri ve hatta taahhüt etmeleri gerekiyor. Bariz nedenlerden dolayı, modeli çalıştırabileceğini kanıtlamamış birinden çok yıllı bir taahhüt istemek makul değildir. Başlamaya çalışan insanlar, açık kaynaktan yararlanmak için yeterli bilgiye sahip olmadıkça, genellikle şansları tükenir ve daha denemeden fikirlerinden vazgeçmek zorunda kalırlar.
Geleceğe Bakmak
Son birkaç yılda siber savunmayı teşvik etmek için çok ilerleme kaydettik: Güvenlik uygulayıcıları için daha fazla topluluk, daha fazla mavi takım odaklı etkinlik ve daha fazla savunma merkezli bayrakları ele geçirme var. Ayrıca endüstride açık kaynağın yükselişini ve ürünlerine erişimi açmaya başlayan güvenlik tedarikçilerinin sayısının arttığını görüyoruz. Bu yaklaşımı ürün odaklı büyüme olarak adlandırıyoruz. Bu değişiklikler harika ve daha fazlasına ihtiyacımız var.
Görünüşe göre bugün çoğu güvenlik satıcısı, sektör için yetenek eksikliğinin ne kadar kötü olduğu hakkında düşünce liderliği içeriği oluşturuyor, ancak çok azı, araçlarını nasıl kullanacaklarını öğrenerek insanların işe hazır hale gelmelerini kolaylaştırıyor. Geçitli ürünlerin, gelecek vadeden güvenlik profesyonellerinin kariyerleri üzerindeki gerçek hayattaki etkisi önemlidir. Aynı şey KOBİ’leri güvence altına alma sorunu için de geçerlidir.
Siber güvenlik ürünlerini daha erişilebilir hale getirmek, sektördeki tüm sorunları çözmeyecektir, ancak birkaçını çözmemize yardımcı olacaktır ve bu nedenle yapmaya değer.