从不停滞的安全:我从指导初创企业中学到的东西
我一直对有创意的新产品充满热情。由于威胁形势不断变化,网络安全对产品创新几乎有着无限的需求。这正是过去 5 年来,这个领域让我如此兴奋不已的原因。我甚至会说威胁行为者本身就是最有影响力的创新者:每当开发新工具来阻止威胁行为者时,攻击者都会迅速开发新战术来绕过这些防御措施。
作为一家帮助指引旅客前往新目的地的公司的 CISO,我曾有机会与几家创新型公司合作,共同探索其发展之路。我非常乐意帮助初创公司完善其产品和产品开发策略,而且坦率地说,担任导师也有助于我学习保护组织安全的新方法。
我从未想过自己会成为一名导师,但因为我在 KAYAK 担任重要职位,很多人向我寻求建议(在讲述这个故事之后,这种情况可能会更加频繁!)。作为一名 CISO,很容易陷入这样的思维陷阱:“我没有时间做这件事”。事实上,没有人有多余的时间,每个人的时间都非常宝贵。但我会腾出时间提供辅导,因为我认为这会产生更广泛的影响,有助于推动网络安全领域的持续创新。
众所周知,初创企业对网络安全生态系统(以及整个创新生态系统)至关重要。它们的成长会让所有公司受益,并且能够创造新的就业机会,推动经济增长。这是一个良性循环:作为技术服务的买家,我希望拥有良好创意的网络安全初创企业可以蓬勃发展并获得更多客户,这样一来,它们反过来就可以投入更多资金来改进产品。随着公司财务状况尽早变得独立可行,其产品质量也会更快提升。(传统科技公司并不总是会表现出同样的紧迫感)。
这也涉及个人因素。我喜欢与充满激情的年轻人和公司一起合作,并见证它们的成长。这有点像家长养育孩子。我热衷于新颖创意并寻找改进产品的方法,因此,我认为值得花一些时间来帮助其中一些公司。
实践中的辅导情形
大公司也不错,但与小公司相比,其冒险尝试的风险要高得多。这导致大公司更加难以实现创新。大公司倾向于保护其现有产品,而不是尝试开发下一个新产品,或者简单地收购下一个重大产品,并通过收购来拓展业务。小公司则有更多创新机会,因为员工可能会冒更大的风险,而且需要克服的官僚主义障碍更少。
但初创公司面临着巨大的挑战。它们需要的不只是一个好创意。定义一个面向大众客户群的市场(或进入一个已成定局的市场类别)不仅仅是为单个客户群解决单一问题。初创公司往往难以将创意提升到下一个更高层次,这就为导师创造了用武之地。
大多数人的时间都是有限的,因此,必须优先考虑辅导对象和方式。建立辅导关系之前,我会问自己三个问题:
他们是否制定了清晰的产品愿景,以及期望如何逐步推动产品演变?
他们是否热衷于实现这个愿景?
该公司的业务领域是否令我感兴趣且感到兴奋?
新的初创公司有很多机会可以开发和拓展一款产品,某天我也会考虑自己公司使用该产品。例如,现在我看到了很多围绕身份和访问管理、Zero Trust 网络以及网络微分段的创新方案,我个人对这些领域的项目很感兴趣。看到导师制改变一个公司的命运,这会产生一种特别的感觉。有一个具体的示例:我开始与一家安全公司建立了合作关系,该公司正在努力解决如何安全地加入并保护独立承包商的身份问题。这家公司最初的愿景激起了我的兴趣,我们的对话从分享彼此的想法开始。三年来,我定期就产品创意提供反馈,指出它们计划中的漏洞并帮助提供替代解决方案。最终,它们的产品演变为身份威胁检测响应 (ITDR)。
在每一个阶段,我详细了解该公司想要实现的目标以及有待改进的问题,包括信噪比(详见下文)。虽然这不能全算我一个人的功劳,但我们双方的努力得到了回报:该初创公司被一家财富 100 强公司收购,并且我依然会不时为该公司提供建议。
所有这些互动都帮助我获得了新的视角,我可以将这些观点用于推动自己所在组织的创新。
辅导方式因人而异,具体取决于导师的个人能力和学员的具体需求。有些公司可能需要导师提供持续的建议,而另一些公司则可能只需要导师通过一两次会议引导学员走上正轨。因此,这在很大程度上取决于初创公司所处的发展阶段:它们是否只有一个想法、解决方案模型,或是拥有一款成熟的产品。无论哪种情况,导师制应该对涉及的每一个人都有利。
我见过的初创公司面临的常见挑战
正如没有两家完全相同的公司,也没有两种完全相同的辅导互动。尽管如此,我还是建议网络安全公司近年来应该重点关注以下几个领域:
高信噪比。安全工具最大的问题之一是噪音干扰。在高信噪比情况下,用户将投入大量人力资源来跟踪每个通知,从而面临警报疲劳和错过关键警报的风险。能够发出警报并不一定证明警报是合理的。警报是否有效且有价值?还是只会增加工作量?这些都是需要思考的基本问题,因为如果警报过多,往往会被忽略。真正重要的不仅只是警报的数量,还有警报的质量。用户都希望发送的基本信号简单易懂,以便可以省时省力地进行分析。
易于实施。很多公司的产品实在是难以实施。每家公司都宣称只需 15 分钟即可实施,但事实并非如此。我发现很多公司都犯了一个错误,也就是期望人们在图形用户界面 (GUI) 前花费数小时来配置产品。这种做法比较低效,尤其是在大规模环境中。公司应该侧重于使用 API 和自动化流程进行设置,当然,也应该考虑持续使用问题。
SOC2 或 ISO 27001 合规。我承认,我对技术比合规更感兴趣,我认为自己不是唯一一个有这种想法的人。但对于处理敏感数据的云公司来说,遵守其中的标准之一至关重要。因为这是获得企业客户信任的唯一途径,并且需要尽早将合规要求纳入对话。
虽然我不是营销人员,但我经常是目标买家。因此,我会敦促初创公司定义其价值主张。这可能是一个巨大的挑战,但如果其价值观让我产生共鸣,那么我认为也会引起其他 CISO 的共鸣。
有所付出,有所回报
辅导并不是一种单向关系。当然,我会提供指导,但同时也会从中有所收获。我接触一种新颖的安全观点后,也有可能有机会改进自己所在组织的流程。
总是有更多东西需要学习,而且一些最好的创意可能源自新的对话。例如,在辅导 ITDR 公司的过程中,我了解到 IAM 会话长度并不是我想象的那样,而是可以纠正的。
我是一个信息收集迷。与那些对相同话题感兴趣的人士交谈,会让我获得智力启发并充满活力。这就是我每天的工作动力和乐于推动其他领导者取得进步的原因。此外,帮助他人取得成功,也会让自己产生一种自豪感。
创始人积极创建和创新,是因为这是他们热爱的事情。但经营公司并不像跳上自行车那么简单,许多初创公司仍然以失败告终。辅导会为这些公司提供额外的动力,让它们有机会将创意变为现实。
避免利益冲突
KAYAK 制定了严格的合规与道德计划。如果我认为产品适合 KAYAK,与供应商合作可能会产生利益冲突的风险。为了降低这种风险,我个人的做法是:按照 KAYAK 的要求填写披露声明,并让我的团队做出最终决定,确定某个产品是否适合我们公司。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
作者
Tom Parker
KAYAK 公司的 IT 副总裁兼 CISO
关键要点
阅读本文后,您将能够了解:
导师制会产生更广泛的影响,有助于推动网络安全领域的持续创新
初创公司往往难以将创意提升到下一个更高层次,这就为导师创造了用武之地
导师制让导师有机会改进其所在组织的流程