如何更辩护

据谷歌的工程师称，缺乏技术买家迫使IT供应商迫使IT供应商提供更多安全产品的安全挑战，这是企业在今天所面临的安全挑战。

谷歌的逆向工程师和漏洞研究员托马斯杜里安（谷歌）在新加坡的黑色帽子上讲述了一个有空的IT安全从业者的受众，这是一个问题所在的事实，即IT市场由一些大型供应商占主导地位。

“随着这些大规模的集团在一方面，企业真正没有市场力量，”杜蕾尔说，谷歌在2011年收购的安全分析软件公司语音创始人的哈尔瓦尔片。

“现实地，大多数企业购买硬件和软件，他们对设计过程的投入很少 - 而Ciso [首席信息安全官]甚至不那么说，”他补充道。

由于这种市场动态，突出了整个网络安全行业，以弥合企业想要的安全产品与市场上可用的内容之间的差距。

“我们有安全供应商认识到我们无法获得我们想要的东西，所以他们试图销售我们的近似值，”他说。

杜蕾尼州指出，安全产品“非常令人费解”。例如，一些防病毒软件构建了以root权限运行的陈旧代码，以扫描本地机器上的电子邮件附件。

“任何建筑师软件都知道这是一个坏主意。他说，这令人难以困惑的是，这并不是所有有用的产品，“他说，并补充说，这些产品只能由网络攻击者的恩典工作，他们可能不会对他们试图绕过的安全软件进行质量保证检查。

为了最大限度地减少安全风险，CISOS经常购买几乎不区分的各种安全产品，导致他们基于产品如何管理的基础购买决策，Dultien说。

他补充说，安全产品是否有效，只要塞萨斯展示他们已经做了一些东西来减轻风险。

网络保险是一种缓解安全风险的另一种方法，提升网络安全措施对业务的财务影响。例如，杜蕾尼州说，采用更好的安全产品和更安全的基础设施更加安全的基础设施的公司可以享受较低的保费。

Dulerien补充说，网络保险公司还可以帮助企业客户的购买力汇到压力技术供应商，以提供更好更安全的产品。

从金融业中拍摄的叶子，杜兰呼吁企业将其IT基础设施视为资产负债表，每个应用程序和潜在的代码潜在地为组织创造风险。

“重要的是要意识到，当您安装第三方软件时，您将对您的资产负债表添加风险，”他表示，添加了大多数风险来自不经常使用的软件。“90％的软件风险是代码，提供10％的好处。”

这种资产负债表方法可以通过措施增强措施，以激励安全性并降低复杂性。“没有人促进删除可能具有安全问题的800行代码，”Dullien说。

随着大多数组织仍然在黑暗中，关于他们的设备有多安全，杜兰更呼吁该行业构建能够被辩护的设备。

“我们应该是构建设备，允许我们枚举所有系统代码，并显示可以在包括所有固件的设备上运行的所有内容的哈希，”他说。

“这需要成为一个公共分类帐的一部分，设备和软件制造商使他们的软件公开可见，以便通过他们的软件编写和立场。哈希应该不可更新，所以没有完整的检查，没有办法搞乱。“