安全厂商越来越多，企业应该如何选择合适的供应商？

一个成熟的评估体系最重要的特征就是标准的评估规则和可复制性，这在网络安全行业几乎不存在。因为企业需要面对逐渐递增的新技术和解决方案，评估厂商就意味着要对其宣称的技术和产品进行充分地了解，这对于大多数企业来说都是难以完成的任务。

网络安全风险投资公司Rain Capital的长期网络安全专家兼管理合伙人王晨曦表示，没有统一评估标准使买卖双方都面临着困境。她认为，由于行业内没有通用的框架来评估安全厂商，这使很多企业在不同的厂商、产品及服务之间重复测试。因为业务的不同，不同企业对于网络安全产品及厂商的要求也不同，因此，很难对一家厂商形成综合性的能力评估。

安全产品评估提供商SE Labs的创始人Simon Edwards表示，没有标准化的安全服务评估的一部分原因来自厂商和测试人员的抵制。他表示，没有厂商会喜欢受到批评，因为这会让他们付出丢失市场的代价。与此同时，测试安全产品也是一件很困难的事，测试人员通常不喜欢标准，因为解决一个问题的方案有多种类型，产品的配置和部署方式也有多种。

尽管没有统一的方法和流程，但仍然可以利用行业公认的标准和框架来设定要求并对厂商进行评估。同时，在评估时要尽可能地贴合自身业务需求。

Edwards表示，银行ATM端点的防病毒要求更侧重于合规性，而员工笔记本电脑上的防病毒必须全面防范来自互联网上的网络钓鱼和“恶意下载”等威胁。不用业务、不同场景下的评估需求各不相同，企业需要对自身业务环境进行更加充分的了解。

供应链风险管理厂商Tenchi Security的知名产品测试人员兼产品管理总监阿德里安·萨纳布里亚（Adrian Sanabria）表示，站在业务的角度进行评估可以帮助企业确认厂商能够满足其业务需求，包括厂商提供的解决方案能够发现并解决实际问题，能否减轻安全团队负担以及是否需要新技能等等。

Manrod表示，企业应该提前设定好相应的要求和目标，这项工作不应该在选择厂商时才实施，而是从一个基于MITRE ATT&CK框架的战略开始的。例如，企业如果想要防范勒索病毒、网站攻击等，就需要提前审视自身的IT架构和网络环境，通过自身的环境来确定合适的产品类别。产品的功能需求应该由防御架构来定义，并与产品的具体工作保持一致。

德勤网络风险小组安全供应链负责人Sharon Chand表示，成熟的企业会基于适合其业务的框架进行评估，包括NIST CSF、ISO、SOC 2等。她认为，评估的框架涉及不同的安全领域，如保护、检测、识别、响应及恢复。因此，将评估结果映射到这些领域将有助于组织关注这些安全技术和服务，并充分掌握自身需求的结果。例如，组织可以在这个过程中确认自身是需要防火墙、零信任产品还是一种提高环境安全性的产品。

与此同时，在评估厂商时还要加上稳定性，《2022年安全年鉴》编者之一的理查德·斯坦农（Richard Steinnon）表示，如果厂商位于政治热点区域内，可能会导致其服务中断。他建议企业在采购产品前查阅下厂商的投资者报告，了解其创始人或首席执行官的领导背景，并与同行核实。

在中国，由于HW等合规方面的要求，企业对于攻防实战能力尤为关注重，很多厂商也纷纷推出其具有攻防实战能力的安全产品。然而，对于中小企业来说，这类产品往往具备较高的价格，高昂的成本让其难以负担。同时，由于中小企业往往没有完备的产品测试能力，安全产品的好坏只能“听天由命”。因此，如何选择合适的安全厂商就成为中小企业面临的一大难题。

从中小企业安全需求的本质看，在选择安全厂商时一般应着重考虑以下三点。首先，是否有强大的安全研究机构作为支撑。安全研发机构是安全厂商的核心竞争力所在。厂商是否拥有业界领先的安全研究机构决定着是否在安全研发上面领先于业界其他厂商，也决定了是否能够在黑客造成威胁之前即提供前瞻式的解决方案。

没有原创的研发力量的厂商无非通过两种方式进行产品更新，一是通过等待开放源代码软件的产品更新包发布后再以此作为基础进行产品更新，二是通过各种活动购买安全漏洞（包括和黑客交易的方式）信息，然后进行产品更新。这两种方式或明显滞后、或饮鸠止渴，都将最终无法保障用户的安全。

其次，是否具有很强的安全转化能力。安全厂商需要的不仅是技术，还有将技术输送给用户的能力。对于中小企业而言，安全能力的缺失在所难免，对于这类用户，安全厂商更应该关注其核心需求，并将其原生安全能力转化成企业所需要的安全能力，提升用户的整体安全基线。

最后，是否具有完整易维护的全套解决方案。这点也是至关重要的，不同企业的安全需求各不相同，定制化的安全产品对于厂商的难度也很高，因此，安全厂商需要多年的服务经验，以保障自身的产品能够满足和应对绝大多数的安全需求，并持续地增加适用范围和实用场景。同时，厂商还要具备快速维护的能力，以确保用户业务流畅。

某企业信息安全专家表示，当前，很多企业在选择安全厂商时不知道该考虑哪些方面。他表示，首先要看要看厂商的技术实力，有的厂商技术实力一般，产品也只是套个壳子而已，只能应对普通的安全事件，遇到突发事件可能一时难以处理，这可能就会给企业造成难以估量的损失。其次要看厂商对接人的专业能力高低，这可以间接的评估出厂商的实力。最后要关注厂商的应急响应速度，这一点是非常重要，当企业收到攻击时，无人处理或处理拖沓同样会造成巨大损失。

某科技公司安全负责人表示，中小型企业想要增强安全能力，首先要采购目前最成熟的网络安全产品——防火墙，这也是中小型企业增强网络安全的最简单方式之一。同时，中小企业还可以采用针对拒绝服务式攻击的保护措施来确保互联网的边界安全，因为互联网边界是所有基础设施中最容易暴露和受到攻击环节。尽快部署多因素身份认证无论企业规模大小，在访问办公环境中的所有计算机、服务器、基础设施和业务应用软件时，采用多因素身份验证技术已被证明是防止黑客入侵的最有效方式之一。据微软一项调查数据显示，企业组织通过多因素认证可以阻止99%的暴力破解攻击。只要有一个认证因素验证失败，那么用户访问行为将被拒绝。而且，多因素身份认证技术的使用非常简单，非常适合中小型企业用户。

某科技公司负责人表示，虽然中小企业不是网络攻击的首要目标，但这也不意味着中小企业就可以对网络安全放松警惕。中小企业在安全意识、管理、人才和资金方面都能力有限，再加上大部分的中小企业几乎没有部署相关的安全措施，同时也没有应对云安全事件的能力，也就沦为网络安全的“弱势群体”。

卡奥斯首席安全专家、海恒数字科技有限公司执行董事兼CTO唐宇表示，目前网络安全还是处于混沌状态，很多弊端没有办法解决。他认为，安全产品应该买了就能用，几十万家安全厂商应该化作几家大厂。安全产品的价格动辄几十上百万，可其本身的价值并不高。安全市场的正确打开方式应该是甲方购买乙方的产品，让IT部门的运维人员来简单运维一下就可以。现在行业太复杂，在很多项目中花了很多不该花的钱，很多厂商的产品质量也没有形成优势。真正的网络安全厂商应该像微软一样，把所有产品做成一个东西，应用起来很简单，也很容易落地。

日益复杂的网络安全环境严重威胁着企业的信息安全，可企业采购安全产品时却仍要面对重重挑战。网络安全行业是否能够出现一份“美团榜单”，让更多的安全厂商证明自身的能力和价值，也让更多的企业在采购安全产品时可以获得真实的产品评价和参考信息。