停止无效营销！致网络安全行业的一封公开信

在网络安全行业热潮涌动却乱象丛生的当下，炒作与概念层出不穷，冗余工具泛滥成灾，投资者追逐热点，供应商沉迷营销，而真正关乎安全本质的基础工作与实际执行却被边缘化。

作为Nextracker深耕一线的CISO，TylerFarrar以其亲身经历与深刻洞察，写下了这封公开信。他直面行业沉疴——那些号称“重新定义安全”却解决不了实际问题的产品、背离本质的融资导向研发、以及陷入恶性循环的供需关系，更以务实视角剖析了CISO的核心使命与采购逻辑，呼吁行业回归基础、重视可靠、聚焦执行。这些话语不仅是一位从业者的理性呐喊，更为迷航中的网络安全行业，提供了一份清醒的反思与前行的方向。

Tyler对安全厂商的看法

网络安全市场已经陷入一种疯狂状态。几乎每周都有新的供应商涌现，投资者不断将资金投向各种不成熟的想法，与此同时，CISO则被层出不穷的产品推销所淹没，而这些产品实际上根本无法有效阻止下一次数据泄露。市场的喧嚣日益刺耳，但其核心本质却始终被忽视。

进一步来说，这些产品大多数即便在演示环节也毫无亮点。Tyler对此表示，他曾多次耐着性子听完一场场产品介绍，却始终困惑于它们存在的实际意义。安全供应商声称要“重新定义安全”，却连自己要解决什么问题都解释不清。究其本质，这些产品更像是为融资轮次而生，而非面向真实的生产环境；它们不过是对一些无人问津的问题所给出的牵强答案。而与此同时，同样的核心漏洞仍在年复一年地让企业蒙受损失。

事实上，供应商自以为是在售卖技术，但真相并非如此。他们实际上是在向那些背负“不可能完成的管理任务”的人兜售一种信心。作为CISO，Tyler表示自己采购产品的主要目的，是为了降低在其任内发生灾难性事件的概率。每一个采购决策都像是一场赌博——因为这个领域本就不存在“绝对安全”的选项。Tyler深知完美防护无法实现，因此强调采购的唯一意义，就在于降低个人及企业所面临的风险。

“我们必须认识到，网络安全并非一道可以彻底破解的谜题，而是一场永无止境的博弈。你拼尽全力走好每一步，却始终清楚自己永远无法‘获胜’。即便我能修补所有系统、堵住全部漏洞，这种极致完美所伴随的代价，也会让企业运营陷入瘫痪。如果我们愿意停止产品交付、终止客户支持、放弃营收创造，或许明天就能实现所谓的绝对安全——但这显然已背离了安全的本质。”

Tyler认为，CISO的工作核心其实非常明确：既要保障企业的正常运转，又要避免遭遇毁灭性打击。这意味着CISO不仅要关注系统的可用性，更需重点防范那些足以影响其未来一整年职业发展的重大数据泄露。“关键在于取得平衡——风险过高，企业可能登上负面新闻；管控过严，又会抑制创新活力。这个岗位的每一天，都是在两者之间不断博弈和权衡。”

正因如此，Tyler在采购时表现得极为谨慎，他只选择那些符合企业技术路线图、能够可量化地降低风险、可无缝集成至现有系统，并且团队能够长期维护的产品。Tyler特别重视“可见性”工具，因为无法感知的威胁根本无从防御。“当然，我也会重点关注‘身份认证’解决方案——毕竟访问权限才是真正的管控核心。此外，我还倾向于选择能提升人员效率而非替代人类判断的自动化工具。需要明确的是，我采购的是能将‘设计即安全’理念落地的实际方案，而非仅停留在纸面的理论概念。”

相应地，Tyler不会采购那些被炒作起来的“热门产品”，不会采购与现有三款工具功能重叠的冗余方案，也不会选择演示时看似光鲜、实际应用中却不堪一击的产品，更不会引入任何会增加团队工作复杂度的工具。此外，对于那些无法用清晰易懂的语言解释“究竟解决什么问题”以及“如何实际降低风险”的供应商，Tyler绝不会考虑他们的产品。

核心在于夯实基础

事实上，大多数企业并不需要更多的工具，而是需要将基础工作做扎实。如果能持续推进补丁管理、维持良好的访问控制，并实施网络分段而非采用简单的扁平网络架构，那么这样的企业就已经领先于市场中的大多数参与者，根本无需依赖那些华而不实的新工具。仅凭完善的补丁管理，就足以消除供应商声称要“检测”的大部分攻击面；网络分段能有效阻止攻击者的横向移动；而严格的访问控制则可以限制单个漏洞的影响范围。这些都不是什么新潮理念，而是久经验证的成熟方法，但它们却因不够“流行”，难以吸引投资者而被普遍忽视。

问题恰恰在于：当前行业已不再奖励那些真正有效的实践，反而更青睐那些更具销售潜力的概念。我们看到，风险投资机构正源源不断地将资金投入各类“人工智能驱动”或“全自动化”产品，而真正重要的基础性工作却日益荒废。供应商追逐热点，是因为热点能带来融资；而CISO购买热点产品，则是出于我们迫切希望找到“银弹”来终结安全痛点的心理。于是，一个恶性循环就此形成：每个人的单点决策看似合理，但最终的整体结果却显得荒诞不经。

进一步分析，我们也不能仅仅指责供应商。从某种意义上来说，正是我们共同塑造了他们所服务的这个市场：我们沉迷于“创新即进步”的幻觉，却忽视了那些困难且枯燥的基础工作；我们用大量自身无法充分利用的产品填满了技术栈，还美其名曰“提升成熟度”；我们构建出日益复杂的系统，却将其称为“战略布局”。然后，当同样根本原因导致的安全事件一再发生时，我们却表现出惊讶不已的样子。

Tyler表示，我们必须要认识到，优质的安全防护始终始于扎实的IT基础架构——过去如此，现在如此，未来也不会改变。“作为CISO，如果你连自己拥有哪些资产都不清楚，就根本谈不上保护；如果资产不能及时打上补丁，那么它们其实已处于风险之中；如果授予过度权限或运行扁平化网络，那么仅凭一组泄露的凭证，就足以让企业陷入危机。真正的解决方案其实早已存在，只是它们不够引人注目。这些方案需要的是耐心、规范的流程和长期的坚持——而这三样，恰恰是这个追求速成的行业所普遍回避的，因为它们无法在RSA大会的闪光灯下博得眼球。”

追求可靠性，而非颠覆性

Tyler表示，自己并非反对技术，实际上恰恰相反，他的工作根本离不开技术。但Tyler在采购技术时始终目标明确：只选择那些能帮助我们更好地落实基础工作、强化流程规范、减少人为错误的工具；只青睐那些能简化而非复杂化工作的解决方案；也只与那些“即使真相不中听，也愿意坦诚相告”的供应商合作。

Tyler说，优秀的供应商深谙此道，他们明白自己销售的并非什么颠覆性革命，而是可靠性。“这些供应商会做足功课，认真了解CISO的业务环境，清楚其解决方案的适用场景，并坦诚说明产品的能力边界。他们知道，CISO需要的不是‘魔法’，而是需要能帮助其应对安全难题的实用工具。”

与此同时，投资者也同样需要承担责任。他们应该停止为那些空有概念的产品提供资金，停止追逐下一个时髦术语。相反，应转而支持那些看似枯燥却至关重要的工作：例如资产可见性、身份认证、安全配置、开发者赋能以及IT安全卫生。这些才是真正能够帮助企业避免登上负面新闻的核心举措。

而作为CISO，Tyler表示，我们自己也必须停止扮演“受害者”。“我们并非这场乱象中的无辜者，甚至可以说，恰恰是我们的采购习惯，塑造了今天的这个市场。是我们用订单奖励了那些华而不实的喧嚣，追逐了与自身成熟度根本不匹配的‘创新’。如果希望行业发生改变，我们必须先改变自己的采购方式：坚持少买、精买。在采购下一个新平台之前，应先投资于人员、流程和基础架构。如果我们的企业连补丁更新都执行不力、访问权限都控制不住、网络仍是扁平架构，那么我们真正需要的不是任何新工具，而是建立起内在的纪律性。”

归根结底，安全与其说是一个技术问题，不如说是一个执行问题。除非我们能够弥补执行层面的短板，否则，再多的资金、再先进的AI技术、再新的产品类别，也都无法真正将安全贯彻于公司。

因此，Tyler表示，自己将继续采购那些真正能创造价值的产品：即那些能够切实降低风险、巩固安全根基的工具，那些能提高攻击者成本、简化事故恢复流程的解决方案。“至于其他的喧嚣、炒作，以及无数无法解决实际问题的工具，就让它们继续待在货架上吧。”

结语

当网络安全行业的喧嚣逐渐沉淀，那些被资本热捧的概念、华而不实的工具，终究会暴露其无法解决实际问题的空洞本质。这场永无止境的安全博弈，从不需要“魔法式”的幻想，更容不得对核心根基的漠视——持续的补丁管理、严谨的访问控制、科学的网络分段，这些历经检验的基础实践，才是抵御风险的真正屏障。

行业的健康迭代，从来不是单一角色的独角戏：供应商需跳出“为融资造产品”的短视，回归“解决真实痛点”的初心；投资者应放下对时髦术语的追逐，转而支持那些看似“枯燥”却关乎安全根本的关键领域；每一位守护企业安全的从业者，更要以理性破除炒作迷思，将精力聚焦于流程落地与纪律坚守。唯有如此，才能打破“概念泛滥—盲目采购—漏洞依旧”的恶性循环，让网络安全真正回归“保障业务运转、抵御毁灭性风险”的本质，为行业长远发展筑牢坚实的根基。

原文地址：

https://www.csoonline.com/article/4089738/selling-to-the-ciso-an-open-letter-to-the-cybersecurity-industry.html

作者：Tyler Farrar，Nextracker的CISO

声明：本文来自安在，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。