卖家秀与买家秀视频想必大多数人都已经领教过了。“我想象中我的样子vs我实际上的样子”。安全行业也不能免俗，多年来一直存在类似的现象：新产品或新技术总是伴随着天花乱坠的一大堆承诺，然而，实际运营的结果往往十分打脸。回想一下早期的入侵预防系统（IPSes），安全公司推出的IPSes承诺客户可以在网络上即插即用，插上就能阻止设备认为的所有不良事件。听起来简直太棒了，但运营现实却是不该阻止的也被阻止了，误报多到令人无法接受。而当安全团队被问到“为什么连这個都被阻止？”时，他们甚至得不到任何答案，因为这种IPS设备是个“黑箱”。

　　显然，安全技术的美好承诺和实际运营现实之间存在巨大的鸿沟。不妨来看看近期的例子：安全编排、自动化与响应（SOAR）平台以及扩展检测与响应（XDR）解决方案。
　　SOAR在过去几年间可谓风头无两，然而，就是这种备受推崇的安全技术，其承诺与运营现实之间也脱节了。SOAR承诺，自动化过程可以帮助用户节省时间和资源，还能加速响应。但运营现实却是你还得定义适合自身环境的各种过程。即插即用？不存在的。而且，更重要的是，必须确保为过程制定了正确的标准和触发器，如果没有预先聚合、评估和排序情报———可以也必须自动化的几个步骤，那最多是搞出个“坏数据进，坏数据出”的情况。其反而放大了噪音，既阻碍安全操作，又浪费宝贵资源，最终还妨碍了安全。整个运营现实就是：你需要正确的输入来聚焦对自家公司而言真正重要的事务，还需要正确的过程来更快速地采取正确的操作。
　　最近俘获大量市场关注的新兴产品是XDR。企业战略集团（ESG）对XDR的定义是：“跨混合IT架构的安全产品集成套件，旨在互操作和协同威胁预防、检测与响应。XDR将控制点、安全遥测、分析和运营统一到一个企业系统中。”企业关注这种方法是因为XDR的承诺之一就是供应商整合。从一家供应商处获得具有多个实施点的单一解决方案，不仅能够利用云的各种优势，而且是预先集成的———这么方便流畅、功能强大的集成套件谁不想要？只要有了XDR，就可以摆脱与当前几十家产品供应商打交道的麻烦，省时省力地专心与一家（或极少数几家）供应商合作即可。
　　但这美好的承诺存在问题。实际情况是，没有哪家企业是白纸一张。平均而言，企业正在使用的不同安全工具多达45种以上，而且全盘更换的意愿不大。此外，预算和团队的不同部门也使用不一样的解决方案。不可避免地，一些团队会坚持使用其最佳解决方案，单一供应商提供的整合解决方案在功能上无法与之匹配。而时间将证明XDR解决方案提供商是否能够保持一流解决方案提供商的创新水平，将资源投注于解决特定用例、新型威胁和新兴威胁载体。如何处理仍需继续使用的内部工具也是个问题，至少在完全迁移到云端之前是个问题。企业可将工具的数量减少到十几个，但这些工具仍然不能互操作。
　　于是，该如何弥合安全技术的承诺与运营现实之间的鸿沟呢？在确定要投资哪些安全技术时，别忘了不仅要制定技术路线图，还要制定并调整运营路线图。否则，不仅短期内无法充分发挥任何技术投资的价值，长期看还可能损害技术采用势头。不要被产品推销时的承诺迷花了眼，要根据公司业务和将会发生的现实做出决策。例如，供应商整合是个大目标，但公司要采取什么路线来达到这个目标呢？是通过全盘更换向前跃进，还是随时间推移慢慢过渡更适合公司？什么时候需要什么技术或产品来支持所选择的前进路线？
　　卖家秀与买家秀视频是挺让人会心一笑的，但涉及安全问题，幽默就不合时宜了，我们必须弥合其间的差距。