I dobrá prezentace může odradit

Dokonalá prezentace bezpečnostních produktů nemá pro prodejce žádoucí výsledek. V jejím průběhu se totiž ukazuje,...


Dokonalá prezentace bezpečnostních produktů nemá pro prodejce žádoucí výsledek.
V jejím průběhu se totiž ukazuje, že výrobce vůbec netuší, co manažeři
bezpečnosti potřebují.
Kolik peněz máte ve svém rozpočtu? Ne, neptám se, jestli si letos můžete koupit
nový rodinný automobil. Zajímá mě, jestli si můžete dovolit investovat do
drahého bezpečnostního softwaru. I když si to však možná dovolit můžete, určitě
bude mít smysl se nejprve seznámit s nabídkou na trhu. Ne vše je totiž tak
dokonalé, jak se na první pohled může zdát.
Spousta mé práce v roli bezpečnostního manažera má jistou podobnost s prací
kejklíře mým úkolem je udržet ve vzduchu barevné balónky. Každý den se najde
několik takových, které padají a balónek, který už je nejblíže zemi, případně
se k ní přibližuje nejrychleji, musím chytat jako první. V praxi může jít o
útok nějakého viru nebo červa, o projekt pro e-commerci nebo prostě jen o
nějaké zjištění podezřelého chování kohosi. Tento týden byl ale jiný. Konečně
jsem byl zase jednou schopen zvednout pohled od podlahy a soustředit se na
plánování blízké budoucnosti. Zvažoval jsem, jak dále porostou naše potřeby v
oblasti bezpečnosti a setkal jsem se se zástupci několika výrobců. Zase se
ukázalo, jako už mnohokrát předtím, že při pečlivě připravených demonstracích
nových produktů se často prokáže, že výrobci skutečně vůbec nejsou schopni
vcítit se do našich potřeb.

Dva problémy
Rozhodl jsem se setkat se zástupci výrobců kvůli dvěma problémům. Za prvé
potřebujeme lépe spravovat to ohromné množství bezpečnostních dat, které
sebereme. Naše antivirové aplikace, databáze bezpečnostních mezer, systémy IDS
(Intrusion Detection System), firewally, operační systémy, routery i další
systémy jsou zdroji množství cenných dat, ale v různých formátech. Bylo by
nesmírně užitečné soustředit je v jedné databázi nebo k nim alespoň zajistit
takový přístup, aby je bylo možno sledovat a vyhodnocovat společně.
Je skutečně velmi drahé školit náš personál na to, aby tomu babylonskému
zmatení jazyků rozuměl. A aktuální stav stojí také spoustu času navíc, když
řešíme nějaký bezpečnostní incident. Kdybychom byli schopni automaticky
překládat informace z různých systémů do jednoho formátu a spojovat spolu
související data, snížili bychom tím své náklady a zlepšili bychom možnost naší
obrany.
Druhým naším problémem je monitorování takového podezřelého chování, jehož
vzory nejsou v našich databázích. I to je ovšem třeba odchytit. Když si
uvědomíme, že červ SQL Slammer je údajně schopen infikovat během deseti minut
jakýkoli počítač na zeměkouli, je zjevné, že čekání na update databáze od
výrobce asi není tím nejvhodnějším řešením.

Začínáme
Sloučení mnoha bezpečnostních informací do jednoho celku je obecným problémem a
mnozí výrobci nabízejí nějaké řešení. Když jsem do této oblasti zabrousil před
několika lety, zjistil jsem, že nabízené produkty jsou ještě velmi nedospělé.
Doufal jsem, že nejnovější verze budou mít co zajímavého nabídnout. Pozvali
jsme tedy zástupce několika výrobců aby nám ukázali, jak nám jejich software
může ušetřit práci, čas a náklady.
První z nich, ten, který nás navštívil na počátku tohoto týdne, měl připravenou
skutečně dobrou show. Jeho zástupci dorazili s celou sítí vměstnanou do jednoho
kufříku a vzápětí po příchodu se pustili do rozbalování archivů, nastavování
serverů i do instalací serverového a klientského softwaru. Produkt běžel a
fungoval, což bylo do jisté míry prokletím jejich prezentace. Kdyby nám
předvedli prezentaci se screenshoty v PowerPointu, nejspíš bychom nepoznali,
proč je pro nás celé to řešení bezcenné.

Špatné zobrazení
Nástroj do sebe nasál ohromné množství dat, uložil je do vlastní databáze,
našel souvislosti mezi příčinami a vygeneroval potřebná varování. To zní jistě
velmi dobře. Nicméně jeho front-endový software disponoval strašlivým
uživatelským rozhraním. Bylo neohrabané a pomalé, což je skutečně nepříjemné,
uvážíme-li, že jej moji analytici mají používat od rána do večera.
Procedura, která se zabývala detekcí souvisejících událostí byla obzvláště
špatná. Vždy vyvolala vyskakující okno s identifikací problému. Jenže když mi
nějaký software prezentuje nějakou událost, která souvisí s dalšími událostmi,
pak chci, abych mohl vidět podrobnosti o každém z těchto jevů jen tak mohu
snadno a rychle pochopit, co se děje a mohu adekvátně reagovat.
Prezentátoři můj problém chápali a navrhli řešení. Stačí přece zkopírovat
příslušná data z dialogu a vlepit je do odpovídajícího SQL dotazu. A pak už jen
spustíme generování reportu...
Jenže cílem použití této aplikace je, aby ušetřila mému týmu práci. Proč tedy
nestačí, abychom prostě kliknuli myší? Zjevně můžeme k aplikaci přidat své
vlastní skripty, díky nimž se po zjevení okna s identifikací problému může
provést libovolná akce. Není to ale náhodou tak, že si kupuji software proto,
aby udělal nějakou činnost za mě? Kdybych chtěl nějaké operační prostředí
(framework), ve kterém bychom si mohli programovat, prostě bych utratil všechny
své peníze za BMC nebo za Tivoli. Znejistěli jsme.
A pak se to stalo. Přišla událost, kterou bych neváhal označit za zabijáka
dobrého obchodu. Když jsme chtěli vidět, jestli k nové události došlo v
souvislosti s nějakým jiným dějem, nástroj nám to nebyl schopen říci. Místo
toho jsme museli spustit generování zprávy znovu. A tak se může klidně stát, že
software uživateli předhodí několik spolu souvisejících neškodných událostí, a
operátor bude stále dokola provádět kontrolní spouštění dotazů do databáze, aby
zjistil, jestli spolu souvisejí. Mezitím vám ale může spousta strašlivých
událostí utéct přímo pod nosem. Řekl bych to asi tak: Můj tým má už tak spoustu
starostí se sledováním nezpracovaných dat a myslím si, že tedy nemá smysl
přidávat k tomuto problému další zdroj potíží.
Není ovšem důvod se bát. Uvedené "drobnosti" budou jistě odstraněny s příchodem
nové verze produktu. Když mi ten software ušetří spoustu času, mohu za něj
zaplatit spoustu peněz. Je to jednoduché, opravdu. V tomto případě mi je ale
celkem jedno, kolik to stojí, protože to prostě nekoupím. Neúspěšné zatím byly
i další prezentace. Není ale všem dnům konec a my zatím máme čas.

Jedeme dál
Zdá se, že v tomto okamžiku nemám velké šance ušetřit peníze tím, že bych
zjednodušil naše procesy. Naopak ušetřím tak, že nic nekoupím. Jsem si jist, že
někteří poskytovatelé služeb typu outsourcingu správy infrastruktury znají
cesty, jak náš problém řešit. Protože je to ale jádro jejich byznysu,
pochybuji, že by mi to prodali na CD-ROMu.
A pak je tu ještě náš druhý výše zmíněný problém. Zdá se, že nová generace
softwaru detekujícího anomální chování v síti může disponovat vlastnostmi,
které mě oprávní k tomu, abych do nich investoval část svého rozpočtu. Jen aby
mě ale schůzky s výrobci nestály tolik času, že mi některé z těch míčků, se
kterými stále žongluji, mezitím nespadly na zem.
Řešíte podobné problémy jako Vince Tuesday? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.