投资安全工具却只是束之高阁或利用率不足，并非不可避免，通过一些非常简单的前置措施，就能大幅减少甚至杜绝这种现象。

闲置软件是没人愿意谈及的巨大安全问题，粗略定义为未被使用、利用率低或实现不正确的技术，很多CISO都选择避而不谈。

2015年，Trustwave委托美国奥斯特曼研究公司做的一项调查研究，展露出该问题的严重性。该调查涉及172家大大小小的企业，这些企业中投资新安全控制措施的那些，往往不是未充分利用该新技术，就是干脆用都没用上。

奥斯特曼发现，这一情况很普遍，受访者中至少30%都是这样。某些公司里，受访者称，近30%的新安全投资都根本未被使用或使用不足。一家公司称，其60%的安全软件都是摆着好看的。

当时的Trustwave产品管理副总裁乔什·绍尔说：“我们预料到会有安全软件被束之高阁。我们的发现表明，很多公司都在把钱打水漂。”

闲置软件有多普遍?

闲置软件是很多公司的普遍担忧，而这往往源于缺乏厂商咨询：太多的关注放在了合规上，却没意识到该技术真正能做什么。

事实上，451 Research 公司之前的一份报告表明，闲置软件通常是过度炒作的产品或缺乏特色的解决方案;而利用率最低的技术，是安全信息与事件管理(SIEM)和入侵检测系统(IDS)。很多人认为SIEM名不副实，2013年数据泄露事件案发时，据说塔吉特是为其配置糟糕的反恶意软件解决方案花费了100万美元的。

这就带来了一个问题：这些高科技解决方案怎么就被放到积灰了呢?Alienvault安全倡导者贾瓦德·马利克说：“客户角度出发的3大原因是：仅仅出于合规或监管原因而购买;内部公司政治成为阻碍(或者缺乏使用透明度和业务一致性);没有足够的时间或专业知识来恰当实现或部署。”

只要合规仍是主要顾虑，这一现状就难以改变。“这阐明了安全技术的战术性购买或继承，尽管这些安全技术在整体安全策略中毫无用武之地。我见过有些闲置软件甚至从未部署下去，仅仅是为了满足审计员而购买的。”

马利克说：“这实际上可能是最容易搞定的了，因为仅仅多花点钱而已嘛。更艰巨的是，公司资产中都有哪些地方部署了这些没有后续维护的产品。这有点像偷懒式家居重装修，不去撕墙纸刮墙面，而只是在旧墙纸上贴新墙纸，在旧墙面上刷层漆。”

通信公司 Publicis Group 首席信息安全官索姆·兰福德认为，闲置软件通常是安全结构和过时报告层级导致的。

我觉得该问题很大程度上取决于我们安全团队的建立和管理模式。举个例子，若安全团队是IT团队的一部分，就可能会加剧闲置软件问题——因为安全问题是透过可能会导致无用产品购买的技术视角考虑的。如果不归属IT范畴，就可以采取更为全面的方法态度，只在有意义有必要的方面购置。

情况正在恶化吗?

马利克认为该问题在加剧，兰福德也认同该观点。厂商的大量炒作，往往让人惊惧，不由自主就买下了产品。随着安全预算增加，很多所谓的万灵解决方案在基本安全措施部署之前，就被盲目投资买下。

不过，马利克也认为，软件即服务(SaaS)多多少少有点可取之处：“随着越来越多的服务被推上云端，随着安全朝向云端发展，此问题得到了缓和——因为云服务通常更易于部署和撤销。而且，也更容易试用，或者按月订阅。这就免除了大型现场部署所需的资金投入。”

菲尔·克莱克奈尔，英国物业维修公司HomeServe首席信息安全官，对此表示赞同：“软件即服务，或者灵活的年许可付费模式，有助于缓解问题。支持按使用付费的模式。反对断点价格，断点价格是厂商得利，不是你。”

解决供应商问题

CISO们的闲置软件问题，从安全厂商及其业绩驱动的销售团队入手是无法解决的。事实上，信息安全人士抱怨厂商只管卖不管培训的事并不少见。

克莱克奈尔就是抱怨人士之一，称今天的厂商兜售全套解决方案，反病毒、数据泄露预防(DLP)、基于主机的入侵检测系统(HIDS)和网络访问控制全覆盖——即便客户根本不了解整个套装的全部功能。他认为如今厂商控制了市场。

危险在于，我们任由厂商控制市场，就像数年之前一样。他们又开始这么做了——定义产品和技术，然后说服客户以为自己需要这些东西。我们才应该是定义我们自身需求和所需处理风险的人，而厂商负责以能被我们有效消费的方式产出解决方案。应该是狗摇尾巴，而不应该是尾巴摇狗。主体客体要分清楚。

兰福德部分同意此观点，并补充道：“双方之间需要一种更开放的关系。前端咨询和诚实是关键;告诉我除非我已经解决了自身内部问题，否则他们的解决方案不会生效的厂商，比仅仅催促我签字付款的厂商，更能让我甘心掏钱，更能赢得我的长期信任。首先要跟厂商建立关系，了解他们，也让他们了解你。看看他们对其他客户做了什么，然后沟通了解。他们是怎么向你兜售产品的?他们只是在卖东西赚钱，还是真的想与你建立长期合作关系，帮你解决问题?”

马利克称，最终达成的效果，是买到与遗留设备便捷集成的全功能产品。“决定性因素是沟通，找出客户中意产品的点，找出可以改进的地方，反馈给董事会。”

CISO必须对资产负责

闲置软件并非不可避免，通过一些非常简单的前置措施，就能大幅减少甚至杜绝这种现象。

管控好购买过程，充分利用现有产品，在购入新解决方案前现理清基本问题，基本上便可以杜绝闲置软件现象了。

首先，利用功能最全面的产品，达到最宽广的覆盖面。这样可以掌握全局情况，找出需要特别注意的地方。别试图面面俱到，先从关键资产开始。最后，最佳办法就是与同事一起对产品和网络进行实验，看各项功能部署得怎么样。安全没必要多复杂，往往就是把基本动作做好，一直做好，仅此而已。

兰福德说：“关注过程，人是重点。这两样对达成安全目标有很大帮助，有时候帮助会大到不再需要进一步投资。只有了解了价格、公司及人员运作模式，以及哪些方面需要技术支持，才可以决定是否做出该项投资。”

CISO和其他IT决策者应质疑购买决定的原因，尽早获取利益相关者的支持，制定出30/60/90计划，并在购买前拥有一份详尽的部署方案。淘汰旧有技术，核查产品功能和调研，也是十分重要的。