信息化觀察網(wǎng)

本文來自微信公眾號“GoUpSec”。

2023年，自斯諾登事件以來全球CISO首次面臨預(yù)算增速放緩甚至縮減。一方面，網(wǎng)絡(luò)安全威脅和企業(yè)數(shù)字化轉(zhuǎn)型業(yè)務(wù)安全保障需求不斷增長；另一方面，CISO需要“平地?fù)革?rdquo;、降本增效，根據(jù)IANS Research最新公布的研究報告，伴隨全球經(jīng)濟(jì)衰退預(yù)期和通脹壓力的持續(xù)，2022-2023年預(yù)算周期的網(wǎng)絡(luò)安全預(yù)算增速同比下降了65%。

與預(yù)算緊縮和人員短缺作斗爭，已經(jīng)成為當(dāng)下CISO面臨的主要挑戰(zhàn)。而充分認(rèn)識和規(guī)避網(wǎng)絡(luò)安全支出中的“成本陷阱”，是CISO應(yīng)對該挑戰(zhàn)最有效的方法。

網(wǎng)絡(luò)安全投資往往暗藏成本陷阱，這些陷阱一開始可能并不明顯，但會隨著時間的推移悄悄消耗網(wǎng)絡(luò)安全部門的寶貴預(yù)算。本文，我們將揭示七個網(wǎng)絡(luò)安全成本陷阱，即便是經(jīng)驗(yàn)豐富的CISO也未必能完全躲過這些陷阱：

01

網(wǎng)絡(luò)安全產(chǎn)品收費(fèi)結(jié)構(gòu)復(fù)雜

安全產(chǎn)品和服務(wù)的收費(fèi)結(jié)構(gòu)往往很復(fù)雜。基礎(chǔ)版本的價格可能相對合理，但更高級的功能可能需要額外付費(fèi)。

02

第三方附加成本

在購買任何安全產(chǎn)品或服務(wù)之前，應(yīng)仔細(xì)評估所有可能的附加成本。

應(yīng)利用談判策略來降低產(chǎn)品和服務(wù)的價格。

03

內(nèi)部運(yùn)營成本

考慮內(nèi)部運(yùn)行成本，例如員工培訓(xùn)、維護(hù)和管理大量數(shù)據(jù)。

使用開源解決方案時，也需要考慮實(shí)施、管理和集成的成本。

04

功能和功能冗余

避免購買提供重復(fù)功能的服務(wù)。

評估現(xiàn)有安全提供商的有效性，并根據(jù)業(yè)務(wù)需求進(jìn)行調(diào)整。

05

無效支出

在購買新工具或服務(wù)之前，首先評估現(xiàn)有解決方案是否已滿足需求。

避免購買與組織的威脅模型不符的投資。

06

供應(yīng)商鎖定

避免因初期投資而使自己陷入某個供應(yīng)商的鎖定，導(dǎo)致后期難以更換產(chǎn)品或平臺。

07

預(yù)算分配爭議導(dǎo)致的“意外成本”

確保安全投資與企業(yè)的戰(zhàn)略目標(biāo)和業(yè)務(wù)優(yōu)先級保持一致。

避免由于優(yōu)先級不一致導(dǎo)致的預(yù)算分配爭議和由此產(chǎn)生的意外成本。

CISO應(yīng)該時刻警惕上述成本陷阱，通過有效的策略和計劃，確保安全投資的合理性和效益。

以下，我們詳細(xì)介紹如何避免掉入網(wǎng)絡(luò)安全的“成本陷阱”：

1.留神安全產(chǎn)品服務(wù)計費(fèi)結(jié)構(gòu)的“套路”

許多CISO迷失在錯綜復(fù)雜的網(wǎng)絡(luò)安全產(chǎn)品計費(fèi)結(jié)構(gòu)中。“現(xiàn)在許多產(chǎn)品都有非常復(fù)雜的計費(fèi)結(jié)構(gòu)，而基礎(chǔ)版本的解決方案可能看起來相對有吸引力，但更高級的功能，通常是CISO所需的功能，一般會額外收費(fèi)”歐洲聯(lián)盟網(wǎng)絡(luò)安全局（ENISA）顧問組成員Brain Honan指出。

這在安全信息和事件管理（SIEM）或安全運(yùn)營中心（SOC）解決方案中相當(dāng)常見，其中工具或平臺的初始購買相對較便宜，但隨著存儲的數(shù)據(jù)量、跟蹤的事件、分析的流量或監(jiān)視的終端數(shù)量的增加，相關(guān)價格可能會大幅上升。

信息安全論壇（ISF）的杰出分析師Paul Watts指出，安全產(chǎn)品和服務(wù)的額外費(fèi)用也可能包括許可、維護(hù)和支持成本，此外CISO承擔(dān)了很多本應(yīng)由CTO/CIO承擔(dān)的成本："我聽說過CISO負(fù)責(zé)更多的安全功能，如SOC和基礎(chǔ)設(shè)施，發(fā)現(xiàn)他們承擔(dān)了本應(yīng)由CIO/CTO承擔(dān)的支持和維護(hù)成本，特別是如果預(yù)算線相當(dāng)緊密地結(jié)合在一起。"

2.仔細(xì)審查第三方成本

在決定購買任何網(wǎng)絡(luò)安全服務(wù)或與第三方合作之前，CISO應(yīng)詢問并仔細(xì)評估相關(guān)的所有潛在額外成本。“這是為了優(yōu)化供應(yīng)商談判策略，為產(chǎn)品和服務(wù)爭取最低的合理價格，”Grand Canyon Education的CISO Mike Manrod說。特別是當(dāng)購買新產(chǎn)品，建立全新的合作關(guān)系，或涉及知識產(chǎn)權(quán)而非實(shí)物產(chǎn)品的成本場景時，通常有很大的談判空間。

“關(guān)于服務(wù)，最重要的竅門是堅持要求廠商為每個新產(chǎn)品的實(shí)施都提供充分的專業(yè)服務(wù)，讓企業(yè)安全團(tuán)隊中最優(yōu)秀的人員親自操作，由廠商的專業(yè)服務(wù)工程師遠(yuǎn)程指導(dǎo)。”Manrod說：“如果你選擇了正確的內(nèi)部人員，他們將成為專家，然后讓他們培訓(xùn)一個備份人員，并創(chuàng)建文檔和持續(xù)知識傳遞的文化。過去的6年中，這種方法為我們節(jié)省了很多錢。”

Manrod表示，另一個考慮因素可以幫助談判更合理的新安全產(chǎn)品價格。“例如，當(dāng)一些遠(yuǎn)程瀏覽器隔離供應(yīng)商報價過高時，我會告訴供應(yīng)商這個報價足夠我們自行開發(fā)一個功能類似的開源項目。“

3.內(nèi)部運(yùn)營成本不可忽視

安全產(chǎn)品和服務(wù)復(fù)雜的成本結(jié)構(gòu)只是網(wǎng)絡(luò)安全隱性成本的一部分。另一件需要考慮的事情是有效運(yùn)行安全產(chǎn)品的內(nèi)部成本，這一點(diǎn)經(jīng)常被忽視。以SIEM為例，CREST英國理事會成員Dave Allan指出，SIEM顯然是一個有效的安全工具，但出于合規(guī)目的，企業(yè)需要管理和保留大量數(shù)據(jù)，這意味著需要投入大量的存儲資源和時間。“考慮員工培訓(xùn)、維護(hù)、添加用戶和處理誤報等因素也很重要——所有這些因素可能不會包含在初始成本分析中。”Allan說道。

滲透測試服務(wù)和開源解決方案也是如此。在使用滲透測試服務(wù)時，企業(yè)還必須考慮內(nèi)部所需的時間和資源、任何潛在停機(jī)對業(yè)務(wù)造成的成本、分析報告所需的時間以及實(shí)施所需安全措施的成本。

開源解決方案雖然經(jīng)常被看作是商業(yè)安全工具的經(jīng)濟(jì)高效替代品，但也不一定能為網(wǎng)絡(luò)安全團(tuán)隊節(jié)省成本。“實(shí)施、管理、集成和支持解決方案會產(chǎn)生持續(xù)成本，例如招聘相關(guān)專業(yè)人才或聘請外部專家時產(chǎn)生意想不到的成本。”

4.砍掉預(yù)算中的重疊服務(wù)和重復(fù)功能

重復(fù)功能和重疊服務(wù)是另一種常見的網(wǎng)絡(luò)安全預(yù)算超支原因。云服務(wù)提供商N(yùn)asstar的首席信息安全官Nick Trueman表示：“為重復(fù)的安全功能付費(fèi)往往導(dǎo)致預(yù)算緊張。還可能導(dǎo)致集成方面的問題，協(xié)調(diào)和集成提供類似功能的多個廠商的產(chǎn)品會導(dǎo)致復(fù)雜性和互操作性問題。”

CISO應(yīng)進(jìn)行全面審查當(dāng)前所有安全提供商提供的服務(wù)。“評估其有效性以及是否符合業(yè)務(wù)的安全要求，如果發(fā)現(xiàn)重復(fù)功能，請考慮將服務(wù)整合到單個提供商下或與提供商協(xié)商以消除冗余。

5.不要把預(yù)算浪費(fèi)在無效安全服務(wù)和產(chǎn)品上

CISO往往會為無法帶來預(yù)期收益的冗余或無效工具付費(fèi)，從而嚴(yán)重影響安全預(yù)算和覆蓋計劃。Qualys首席技術(shù)安全官Paul Baird表示，CISO經(jīng)常會遇到這樣的情況：他們投資的安全工具或技術(shù)無法兌現(xiàn)最初的承諾，或提供預(yù)期價值及投資回報(ROI)。

發(fā)生這種情況的原因有多種，包括與現(xiàn)有系統(tǒng)集成不足、用戶采用率不高或工具無法有效滿足企業(yè)的特定安全需求。此類投資可能會導(dǎo)致安全預(yù)算緊張，并占用更有效的安全措施的資源，最終損害企業(yè)的整體網(wǎng)絡(luò)安全態(tài)勢。

在購買新產(chǎn)品之前確定現(xiàn)有解決方案是否可用。

ReliaQuest首席信息安全官Rick Holland表示，CISO有過度采購的歷史，他們更新工具并購買新工具，而不驗(yàn)證用例或檢查現(xiàn)有解決方案是否已經(jīng)能滿足需求。這導(dǎo)致工具蔓延和大量冗余且可能不必要的安全控制，從而使安全運(yùn)營變得復(fù)雜。企業(yè)需要協(xié)調(diào)所有安全投資，以確保與企業(yè)的威脅模型相關(guān)并最大限度地降低風(fēng)險。

例如，如果企業(yè)所處的行業(yè)不屬于網(wǎng)站可用性對于創(chuàng)收至關(guān)重要的垂直行業(yè)，是否仍然有必要續(xù)訂基于云的分布式拒絕服務(wù)(DDoS)緩解服務(wù)？

根據(jù)Honan在組織中審查安全工具的經(jīng)驗(yàn)，企業(yè)往往會為同一個功能購買兩到三個產(chǎn)品，僅僅是因?yàn)槠髽I(yè)不知道他們購買的原始產(chǎn)品中已經(jīng)提供了所需的所有功能。例如，許多現(xiàn)代操作系統(tǒng)都有內(nèi)置的安全功能，例如磁盤加密，如果實(shí)施這些功能，可以消除對第三方解決方案的要求。

降低此類成本的關(guān)鍵是招聘一名產(chǎn)品工程師來審查安全配置并正確實(shí)施解決方案，這可以幫助CISO省去購買新工具以及與集成和管理該工具的相關(guān)成本。

6.“供應(yīng)商鎖定”可造成永久性的成本陷阱

一些CISO可能會陷入的另一個成本陷阱是供應(yīng)商鎖定。為了使解決方案有效發(fā)揮作用而投入的金錢、時間和資源最終可能會大大高于最初的預(yù)期。這導(dǎo)致很多CISO不愿意遷移到替代產(chǎn)品或平臺，因?yàn)樗麄兛赡苡X得這樣做投資會損失，或者遷移成本過高。

Honan表示：“當(dāng)安全功能或流程外包給第三方或云服務(wù)時，情況尤其如此，即便成本不斷升高，企業(yè)仍然不愿意遷移到成本效益更好的解決方案。”

7.避免預(yù)算分配爭議導(dǎo)致的“意外成本”

安全投資與企業(yè)戰(zhàn)略和業(yè)務(wù)優(yōu)先級不一致可能導(dǎo)致CISO無法獲得足夠的預(yù)算實(shí)施有效的長期戰(zhàn)略，而當(dāng)企業(yè)高管和各部門主管的戰(zhàn)略目標(biāo)和觀點(diǎn)與CISO的網(wǎng)絡(luò)安全優(yōu)先事項不一致時，通常會導(dǎo)致“意外成本”。

“當(dāng)出現(xiàn)這種不一致時，可能會導(dǎo)致預(yù)算分配方面的爭議，”Baird指出：“CISO在與其他部門競爭預(yù)算時需要證明其預(yù)算請求的合理性，而CISO的任何妥協(xié)可能會導(dǎo)致企業(yè)安全需求無法得到充分滿足，從而導(dǎo)致企業(yè)在響應(yīng)安全事件或數(shù)據(jù)泄露時的意外支出。”

“企業(yè)可能會被動地分配資源來解決眼前的威脅，這通常會在未來產(chǎn)生意外成本。這種被動投入的方法可能會導(dǎo)致安全預(yù)算緊張，無法提供全面且更具成本效益的長期安全策略。”

Manrod表示，有時企業(yè)和安全領(lǐng)導(dǎo)者在這方面都是短視的，在一個季度內(nèi)采取最簡單的安全措施，這可能在一年內(nèi)產(chǎn)生中性結(jié)果，但在五年內(nèi)可能會產(chǎn)生災(zāi)難性結(jié)果。“真正解決這個問題需要做長遠(yuǎn)規(guī)劃。”

因此，CISO需要將其安全優(yōu)先級與企業(yè)的戰(zhàn)略目標(biāo)保持一致，并定期評估安全投資的績效，以確保資源得到有效分配，并且安全覆蓋計劃有效且具有成本效益。

當(dāng)然，最重要的是，CISO需要在企業(yè)中有足夠長的任期，并得到其他高管的認(rèn)同和支持。