2023年，自斯諾登事件以來全球CISO首次面臨預算增速放緩甚至縮減。一方面，網絡安全威脅和企業數字化轉型業務安全保障需求不斷增長;另一方面，CISO需要“平地摳餅”、降本增效，根據IANS Research最新公布的研究報告，伴隨全球經濟衰退預期和通脹壓力的持續，2022-2023年預算周期的網絡安全預算增速同比下降了65%。

與預算緊縮和人員短缺作斗爭，已經成為當下CISO面臨的主要挑戰。而充分認識和規避網絡安全支出中的“成本陷阱”，是CISO應對該挑戰最有效的方法。

網絡安全投資往往暗藏成本陷阱，這些陷阱一開始可能并不明顯，但會隨著時間的推移悄悄消耗網絡安全部門的寶貴預算。本文，我們將揭示七個網絡安全成本陷阱，即便是經驗豐富的CISO也未必能完全躲過這些陷阱：

網絡安全產品收費結構復雜

• 安全產品和服務的收費結構往往很復雜。基礎版本的價格可能相對合理，但更高級的功能可能需要額外付費。

第三方附加成本

• 在購買任何安全產品或服務之前，應仔細評估所有可能的附加成本。
• 應利用談判策略來降低產品和服務的價格。

內部運營成本

• 考慮內部運行成本，例如員工培訓、維護和管理大量數據。
• 使用開源解決方案時，也需要考慮實施、管理和集成的成本。

功能和功能冗余

• 避免購買提供重復功能的服務。
• 評估現有安全提供商的有效性，并根據業務需求進行調整。

無效支出

• 在購買新工具或服務之前，首先評估現有解決方案是否已滿足需求。
• 避免購買與組織的威脅模型不符的投資。

供應商鎖定

• 避免因初期投資而使自己陷入某個供應商的鎖定，導致后期難以更換產品或平臺。

預算分配爭議導致的“意外成本”

• 確保安全投資與企業的戰略目標和業務優先級保持一致。
• 避免由于優先級不一致導致的預算分配爭議和由此產生的意外成本。

CISO應該時刻警惕上述成本陷阱，通過有效的策略和計劃，確保安全投資的合理性和效益。

以下，我們詳細介紹如何避免掉入網絡安全的“成本陷阱”：

1.留神安全產品服務計費結構的“套路”

許多CISO迷失在錯綜復雜的網絡安全產品計費結構中。“現在許多產品都有非常復雜的計費結構，而基礎版本的解決方案可能看起來相對有吸引力，但更高級的功能，通常是CISO所需的功能，一般會額外收費”歐洲聯盟網絡安全局(ENISA)顧問組成員Brain Honan指出。

這在安全信息和事件管理(SIEM)或安全運營中心(SOC)解決方案中相當常見，其中工具或平臺的初始購買相對較便宜，但隨著存儲的數據量、跟蹤的事件、分析的流量或監視的終端數量的增加，相關價格可能會大幅上升。

信息安全論壇(ISF)的杰出分析師Paul Watts指出，安全產品和服務的額外費用也可能包括許可、維護和支持成本，此外CISO承擔了很多本應由CTO/CIO承擔的成本："我聽說過CISO負責更多的安全功能，如SOC和基礎設施，發現他們承擔了本應由CIO/CTO承擔的支持和維護成本，特別是如果預算線相當緊密地結合在一起。"

2.仔細審查第三方成本

在決定購買任何網絡安全服務或與第三方合作之前，CISO應詢問并仔細評估相關的所有潛在額外成本。“這是為了優化供應商談判策略，為產品和服務爭取最低的合理價格，”Grand Canyon Education的CISO Mike Manrod說。特別是當購買新產品，建立全新的合作關系，或涉及知識產權而非實物產品的成本場景時，通常有很大的談判空間。

“關于服務，最重要的竅門是堅持要求廠商為每個新產品的實施都提供充分的專業服務，讓企業安全團隊中最優秀的人員親自操作，由廠商的專業服務工程師遠程指導。” Manrod說：“如果你選擇了正確的內部人員，他們將成為專家，然后讓他們培訓一個備份人員，并創建文檔和持續知識傳遞的文化。過去的6年中，這種方法為我們節省了很多錢。”

Manrod表示，另一個考慮因素可以幫助談判更合理的新安全產品價格。“例如，當一些遠程瀏覽器隔離供應商報價過高時，我會告訴供應商這個報價足夠我們自行開發一個功能類似的開源項目。“

3.內部運營成本不可忽視

安全產品和服務復雜的成本結構只是網絡安全隱性成本的一部分。另一件需要考慮的事情是有效運行安全產品的內部成本，這一點經常被忽視。以SIEM為例，CREST英國理事會成員Dave Allan指出，SIEM顯然是一個有效的安全工具，但出于合規目的，企業需要管理和保留大量數據，這意味著需要投入大量的存儲資源和時間。“考慮員工培訓、維護、添加用戶和處理誤報等因素也很重要——所有這些因素可能不會包含在初始成本分析中。”Allan說道。

滲透測試服務和開源解決方案也是如此。在使用滲透測試服務時，企業還必須考慮內部所需的時間和資源、任何潛在停機對業務造成的成本、分析報告所需的時間以及實施所需安全措施的成本。

開源解決方案雖然經常被看作是商業安全工具的經濟高效替代品，但也不一定能為網絡安全團隊節省成本。“實施、管理、集成和支持解決方案會產生持續成本，例如招聘相關專業人才或聘請外部專家時產生意想不到的成本。”

4.砍掉預算中的重疊服務和重復功能

重復功能和重疊服務是另一種常見的網絡安全預算超支原因。云服務提供商Nasstar的首席信息安全官Nick Trueman表示：“為重復的安全功能付費往往導致預算緊張。還可能導致集成方面的問題，協調和集成提供類似功能的多個廠商的產品會導致復雜性和互操作性問題。”

CISO應進行全面審查當前所有安全提供商提供的服務。“評估其有效性以及是否符合業務的安全要求，如果發現重復功能，請考慮將服務整合到單個提供商下或與提供商協商以消除冗余。

5.不要把預算浪費在無效安全服務和產品上

CISO往往會為無法帶來預期收益的冗余或無效工具付費，從而嚴重影響安全預算和覆蓋計劃。Qualys首席技術安全官Paul Baird表示，CISO經常會遇到這樣的情況：他們投資的安全工具或技術無法兌現最初的承諾，或提供預期價值及投資回報(ROI)。

發生這種情況的原因有多種，包括與現有系統集成不足、用戶采用率不高或工具無法有效滿足企業的特定安全需求。此類投資可能會導致安全預算緊張，并占用更有效的安全措施的資源，最終損害企業的整體網絡安全態勢。

在購買新產品之前確定現有解決方案是否可用。

ReliaQuest首席信息安全官Rick Holland表示，CISO有過度采購的歷史，他們更新工具并購買新工具，而不驗證用例或檢查現有解決方案是否已經能滿足需求。這導致工具蔓延和大量冗余且可能不必要的安全控制，從而使安全運營變得復雜。企業需要協調所有安全投資，以確保與企業的威脅模型相關并最大限度地降低風險。

例如，如果企業所處的行業不屬于網站可用性對于創收至關重要的垂直行業，是否仍然有必要續訂基于云的分布式拒絕服務(DDoS)緩解服務?

根據Honan在組織中審查安全工具的經驗，企業往往會為同一個功能購買兩到三個產品，僅僅是因為企業不知道他們購買的原始產品中已經提供了所需的所有功能。例如，許多現代操作系統都有內置的安全功能，例如磁盤加密，如果實施這些功能，可以消除對第三方解決方案的要求。

降低此類成本的關鍵是招聘一名產品工程師來審查安全配置并正確實施解決方案，這可以幫助CISO省去購買新工具以及與集成和管理該工具的相關成本。

6.“供應商鎖定”可造成永久性的成本陷阱

一些CISO可能會陷入的另一個成本陷阱是供應商鎖定。為了使解決方案有效發揮作用而投入的金錢、時間和資源最終可能會大大高于最初的預期。這導致很多CISO不愿意遷移到替代產品或平臺，因為他們可能覺得這樣做投資會損失，或者遷移成本過高。

Honan 表示：“當安全功能或流程外包給第三方或云服務時，情況尤其如此，即便成本不斷升高，企業仍然不愿意遷移到成本效益更好的解決方案。”

7.避免預算分配爭議導致的“意外成本”

安全投資與企業戰略和業務優先級不一致可能導致CISO無法獲得足夠的預算實施有效的長期戰略，而當企業高管和各部門主管的戰略目標和觀點與CISO的網絡安全優先事項不一致時，通常會導致“意外成本”。

“當出現這種不一致時，可能會導致預算分配方面的爭議，”Baird指出：“CISO在與其他部門競爭預算時需要證明其預算請求的合理性，而CISO的任何妥協可能會導致企業安全需求無法得到充分滿足，從而導致企業在響應安全事件或數據泄露時的意外支出。”

“企業可能會被動地分配資源來解決眼前的威脅，這通常會在未來產生意外成本。這種被動投入的方法可能會導致安全預算緊張，無法提供全面且更具成本效益的長期安全策略。”

Manrod表示，有時企業和安全領導者在這方面都是短視的，在一個季度內采取最簡單的安全措施，這可能在一年內產生中性結果，但在五年內可能會產生災難性結果。“真正解決這個問題需要做長遠規劃。”

因此，CISO需要將其安全優先級與企業的戰略目標保持一致，并定期評估安全投資的績效，以確保資源得到有效分配，并且安全覆蓋計劃有效且具有成本效益。

當然，最重要的是，CISO需要在企業中有足夠長的任期，并得到其他高管的認同和支持。