2023年,自斯諾登事件以來(lái)全球CISO首次面臨預(yù)算增速放緩甚至縮減。一方面,網(wǎng)絡(luò)安全威脅和企業(yè)數(shù)字化轉(zhuǎn)型業(yè)務(wù)安全保障需求不斷增長(zhǎng);另一方面,CISO需要“平地?fù)革?rdquo;、降本增效,根據(jù)IANS Research最新公布的研究報(bào)告,伴隨全球經(jīng)濟(jì)衰退預(yù)期和通脹壓力的持續(xù),2022-2023年預(yù)算周期的網(wǎng)絡(luò)安全預(yù)算增速同比下降了65%。
與預(yù)算緊縮和人員短缺作斗爭(zhēng),已經(jīng)成為當(dāng)下CISO面臨的主要挑戰(zhàn)。而充分認(rèn)識(shí)和規(guī)避網(wǎng)絡(luò)安全支出中的“成本陷阱”,是CISO應(yīng)對(duì)該挑戰(zhàn)最有效的方法。
網(wǎng)絡(luò)安全投資往往暗藏成本陷阱,這些陷阱一開(kāi)始可能并不明顯,但會(huì)隨著時(shí)間的推移悄悄消耗網(wǎng)絡(luò)安全部門的寶貴預(yù)算。本文,我們將揭示七個(gè)網(wǎng)絡(luò)安全成本陷阱,即便是經(jīng)驗(yàn)豐富的CISO也未必能完全躲過(guò)這些陷阱:
網(wǎng)絡(luò)安全產(chǎn)品收費(fèi)結(jié)構(gòu)復(fù)雜
- 安全產(chǎn)品和服務(wù)的收費(fèi)結(jié)構(gòu)往往很復(fù)雜。基礎(chǔ)版本的價(jià)格可能相對(duì)合理,但更高級(jí)的功能可能需要額外付費(fèi)。
第三方附加成本
- 在購(gòu)買任何安全產(chǎn)品或服務(wù)之前,應(yīng)仔細(xì)評(píng)估所有可能的附加成本。
- 應(yīng)利用談判策略來(lái)降低產(chǎn)品和服務(wù)的價(jià)格。
內(nèi)部運(yùn)營(yíng)成本
- 考慮內(nèi)部運(yùn)行成本,例如員工培訓(xùn)、維護(hù)和管理大量數(shù)據(jù)。
- 使用開(kāi)源解決方案時(shí),也需要考慮實(shí)施、管理和集成的成本。
功能和功能冗余
- 避免購(gòu)買提供重復(fù)功能的服務(wù)。
- 評(píng)估現(xiàn)有安全提供商的有效性,并根據(jù)業(yè)務(wù)需求進(jìn)行調(diào)整。
無(wú)效支出
- 在購(gòu)買新工具或服務(wù)之前,首先評(píng)估現(xiàn)有解決方案是否已滿足需求。
- 避免購(gòu)買與組織的威脅模型不符的投資。
供應(yīng)商鎖定
- 避免因初期投資而使自己陷入某個(gè)供應(yīng)商的鎖定,導(dǎo)致后期難以更換產(chǎn)品或平臺(tái)。
預(yù)算分配爭(zhēng)議導(dǎo)致的“意外成本”
- 確保安全投資與企業(yè)的戰(zhàn)略目標(biāo)和業(yè)務(wù)優(yōu)先級(jí)保持一致。
- 避免由于優(yōu)先級(jí)不一致導(dǎo)致的預(yù)算分配爭(zhēng)議和由此產(chǎn)生的意外成本。
CISO應(yīng)該時(shí)刻警惕上述成本陷阱,通過(guò)有效的策略和計(jì)劃,確保安全投資的合理性和效益。
以下,我們?cè)敿?xì)介紹如何避免掉入網(wǎng)絡(luò)安全的“成本陷阱”:
1.留神安全產(chǎn)品服務(wù)計(jì)費(fèi)結(jié)構(gòu)的“套路”
許多CISO迷失在錯(cuò)綜復(fù)雜的網(wǎng)絡(luò)安全產(chǎn)品計(jì)費(fèi)結(jié)構(gòu)中。“現(xiàn)在許多產(chǎn)品都有非常復(fù)雜的計(jì)費(fèi)結(jié)構(gòu),而基礎(chǔ)版本的解決方案可能看起來(lái)相對(duì)有吸引力,但更高級(jí)的功能,通常是CISO所需的功能,一般會(huì)額外收費(fèi)”歐洲聯(lián)盟網(wǎng)絡(luò)安全局(ENISA)顧問(wèn)組成員Brain Honan指出。
這在安全信息和事件管理(SIEM)或安全運(yùn)營(yíng)中心(SOC)解決方案中相當(dāng)常見(jiàn),其中工具或平臺(tái)的初始購(gòu)買相對(duì)較便宜,但隨著存儲(chǔ)的數(shù)據(jù)量、跟蹤的事件、分析的流量或監(jiān)視的終端數(shù)量的增加,相關(guān)價(jià)格可能會(huì)大幅上升。
信息安全論壇(ISF)的杰出分析師Paul Watts指出,安全產(chǎn)品和服務(wù)的額外費(fèi)用也可能包括許可、維護(hù)和支持成本,此外CISO承擔(dān)了很多本應(yīng)由CTO/CIO承擔(dān)的成本:"我聽(tīng)說(shuō)過(guò)CISO負(fù)責(zé)更多的安全功能,如SOC和基礎(chǔ)設(shè)施,發(fā)現(xiàn)他們承擔(dān)了本應(yīng)由CIO/CTO承擔(dān)的支持和維護(hù)成本,特別是如果預(yù)算線相當(dāng)緊密地結(jié)合在一起。"
2.仔細(xì)審查第三方成本
在決定購(gòu)買任何網(wǎng)絡(luò)安全服務(wù)或與第三方合作之前,CISO應(yīng)詢問(wèn)并仔細(xì)評(píng)估相關(guān)的所有潛在額外成本。“這是為了優(yōu)化供應(yīng)商談判策略,為產(chǎn)品和服務(wù)爭(zhēng)取最低的合理價(jià)格,”Grand Canyon Education的CISO Mike Manrod說(shuō)。特別是當(dāng)購(gòu)買新產(chǎn)品,建立全新的合作關(guān)系,或涉及知識(shí)產(chǎn)權(quán)而非實(shí)物產(chǎn)品的成本場(chǎng)景時(shí),通常有很大的談判空間。
“關(guān)于服務(wù),最重要的竅門是堅(jiān)持要求廠商為每個(gè)新產(chǎn)品的實(shí)施都提供充分的專業(yè)服務(wù),讓企業(yè)安全團(tuán)隊(duì)中最優(yōu)秀的人員親自操作,由廠商的專業(yè)服務(wù)工程師遠(yuǎn)程指導(dǎo)。” Manrod說(shuō):“如果你選擇了正確的內(nèi)部人員,他們將成為專家,然后讓他們培訓(xùn)一個(gè)備份人員,并創(chuàng)建文檔和持續(xù)知識(shí)傳遞的文化。過(guò)去的6年中,這種方法為我們節(jié)省了很多錢。”
Manrod表示,另一個(gè)考慮因素可以幫助談判更合理的新安全產(chǎn)品價(jià)格。“例如,當(dāng)一些遠(yuǎn)程瀏覽器隔離供應(yīng)商報(bào)價(jià)過(guò)高時(shí),我會(huì)告訴供應(yīng)商這個(gè)報(bào)價(jià)足夠我們自行開(kāi)發(fā)一個(gè)功能類似的開(kāi)源項(xiàng)目。“
3.內(nèi)部運(yùn)營(yíng)成本不可忽視
安全產(chǎn)品和服務(wù)復(fù)雜的成本結(jié)構(gòu)只是網(wǎng)絡(luò)安全隱性成本的一部分。另一件需要考慮的事情是有效運(yùn)行安全產(chǎn)品的內(nèi)部成本,這一點(diǎn)經(jīng)常被忽視。以SIEM為例,CREST英國(guó)理事會(huì)成員Dave Allan指出,SIEM顯然是一個(gè)有效的安全工具,但出于合規(guī)目的,企業(yè)需要管理和保留大量數(shù)據(jù),這意味著需要投入大量的存儲(chǔ)資源和時(shí)間。“考慮員工培訓(xùn)、維護(hù)、添加用戶和處理誤報(bào)等因素也很重要——所有這些因素可能不會(huì)包含在初始成本分析中。”Allan說(shuō)道。
滲透測(cè)試服務(wù)和開(kāi)源解決方案也是如此。在使用滲透測(cè)試服務(wù)時(shí),企業(yè)還必須考慮內(nèi)部所需的時(shí)間和資源、任何潛在停機(jī)對(duì)業(yè)務(wù)造成的成本、分析報(bào)告所需的時(shí)間以及實(shí)施所需安全措施的成本。
開(kāi)源解決方案雖然經(jīng)常被看作是商業(yè)安全工具的經(jīng)濟(jì)高效替代品,但也不一定能為網(wǎng)絡(luò)安全團(tuán)隊(duì)節(jié)省成本。“實(shí)施、管理、集成和支持解決方案會(huì)產(chǎn)生持續(xù)成本,例如招聘相關(guān)專業(yè)人才或聘請(qǐng)外部專家時(shí)產(chǎn)生意想不到的成本。”
4.砍掉預(yù)算中的重疊服務(wù)和重復(fù)功能
重復(fù)功能和重疊服務(wù)是另一種常見(jiàn)的網(wǎng)絡(luò)安全預(yù)算超支原因。云服務(wù)提供商N(yùn)asstar的首席信息安全官Nick Trueman表示:“為重復(fù)的安全功能付費(fèi)往往導(dǎo)致預(yù)算緊張。還可能導(dǎo)致集成方面的問(wèn)題,協(xié)調(diào)和集成提供類似功能的多個(gè)廠商的產(chǎn)品會(huì)導(dǎo)致復(fù)雜性和互操作性問(wèn)題。”
CISO應(yīng)進(jìn)行全面審查當(dāng)前所有安全提供商提供的服務(wù)。“評(píng)估其有效性以及是否符合業(yè)務(wù)的安全要求,如果發(fā)現(xiàn)重復(fù)功能,請(qǐng)考慮將服務(wù)整合到單個(gè)提供商下或與提供商協(xié)商以消除冗余。
5.不要把預(yù)算浪費(fèi)在無(wú)效安全服務(wù)和產(chǎn)品上
CISO往往會(huì)為無(wú)法帶來(lái)預(yù)期收益的冗余或無(wú)效工具付費(fèi),從而嚴(yán)重影響安全預(yù)算和覆蓋計(jì)劃。Qualys首席技術(shù)安全官Paul Baird表示,CISO經(jīng)常會(huì)遇到這樣的情況:他們投資的安全工具或技術(shù)無(wú)法兌現(xiàn)最初的承諾,或提供預(yù)期價(jià)值及投資回報(bào)(ROI)。
發(fā)生這種情況的原因有多種,包括與現(xiàn)有系統(tǒng)集成不足、用戶采用率不高或工具無(wú)法有效滿足企業(yè)的特定安全需求。此類投資可能會(huì)導(dǎo)致安全預(yù)算緊張,并占用更有效的安全措施的資源,最終損害企業(yè)的整體網(wǎng)絡(luò)安全態(tài)勢(shì)。
在購(gòu)買新產(chǎn)品之前確定現(xiàn)有解決方案是否可用。
ReliaQuest首席信息安全官Rick Holland表示,CISO有過(guò)度采購(gòu)的歷史,他們更新工具并購(gòu)買新工具,而不驗(yàn)證用例或檢查現(xiàn)有解決方案是否已經(jīng)能滿足需求。這導(dǎo)致工具蔓延和大量冗余且可能不必要的安全控制,從而使安全運(yùn)營(yíng)變得復(fù)雜。企業(yè)需要協(xié)調(diào)所有安全投資,以確保與企業(yè)的威脅模型相關(guān)并最大限度地降低風(fēng)險(xiǎn)。
例如,如果企業(yè)所處的行業(yè)不屬于網(wǎng)站可用性對(duì)于創(chuàng)收至關(guān)重要的垂直行業(yè),是否仍然有必要續(xù)訂基于云的分布式拒絕服務(wù)(DDoS)緩解服務(wù)?
根據(jù)Honan在組織中審查安全工具的經(jīng)驗(yàn),企業(yè)往往會(huì)為同一個(gè)功能購(gòu)買兩到三個(gè)產(chǎn)品,僅僅是因?yàn)槠髽I(yè)不知道他們購(gòu)買的原始產(chǎn)品中已經(jīng)提供了所需的所有功能。例如,許多現(xiàn)代操作系統(tǒng)都有內(nèi)置的安全功能,例如磁盤加密,如果實(shí)施這些功能,可以消除對(duì)第三方解決方案的要求。
降低此類成本的關(guān)鍵是招聘一名產(chǎn)品工程師來(lái)審查安全配置并正確實(shí)施解決方案,這可以幫助CISO省去購(gòu)買新工具以及與集成和管理該工具的相關(guān)成本。
6.“供應(yīng)商鎖定”可造成永久性的成本陷阱
一些CISO可能會(huì)陷入的另一個(gè)成本陷阱是供應(yīng)商鎖定。為了使解決方案有效發(fā)揮作用而投入的金錢、時(shí)間和資源最終可能會(huì)大大高于最初的預(yù)期。這導(dǎo)致很多CISO不愿意遷移到替代產(chǎn)品或平臺(tái),因?yàn)樗麄兛赡苡X(jué)得這樣做投資會(huì)損失,或者遷移成本過(guò)高。
Honan 表示:“當(dāng)安全功能或流程外包給第三方或云服務(wù)時(shí),情況尤其如此,即便成本不斷升高,企業(yè)仍然不愿意遷移到成本效益更好的解決方案。”
7.避免預(yù)算分配爭(zhēng)議導(dǎo)致的“意外成本”
安全投資與企業(yè)戰(zhàn)略和業(yè)務(wù)優(yōu)先級(jí)不一致可能導(dǎo)致CISO無(wú)法獲得足夠的預(yù)算實(shí)施有效的長(zhǎng)期戰(zhàn)略,而當(dāng)企業(yè)高管和各部門主管的戰(zhàn)略目標(biāo)和觀點(diǎn)與CISO的網(wǎng)絡(luò)安全優(yōu)先事項(xiàng)不一致時(shí),通常會(huì)導(dǎo)致“意外成本”。
“當(dāng)出現(xiàn)這種不一致時(shí),可能會(huì)導(dǎo)致預(yù)算分配方面的爭(zhēng)議,”Baird指出:“CISO在與其他部門競(jìng)爭(zhēng)預(yù)算時(shí)需要證明其預(yù)算請(qǐng)求的合理性,而CISO的任何妥協(xié)可能會(huì)導(dǎo)致企業(yè)安全需求無(wú)法得到充分滿足,從而導(dǎo)致企業(yè)在響應(yīng)安全事件或數(shù)據(jù)泄露時(shí)的意外支出。”
“企業(yè)可能會(huì)被動(dòng)地分配資源來(lái)解決眼前的威脅,這通常會(huì)在未來(lái)產(chǎn)生意外成本。這種被動(dòng)投入的方法可能會(huì)導(dǎo)致安全預(yù)算緊張,無(wú)法提供全面且更具成本效益的長(zhǎng)期安全策略。”
Manrod表示,有時(shí)企業(yè)和安全領(lǐng)導(dǎo)者在這方面都是短視的,在一個(gè)季度內(nèi)采取最簡(jiǎn)單的安全措施,這可能在一年內(nèi)產(chǎn)生中性結(jié)果,但在五年內(nèi)可能會(huì)產(chǎn)生災(zāi)難性結(jié)果。“真正解決這個(gè)問(wèn)題需要做長(zhǎng)遠(yuǎn)規(guī)劃。”
因此,CISO需要將其安全優(yōu)先級(jí)與企業(yè)的戰(zhàn)略目標(biāo)保持一致,并定期評(píng)估安全投資的績(jī)效,以確保資源得到有效分配,并且安全覆蓋計(jì)劃有效且具有成本效益。
當(dāng)然,最重要的是,CISO需要在企業(yè)中有足夠長(zhǎng)的任期,并得到其他高管的認(rèn)同和支持。
