2023年,自斯諾登事件以來全球CISO首次面臨預算增速放緩甚至縮減。一方面,網(wǎng)絡(luò)安全威脅和企業(yè)數(shù)字化轉(zhuǎn)型業(yè)務(wù)安全保障需求不斷增長;另一方面,CISO需要“平地摳餅”、降本增效,根據(jù)IANS Research最新公布的研究報告,伴隨全球經(jīng)濟衰退預期和通脹壓力的持續(xù),2022-2023年預算周期的網(wǎng)絡(luò)安全預算增速同比下降了65%。
與預算緊縮和人員短缺作斗爭,已經(jīng)成為當下CISO面臨的主要挑戰(zhàn)。而充分認識和規(guī)避網(wǎng)絡(luò)安全支出中的“成本陷阱”,是CISO應(yīng)對該挑戰(zhàn)最有效的方法。
網(wǎng)絡(luò)安全投資往往暗藏成本陷阱,這些陷阱一開始可能并不明顯,但會隨著時間的推移悄悄消耗網(wǎng)絡(luò)安全部門的寶貴預算。本文,我們將揭示七個網(wǎng)絡(luò)安全成本陷阱,即便是經(jīng)驗豐富的CISO也未必能完全躲過這些陷阱:
網(wǎng)絡(luò)安全產(chǎn)品收費結(jié)構(gòu)復雜
安全產(chǎn)品和服務(wù)的收費結(jié)構(gòu)往往很復雜。基礎(chǔ)版本的價格可能相對合理,但更高級的功能可能需要額外付費。
第三方附加成本
在購買任何安全產(chǎn)品或服務(wù)之前,應(yīng)仔細評估所有可能的附加成本。
應(yīng)利用談判策略來降低產(chǎn)品和服務(wù)的價格。
內(nèi)部運營成本
考慮內(nèi)部運行成本,例如員工培訓、維護和管理大量數(shù)據(jù)。
使用開源解決方案時,也需要考慮實施、管理和集成的成本。
功能和功能冗余
避免購買提供重復功能的服務(wù)。
評估現(xiàn)有安全提供商的有效性,并根據(jù)業(yè)務(wù)需求進行調(diào)整。
無效支出
在購買新工具或服務(wù)之前,首先評估現(xiàn)有解決方案是否已滿足需求。
避免購買與組織的威脅模型不符的投資。
供應(yīng)商鎖定
避免因初期投資而使自己陷入某個供應(yīng)商的鎖定,導致后期難以更換產(chǎn)品或平臺。
預算分配爭議導致的“意外成本”
確保安全投資與企業(yè)的戰(zhàn)略目標和業(yè)務(wù)優(yōu)先級保持一致。
避免由于優(yōu)先級不一致導致的預算分配爭議和由此產(chǎn)生的意外成本。
CISO應(yīng)該時刻警惕上述成本陷阱,通過有效的策略和計劃,確保安全投資的合理性和效益。
以下,我們詳細介紹如何避免掉入網(wǎng)絡(luò)安全的“成本陷阱”:
1.留神安全產(chǎn)品服務(wù)計費結(jié)構(gòu)的“套路”
許多CISO迷失在錯綜復雜的網(wǎng)絡(luò)安全產(chǎn)品計費結(jié)構(gòu)中。“現(xiàn)在許多產(chǎn)品都有非常復雜的計費結(jié)構(gòu),而基礎(chǔ)版本的解決方案可能看起來相對有吸引力,但更高級的功能,通常是CISO所需的功能,一般會額外收費”歐洲聯(lián)盟網(wǎng)絡(luò)安全局(ENISA)顧問組成員Brain Honan指出。
這在安全信息和事件管理(SIEM)或安全運營中心(SOC)解決方案中相當常見,其中工具或平臺的初始購買相對較便宜,但隨著存儲的數(shù)據(jù)量、跟蹤的事件、分析的流量或監(jiān)視的終端數(shù)量的增加,相關(guān)價格可能會大幅上升。
信息安全論壇(ISF)的杰出分析師Paul Watts指出,安全產(chǎn)品和服務(wù)的額外費用也可能包括許可、維護和支持成本,此外CISO承擔了很多本應(yīng)由CTO/CIO承擔的成本:"我聽說過CISO負責更多的安全功能,如SOC和基礎(chǔ)設(shè)施,發(fā)現(xiàn)他們承擔了本應(yīng)由CIO/CTO承擔的支持和維護成本,特別是如果預算線相當緊密地結(jié)合在一起。"
2.仔細審查第三方成本
在決定購買任何網(wǎng)絡(luò)安全服務(wù)或與第三方合作之前,CISO應(yīng)詢問并仔細評估相關(guān)的所有潛在額外成本。“這是為了優(yōu)化供應(yīng)商談判策略,為產(chǎn)品和服務(wù)爭取最低的合理價格,”Grand Canyon Education的CISO Mike Manrod說。特別是當購買新產(chǎn)品,建立全新的合作關(guān)系,或涉及知識產(chǎn)權(quán)而非實物產(chǎn)品的成本場景時,通常有很大的談判空間。
“關(guān)于服務(wù),最重要的竅門是堅持要求廠商為每個新產(chǎn)品的實施都提供充分的專業(yè)服務(wù),讓企業(yè)安全團隊中最優(yōu)秀的人員親自操作,由廠商的專業(yè)服務(wù)工程師遠程指導。” Manrod說:“如果你選擇了正確的內(nèi)部人員,他們將成為專家,然后讓他們培訓一個備份人員,并創(chuàng)建文檔和持續(xù)知識傳遞的文化。過去的6年中,這種方法為我們節(jié)省了很多錢。”
Manrod表示,另一個考慮因素可以幫助談判更合理的新安全產(chǎn)品價格。“例如,當一些遠程瀏覽器隔離供應(yīng)商報價過高時,我會告訴供應(yīng)商這個報價足夠我們自行開發(fā)一個功能類似的開源項目。“
3.內(nèi)部運營成本不可忽視
安全產(chǎn)品和服務(wù)復雜的成本結(jié)構(gòu)只是網(wǎng)絡(luò)安全隱性成本的一部分。另一件需要考慮的事情是有效運行安全產(chǎn)品的內(nèi)部成本,這一點經(jīng)常被忽視。以SIEM為例,CREST英國理事會成員Dave Allan指出,SIEM顯然是一個有效的安全工具,但出于合規(guī)目的,企業(yè)需要管理和保留大量數(shù)據(jù),這意味著需要投入大量的存儲資源和時間。“考慮員工培訓、維護、添加用戶和處理誤報等因素也很重要——所有這些因素可能不會包含在初始成本分析中。”Allan說道。
滲透測試服務(wù)和開源解決方案也是如此。在使用滲透測試服務(wù)時,企業(yè)還必須考慮內(nèi)部所需的時間和資源、任何潛在停機對業(yè)務(wù)造成的成本、分析報告所需的時間以及實施所需安全措施的成本。
開源解決方案雖然經(jīng)常被看作是商業(yè)安全工具的經(jīng)濟高效替代品,但也不一定能為網(wǎng)絡(luò)安全團隊節(jié)省成本。“實施、管理、集成和支持解決方案會產(chǎn)生持續(xù)成本,例如招聘相關(guān)專業(yè)人才或聘請外部專家時產(chǎn)生意想不到的成本。”
4.砍掉預算中的重疊服務(wù)和重復功能
重復功能和重疊服務(wù)是另一種常見的網(wǎng)絡(luò)安全預算超支原因。云服務(wù)提供商Nasstar的首席信息安全官Nick Trueman表示:“為重復的安全功能付費往往導致預算緊張。還可能導致集成方面的問題,協(xié)調(diào)和集成提供類似功能的多個廠商的產(chǎn)品會導致復雜性和互操作性問題。”
CISO應(yīng)進行全面審查當前所有安全提供商提供的服務(wù)。“評估其有效性以及是否符合業(yè)務(wù)的安全要求,如果發(fā)現(xiàn)重復功能,請考慮將服務(wù)整合到單個提供商下或與提供商協(xié)商以消除冗余。
5.不要把預算浪費在無效安全服務(wù)和產(chǎn)品上
CISO往往會為無法帶來預期收益的冗余或無效工具付費,從而嚴重影響安全預算和覆蓋計劃。Qualys首席技術(shù)安全官Paul Baird表示,CISO經(jīng)常會遇到這樣的情況:他們投資的安全工具或技術(shù)無法兌現(xiàn)最初的承諾,或提供預期價值及投資回報(ROI)。
發(fā)生這種情況的原因有多種,包括與現(xiàn)有系統(tǒng)集成不足、用戶采用率不高或工具無法有效滿足企業(yè)的特定安全需求。此類投資可能會導致安全預算緊張,并占用更有效的安全措施的資源,最終損害企業(yè)的整體網(wǎng)絡(luò)安全態(tài)勢。
在購買新產(chǎn)品之前確定現(xiàn)有解決方案是否可用。
ReliaQuest首席信息安全官Rick Holland表示,CISO有過度采購的歷史,他們更新工具并購買新工具,而不驗證用例或檢查現(xiàn)有解決方案是否已經(jīng)能滿足需求。這導致工具蔓延和大量冗余且可能不必要的安全控制,從而使安全運營變得復雜。企業(yè)需要協(xié)調(diào)所有安全投資,以確保與企業(yè)的威脅模型相關(guān)并最大限度地降低風險。
例如,如果企業(yè)所處的行業(yè)不屬于網(wǎng)站可用性對于創(chuàng)收至關(guān)重要的垂直行業(yè),是否仍然有必要續(xù)訂基于云的分布式拒絕服務(wù)(DDoS)緩解服務(wù)?
根據(jù)Honan在組織中審查安全工具的經(jīng)驗,企業(yè)往往會為同一個功能購買兩到三個產(chǎn)品,僅僅是因為企業(yè)不知道他們購買的原始產(chǎn)品中已經(jīng)提供了所需的所有功能。例如,許多現(xiàn)代操作系統(tǒng)都有內(nèi)置的安全功能,例如磁盤加密,如果實施這些功能,可以消除對第三方解決方案的要求。
降低此類成本的關(guān)鍵是招聘一名產(chǎn)品工程師來審查安全配置并正確實施解決方案,這可以幫助CISO省去購買新工具以及與集成和管理該工具的相關(guān)成本。
6.“供應(yīng)商鎖定”可造成永久性的成本陷阱
一些CISO可能會陷入的另一個成本陷阱是供應(yīng)商鎖定。為了使解決方案有效發(fā)揮作用而投入的金錢、時間和資源最終可能會大大高于最初的預期。這導致很多CISO不愿意遷移到替代產(chǎn)品或平臺,因為他們可能覺得這樣做投資會損失,或者遷移成本過高。
Honan 表示:“當安全功能或流程外包給第三方或云服務(wù)時,情況尤其如此,即便成本不斷升高,企業(yè)仍然不愿意遷移到成本效益更好的解決方案。”
7.避免預算分配爭議導致的“意外成本”
安全投資與企業(yè)戰(zhàn)略和業(yè)務(wù)優(yōu)先級不一致可能導致CISO無法獲得足夠的預算實施有效的長期戰(zhàn)略,而當企業(yè)高管和各部門主管的戰(zhàn)略目標和觀點與CISO的網(wǎng)絡(luò)安全優(yōu)先事項不一致時,通常會導致“意外成本”。
“當出現(xiàn)這種不一致時,可能會導致預算分配方面的爭議,”Baird指出:“CISO在與其他部門競爭預算時需要證明其預算請求的合理性,而CISO的任何妥協(xié)可能會導致企業(yè)安全需求無法得到充分滿足,從而導致企業(yè)在響應(yīng)安全事件或數(shù)據(jù)泄露時的意外支出。”
“企業(yè)可能會被動地分配資源來解決眼前的威脅,這通常會在未來產(chǎn)生意外成本。這種被動投入的方法可能會導致安全預算緊張,無法提供全面且更具成本效益的長期安全策略。”
Manrod表示,有時企業(yè)和安全領(lǐng)導者在這方面都是短視的,在一個季度內(nèi)采取最簡單的安全措施,這可能在一年內(nèi)產(chǎn)生中性結(jié)果,但在五年內(nèi)可能會產(chǎn)生災難性結(jié)果。“真正解決這個問題需要做長遠規(guī)劃。”
因此,CISO需要將其安全優(yōu)先級與企業(yè)的戰(zhàn)略目標保持一致,并定期評估安全投資的績效,以確保資源得到有效分配,并且安全覆蓋計劃有效且具有成本效益。
當然,最重要的是,CISO需要在企業(yè)中有足夠長的任期,并得到其他高管的認同和支持。
