网络安全预算中的成本陷阱

最近，有关网络安全预算相关问题的数据出现了相互矛盾的现象。一些研究数据表明，部分公司的网络安全预算正在合理范围内稳步增长，这些公司的CISO正计划着他们的下一轮开支狂潮。然而，另一些研究则指出，一些公司尽管先前已经批准了部分特定的网络安全预算，但如今这些预算正在被收紧甚至是削减。这也就导致了安全策略的受限，产生了许多风险盲点。

当然，这些数据的差距在一定程度上受到了公司规模以及所属行业差异的影响。但无论CISO的安全预算富裕还是有限，节省资金，避免不必要的隐藏成本肯定是一个更好的选择。

安全投资的过程中总是伴随着成本陷阱。这些陷阱虽不明显，但会在不被CISO察觉的情况下逐渐消耗公司的安全资金。这些成本陷阱的范围很广，有些可能只有具备特定知识和经验的人才能辨识，而有些成本，即便是经验丰富的CISO，也很难察觉到。

发展至今，许多安全产品以及安全服务的收费结构都十分复杂。尽管这些安全解决方案基础版本的收费看起来性价比很高，但对于那些安全团队真正需要的功能（或者说更高级的功能）则需要支付额外的费用。

这种情况在安全信息与事件管理（security information and event management，SIEM）和安全运营中心（security operations center，SOC）解决方案中相当普遍。其中工具或平台的初始购买价格相对便宜，但随着存储的数据量、跟踪的事件、分析的流量或监视端点数量的增加，其相关定价将会出现不成比例的飙升。

安全产品和服务中的这些额外开支大概还包括许可证费用以及维护和支持成本等。另外，据说一些CISO还要负责更多的安全职能，如SOC和基础设施等。他们承担了本应该由CIO或CTO负担的支持和维护成本，尤其是在预算条款相对紧密耦合的情况下。

在决定购买任何网络安全服务或与第三方进行合作之前，CISO应提前确认所有相关的额外收费，并对其进行详细评估。这涉及到精细化供应商合作和谈判策略，以获取产品和服务的最低合理价格。特别是在购买新产品、建立新合作关系，或者成本涉及知识产权多于实际产品的情况下，这些都存在着很大的谈判空间。

对于服务而言，最终极的诀窍就是要坚持确保每个新产品都配备足够的专业服务作为支撑，即配备专业服务工程师来线上地指导客户高效地使用该产品。挑选合适的员工来担任该产品的负责人并解决后续的问题。合适的人员挑选十分重要，这决定着他们是否能够成为该方面的专家。完成了以上步骤，下面要做的就是培训备用人员，创建关于文档记录和持续知识传递的文化。这种做法能够帮助组织节省下一笔不菲的资金。

在购买新型安全产品时，还有另外一种策略能够争取更加合理的价格。举个例子，当某些提供远程浏览器隔离服务的供应商报价过高时，组织可以向其详细说明自己有能力自行开发此类产品，并将该产品创建成一个GitHub项目，供他人免费使用。当然前提是他们愿意花费与供应商要价相等的资本支出。这种方法的目的是向供应商表明立场，迫使供应商降低价格。

安全产品和服务复杂的成本结构只是潜在隐藏成本的一部分，另一需要考虑的因素是运行它们所需的内部成本。以SIEM为例，尽管它是一种有效的安全工具，用于监测和分析网络活动，以识别潜在的威胁和安全风险。然而，使用SIEM会生成大量的数据，这些数据需要进行管理和保留，以满足合规性法规的要求。而这些都需要投入大量的存储空间和时间成本。

除此之外，员工培训、维护、添加用户以及处理误报等因素也要考虑在内，这些都可能不包括在初始成本的范围内。

其他例子还包括渗透测试以及开源解决方案。在进行渗透测试时，关键要考虑内部必须投入的工作时间和资源，停机对业务的潜在成本，分析报告所需的时间以及实施所需安全措施的成本等。

尽管开源解决方案经常被吹捧为商业工具经济实惠的替代选择，但事实并非如此。使用开源解决方案的过程中，往往会伴随着一系列持续的成本和挑战。这些成本包括实施、管理、整合和支持开源解决方案的费用，以确保其正常运作以及与其他系统的协同工作。此外，可能还需要额外的费用来招募或与外部专业人员进行合作，以弥补缺乏特定技能或知识经验的不足。

重复的服务与功能是另一种常见的成本浪费，会在一定程度上削减安全预算。为这些重复的安全功能付费会使得财务效率低下，从而导致预算紧张。同时，这还可能会面临整合方面的挑战。由于这些服务所提供的功能相似，所以对其的协调工作会变得十分复杂，同时还可能会出现互操作性问题，最终导致系统运作不流畅，增加管理和维护的难度。

CISO应对其组织安全策略进行全面审查，明确当前所有合作的安全供应商及其所提供的服务，同时评估这些服务在实际使用中的效果，以确定它们是否有效地满足了组织的安全需求。若发现存在功能重复的现象，则需要考虑将服务整合到一个供应商，或与供应商协商来消除功能冗余。

谈到冗余，CISO往往会购买一些未能带来预期收益的安全工具或服务，这对他们的安全预算和覆盖计划存在着显著影响。CISO们可能会遇到这样的情况，即其所购买的工具或服务最初可能有所承诺，但最终却未能提供预期的价值或投资回报（return on investment，ROI）。

导致投资未能实现预期效果的原因有许多，其中包括工具与现有系统集成不足、用户接受程度低，以及这些工具未能有效地满足组织特定的安全需求等。这种不合理的投资会对安全预算造成压力，使资源偏离更为有效的安全措施，最终损害组织的整体网络安全态势。

在一些CISO的预算条目中，有些工具要么是闲置的，要么是未能充分发挥其潜力的。问题就在于组织需要迅速应对威胁和防范攻击，所以就很难提前解决这些潜在问题。

CISO在购买安全工具方面存在着一种趋向，即不经过验证用例，也不检查现有解决方案是否已经应对了某种风险，就续订旧工具或购买新工具，进行深度的支出。这种做法导致了冗余和潜在不必要安全控制的泛滥，使得安全运营变得更加复杂。企业需要协调所有投资，确保它们与组织的威胁模型相契合，并将风险降至最低。

例如，组织所在行业中，网站可用性对收入并不会造成关键影响。那么该组织就需要考虑是否需要续订基于云的DDoS攻击服务，DDoS攻击的可能性和影响是否足够低，以及有限的资源是否可以用于其他地方等问题。

CISO在审查组织中的安全工具时，通常会发现组织实施了两到三个产品，仅仅是因为他们最初购买的原始产品中已经包含了所需的所有功能，而组织却未能意识到这一点。举例来说，许多现代操作系统都内置了一些安全功能，比如磁盘加密，如果实施了这些内置功能，就可以避免使用第三方解决方案的必要性。

雇佣一名产品工程师来审查系统配置，确保已有的解决方案得到正确的实施。可以避免CISO购买额外的工具以及与其集成和管理相关的成本。通过确保现有解决方案的正确配置和使用，组织可以最大程度地优化其已有的安全投资，而无需引入新的安全工具。这种方法有助于避免不必要的开支，提高资源利用效率。

供应商锁定是另一种潜在的成本陷阱。有些CISO为了使某个解决方案能够有效运作，会投入大量资金、时间和资源，最终导致成本显著超出预期。并且这样还会导致一个更为严重的后果，即CISO不愿意考虑转向其他供应商的产品或平台。因为他们会担心之前的投资会遭到浪费，或者迁移的成本太高。

在某些情况下，尤其是当安全功能或流程被外包给第三方或云服务时，尽管可能存在更经济高效的解决方案，但持续的高成本仍是不可避免的。

当CISO接手跨部门或者由中央领导层主导的“倡议”时，也可能会面临隐藏的成本问题。在这种情决策过程中，CISO有资金支配权，负责实施该倡议并承担初始费用。他们会向上级或其他部门承诺，一旦倡议成功，那么它将会被纳入业务预算之中。

随后将会成为一项持续的常规业务。到了那个时候，再将运行成本重新分配到整个业务部门之间将会是一件困难的事情，可能会引起争议和矛盾。因此，这些成本最终会留在CISO的预算中，给他们带来麻烦，特别是这些成本实际上并不应该由安全部门承担。

组织优先事项的不协调也会对CISO构成挑战，导致成本的滥用。这种不协调通常发生在不同利益相关者，包括高级管理层和各个部门之间。他们的战略目标和观点同CISO的网络安全优先事项不一致，从而导致矛盾的产生。

不一致一旦产生，随之而来便是预算分配的争议。CISO会被迫在与其他部门需求的竞争中争取他们的预算请求。其后果可能是安全部门作出妥协，无法充分满足组织的安全需求。从而导致在应对安全事件或违规时需要临时支出，而不是有一个更全面的、长期的安全预算计划。

有时候，无论是公司高层领袖还是安全负责人，在这方面都是目光短浅的。他们倾向于采取最简单、快捷的方式来应对短期需求和问题，这在短时间内可能看起来并没有什么太大问题，但在未来的几年则可能会导致灾难性的后果。所以，如果我们想要解决这个问题，就应该更加注重长远的考虑。

在改进安全策略众多因素中，最重要的还包括要长期留在同一家公司，并得到其他领导人持续坚定的支持，从而使安全团队有更多的时间和机会来处理那些通常难以解决的安全问题。然而即便有长期的支持和努力，也没有人能百分之百地确保安全计划一定会成功。然而，不论预算水平如何，CISO仍应致力于最大程度地降低风险。CISO需要将他们的安全优先事项与组织的战略目标相协调一致，并定期评估安全投资的绩效，以确保资源得到有效分配，安全覆盖计划是有效的且具有成本效益的。

* 本文为茉泠编译，图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。

原文始发于微信公众号（数世咨询）：网络安全预算中的成本陷阱