本文来自 企业网D1net公众号
安全投资可能会带来隐藏的成本,这些成本并不总是显而易见的,会在安全领导人从未意识到的情况下侵蚀他们的资金。
最近的数据描绘了一幅与网络安全预算有关的相互矛盾的图景。一些研究表明,随着CISO着眼于下一次支出狂潮,预算正在健康增长。其他研究表明,尽管之前获得批准,但安全预算正在收紧,甚至被大幅削减,这阻碍了安全战略,并造成了风险盲区。
公司规模和行业等几个因素无疑是造成这种不一致的原因之一,但无论CISO的资金是充足的还是稀缺的,通过避免隐藏的、不必要的成本来节省资金的机会肯定是普遍欢迎的。
安全投资可能会伴随着成本陷阱,这些陷阱并不总是显而易见的,但随着时间的推移,会侵蚀安全领导人的宝贵资金,而他们从未意识到这一点。这些成本的范围从正确的知识可以辨别的成本到有些令人惊讶的成本,即使是对最经久不衰的CISO来说也是如此。
CISO与安全产品和服务的收费结构作斗争
许多CISO在许多安全供应商围绕其产品的收费结构中苦苦挣扎。网络安全顾问、欧盟网络安全局(ENISA)咨询小组成员布赖恩·霍南告诉记者:“现在许多产品的收费结构非常复杂,虽然基本版本的解决方案可能看起来相对有吸引力,但更高级的功能--通常是CISO要求的功能--需要额外收费的情况并不少见。”
他补充说,这在安全信息和事件管理(SIEM)或安全运营中心(SOC)解决方案中非常常见,在这些解决方案中,工具或平台的初始购买相对便宜,但随着存储的数据量、跟踪的事件、分析的流量或监控的终端的增加,相关定价可能会大幅跃升。
安全产品和服务中的这些额外管理费用还可能包括许可、维护和支持成本。信息安全论坛(ISF)杰出分析师保罗·瓦茨表示:“我听说,CISO涵盖了SOC和基础设施等更多的安全马达功能,发现他们持有支持和维护成本,这些成本本应由CIO/CTO承担,特别是在预算线相当紧密的情况下。”
仔细审查第三方成本
在决定购买任何网络安全服务或与第三方接触之前,CISO应询问并仔细评估与使用该服务相关的所有潜在额外成本。大峡谷教育公司CISO的迈克·曼罗德表示:“这是一个完善供应商参与和谈判策略的问题,目的是以最低的合理价格购买产品和服务。”特别是,当一个产品是全新的ADD、新的关系和/或成本涉及知识产权而不是实物产品的情况下,应该有很大的谈判空间。
曼罗德说:“对于服务来说,最终的诀窍是坚持每个新产品都有足够的专业服务来实施,然后让你最有前途的人从键盘上引导会议,专业服务工程师告诉他们应该做什么。”
然后让那个人去支持那个产品,然后解决之后的问题,如果你选对了人,他们就是专家,他说。“一旦做到这一点,就让他们培训后备人员,创造一种记录和持续知识转移的文化。在过去6.5年里,我在这份工作上为我们节省了多少钱,这对我来说甚至都不合适。”
根据曼罗德的说法,另一个考虑因素可以帮助谈判新的安全产品的更合理的价格。例如,当一些远程浏览器隔离供应商报出荒谬的价格时,我们详细解释了如何构建自己的GitHub项目,以便如果我们致力于资本支出时间与他们收取的费用相等的话对其他人免费开放。这对供应商来说是一个非常突出的现实检验,定价变得更加合理,他表示。
内部运营成本经常被忽视
安全产品和服务错综复杂的成本结构只是潜在隐藏成本谜题的一部分。另一件需要考虑的事情是有效运营它们的内部成本,这一点经常被忽视。以暹罗为例;它显然是一个有效的工具,但出于合规目的,将有大量数据需要管理和保存,需要大量存储和时间投资,佳洁士英国委员会成员戴夫·艾伦告诉记者。
“考虑员工培训、维护、增加用户和处理误报等事情也很重要--所有这些事情都可能不包括在初始成本分析中。”他说。
渗透测试服务和开源解决方案也是很好的例子。Allan说,在使用渗透测试时,还必须考虑内部所需的时间和资源、任何潜在停机对业务的成本、分析报告所需的时间以及实施任何必需的安全措施的成本。
霍南补充说,开源解决方案虽然经常被吹捧为商业工具的高性价比替代方案,但也不一定会为网络安全团队节省成本。实施、管理、集成和支持解决方案的持续成本通常会导致在招聘具有所需技能的人员或与外部专业知识接触时产生意外成本。
重叠的服务和重复的功能不必要地给预算带来压力
重复功能的重叠服务是另一个常见的超支,可能会侵蚀安全预算。云服务提供商Nasstar的CISO尼克·特鲁曼(Nick Trueman)表示:“为这些重复的安全功能付费可能在财务上效率低下,并给预算带来压力。”他补充说,这还可能导致集成挑战,从而协调和集成具有类似功能的多个提供商会导致复杂性和互操作性问题。
CISO应进行全面审查,并确定所有当前的安全提供商及其提供的服务。“评估它们的有效性,以及它们是否符合企业的安全要求,”特鲁曼说。如果发现重复的功能,请考虑将服务整合到单一提供商之下,或与提供商协商以消除冗余。
将预算浪费在冗余的安全服务和产品上
在裁员问题上,CISO最终往往会为不能提供预期收益的工具买单,从而严重影响其安全预算和覆盖计划。Qualys首席技术安全官Paul Baird表示,CISO可能会遇到这样的情况,即他们投资于安全工具或技术,尽管他们最初承诺,但未能提供预期的价值或投资回报。
出现这种情况的原因有几个,包括与现有系统的集成不充分、用户采用有限,或者工具不能有效地满足组织的特定安全需求。这种投资可能会给安全预算带来压力,并将资源从更有效的安全措施中转移出来,最终破坏该组织的整体网络安全态势。
Baird说:“我看到CISO在他们的预算中发现,这些工具要么是搁置的,要么是没有被充分利用的潜力。”这里的问题是,我们跑得很快,以跟上威胁并防止袭击,这使得我们很难走在问题的前面。
在购买新的解决方案之前,确定现有解决方案是否有效
ReliaQuest的CISO里克·霍兰德表示,CISO有过花费深入采购的历史,他们更新工具并购买新工具,而不验证用例和检查现有解决方案是否已经解决了风险。这导致了大量冗余的、可能不必要的安全控制,使安全操作复杂化。他补充说,公司需要协调所有投资,以确保它们与组织的威胁模型相关,并将风险降至最低。
例如,如果您不在网站可用性对创收至关重要的垂直领域,是否需要续订基于云的分布式拒绝服务(DDoS)缓解服务?DDoS攻击的可能性和影响是否足够低,以至于有限的资源可以定向到其他地方?
在Honan审查组织中的安全工具的经验中,通常只因为组织不知道他们所需的所有功能在他们购买的原始产品中都可用而实施了两到三个产品。例如,他表示,许多现代操作系统都带有内置的安全功能,如磁盘加密,如果实施,可能会消除拥有第三方解决方案的要求。
霍南补充道:“聘请一名产品工程师来审核您的配置并确保正确实施解决方案,可以使CISO不必再购买其他工具以及与集成和管理工具相关的成本。”
供应商锁定造成永久的不当支出
一些CISO可能会陷入的另一个成本陷阱是供应商锁定。为了使解决方案有效工作,在金钱、时间和资源上的投入最终可能会比最初预期的要高得多。这可能会导致CISO不愿转向替代产品或平台,因为他们可能会觉得投资将会损失,或者迁移的成本将令人望而却步。
霍南说:“当安全功能或流程被外包给第三方或云时,情况尤其如此,尽管有更具成本效益的解决方案可用,但这会导致持续时间更长、成本更高的成本。”
瓦茨说,当CISO拿起一项横切的、中心主导的“倡议”时,隐藏成本也可能悄悄出现,他们在实施和零日成本方面掌握着这一倡议的钱包,承诺“如果它奏效,我们将整合到企业预算中”。
“然后,这就变成了一种持久的一切照旧的活动,到那时,在整个业务范围内重新计入运营成本是一个没有人想要的对话,因此它位于CISO的预算线上,给他们带来了烦恼,特别是如果它确实不符合中央安全成本的情况。”
不一致的业务优先级引发安全超支
组织优先事项的错位可能会对CISO构成挑战,可能会导致多付款项。这种不一致通常发生在不同利益相关者的战略目标和视角与CISO的网络安全优先事项不一致时,这些利益相关者包括高级领导层和各个部门。
“当这种错位发生时,可能会导致预算分配方面的争端,”贝尔德说。信息和通信技术组织可能不得不在与其他部门的要求竞争中为其预算请求辩护,这可能会导致可能无法充分满足组织的安全需求的妥协,从而导致应对安全事件或漏洞的临时支出。
组织可能会有反应地分配资源来应对迫在眉睫的威胁,这往往会招致额外的成本。这种被动的方法可能会使预算紧张,而且可能无法提供全面且具有成本效益的长期安全战略。
曼罗德说,有时公司和安全领导者在这方面都很短视,选择了最容易的季度路径,这可能在一年内产生中性的结果,但在五年内产生灾难性的结果。“如果我们想要解决这个问题,我们都需要倾向于更长远的思考。”
他补充说,在帮助对安全项目进行大量改进的所有因素中,最重要的因素之一是长期留在同一家公司,得到其他领导人始终如一、坚定不移的支持,为解决经常得不到解决的难题提供了持续工作的平台。“我们中有谁肯定会成功吗?一点也不。尽管如此,我愿意认为我们都在努力实现最大可能的风险降低,对于每一种投资水平。”信息和通信技术组织需要使其安全优先事项与本组织的战略目标保持一致,并定期评估安全投资的绩效,以确保有效地分配资源,并确保安全覆盖计划具有效力和成本效益。