本文来自微信公众号“安全牛”。
在很多企业管理者的眼里,网络安全工作依然是一个成本中心,会增加内部的工作摩擦并降低业务效率。事实上,确保业务安全运营并不意味着一定要增加预算投入,如果企业更合理地选择安全工具,并采取措施避免这些工具的低效使用问题,就可以实现更高效的安全运营。
花钱越多,安全性未必更好
一个组织究竟应该在网络安全方面花费多少?答案似乎很简单:根据业务发安全展的需求情况而定。其中涉及的因素有很多,包括公司所从事的业务类型,其处理的个人或敏感数据或知识产权的类型,其面临的监管要求,其IT基础架构的复杂性,以及成为恶意行为者攻击目标的可能性等等。
与“一个组织应该在网络安全方面花费多少”相比,一个更为重要的问题可能是,组织应该如何确定需要在网络安全方面花费多少?因为很多组织为网络安全建设付出了巨大的努力和投资,却始终难以获得预期的效果。
实践表明,企业并不是在安全建设上花的钱越多,就会越安全。企业在决定安全预算时,不妨先抽时间冷静地分析一下,已经使用了哪些安全工具以及它们的效果如何。如果企业长期在为一些并不需要的网络安全工具或功能付费,又或者可以通过工具整合和集成等措施以较低的总成本获得同样的防护效果,那么就意味着企业的网络安全投资并没有获得合理回报。
穆迪公司最新调查发现,随着数字化转型的发展,当前企业组织会将年度总预算的约8%投入到安全建设中,其中包括了工具购买成本和人员维护成本。这一研究结果表明当前企业的网络安全支出相比以往已经处于一个较高的水平在全球宏观经济下行和不确定性因素增加的背景下,设法控制网络安全建设支出,不仅对降低企业当前的总体成本很重要,对防止未来可能的成本超支也很重要。
企业在开展网络安全建设时,需要严格避免不计成本地追求绝对的安全性。因为在任何商业活动中,投资和价值都是密不可分的,只有价值才能证明投资的合理性。当然,优化网络安全建设成本并不意味着就要降低安全防护的标准和要求。当前数据泄露的平均成本已经超过400万美元,因此企业加强对网络风险的检测和响应能力仍然至关重要,但企业应尽量避免因低效的安全工具购买而浪费了宝贵的网络安全建设资金。
优化网络安全建设成本的建议
有很多方法可以帮助企业在不影响功能特性的情况下有效控制网络安全建设的成本支出,以下列举了能够合理优化网络安全建设支出的6个最佳实践:
1
摸清家底,建立网络安全工具清单
优化网络安全建设成本的前提是建立一个全面的安全工具清单,全面了解组织中已有的网络安全工具“有哪些”、“谁在用”的问题。通过建立资产清单,可以快速识别出那些未经许可部署的安全工具,对其进行统一管理和利用;还可以借助构建依赖关系自动化分析能力,对重复部署的安全工具进行整合优化,从而节省安全建设和运营的开支。
2
与安全工具的使用者紧密合作
企业在选型购买网络安全产品时,应该与实际使用这些工具的人员(比如需要应用程序扫描和测试解决方案的软件开发人员)充分沟通,并紧密合作。这样做的好处包括:
其一,可以最大程度提升员工生产力和体验,而不是将使用者并不需要的解决方案强塞给他们,因为这么做只会降低网络安全工具带来的价值。
第二,充分沟通可以确保团队没有在未经正式许可的情况下私自部署安全工具。如果大量的影子安全产品潜伏在企业的IT环境中,组织就会在不知情的情况下为很多工具付费。
3
优化网络安全系统的架构设计
安全团队应该与组织的IT系统架构师(即负责规划IT架构、系统和集成的专家)充分合作,这样有助于从数字化发展顶层设计的视角,来优化安全建设的成本。从系统架构层面优化考虑,更容易找到让已有安全工具使用价值最大化的方法,从而获得更具成本效益的网络安全解决方案。
比如说,现代企业组织应该充分利用云计算技术和架构特点,设计部署允许跨多个云使用的安全工具,这样的总体成本将会比针对每个云或本地场景购买单独的安全工具要低很多。由于只需要使用同一种类型的安全工具,后续的管理运营成本也会降低很多。
4
学会利用开源网络安全工具
在网络安全领域,有许多开源的安全工具和项目可供企业安全团队和分析师们使用,而发现先进开源网络安全项目的一个有效方法就是在GitHub中进行针对性的搜索和查询。有数据显示,目前在GitHub中已经存在了数千个和网络安全主题相关的项目,全面覆盖了漏洞扫描、威胁检测、网络监控以及密码技术应用等多个方面,可以有效帮助企业组织保护数字化业务和资产的安全。
借助这些开源工具,企业在网络安全建设时可以实现更好的成本收益,因为这些网络安全项目会由专门的贡献者开发和维护,并提供有价值的工具、框架和资源来推动其更好地实践应用。
当然,开源工具是否真的比购买商业版产品更具成本效益取决于多种因素,包括产品后续的管理、运营和支持成本,许多隐性成本可能会使开源工具的实际成本比看上去要高得多,这就要求组织在选型安全工具时,对总成本进行全面的评估非常重要。
5
将使用AI作为一项基本策略
人工智能的崛起给所有行业带来翻天覆地的变化。从医疗到金融行业的众多企业都在使用AI工具实现流程自动化、改进决策以取得竞争优势。在网络安全领域,AI技术也正在改变企业风险治理、事件处置以及安全运营的方式。
AI工具可以通过实现自动化流程和知识积累,协助安全团队快速准确地识别并应对潜在的风险和问题。安全团队可训练机器学习算法识别数据模式、检测数据异常,也可利用自然语言处理分析电子邮件和社交媒体资料等非结构化数据源,从而更好地加强组织的整体安全态势。尽管人工智能还不成熟,其价值仍需进一步提升,尤其是在对错误容忍度非常小的一些细分领域。不过,合理使用基于人工智能的安全工具可以显著降低安全成本。
6
根据工作目标设定合理的工作优先级
为了优化网络安全建设成本,企业还需要了解什么资产对组织是最重要,并确保优先保护这些资产。在日常的安全运营中,各种安全工具会产生大量的数据信息,而很多未经分类的数据往往实际利用价值有限。组织的网络安全决策应该基于对数据的观察,对其进行优先级排序和可行性分析之后再进行行动。没有基于风险的排序,组织就会将宝贵的资金预算浪费在一些并不重要的安全事务上。当然,随着组织业务不断发展变化,其所面临的风险也会不断演变,因此需要不断重新评估优先保护的资产。