——“为什么今年的安全预算增加了这么多?”
——“安全预算花光了,公司的安全建设成果在哪里?”
——“前不久才批给你的一轮新的安全预算都没了?又进购了哪些产品?”
看完这一组“致命”三连问,可能有不少安全人已经汗流浃背了。但毫不夸张,这大概就是不少企业安全管理者在工作中需要切实面对的难题。
近几年,随着市场利润紧缩,在安全预算中“平地抠饼”以及“降本增效”成为了不少CISO不得不面对的难题。尽管有些时候公司已经批准了部分特定的网络安全预算,但如今这些预算正在被收紧甚至是削减。这也就导致安全策略受限,产生了许多风险盲点。
根据IANS Research最新公布的研究报告,伴随全球经济衰退预期和通胀压力的持续,2022-2023年预算周期的网络安全预算增速同比下降了65%。因此,与预算紧缩和人员短缺作斗争,已然成为当下CISO面临的主要挑战之一。但无论CISO的安全预算富裕还是有限,节省资金,避免不必要的隐藏成本肯定是一个更好的选择。
网安支出中暗藏的“成本陷阱”
从硬件设备的投入,到软件许可的购买,再到人力资源的管理,以及持续的维护和升级......企业网安建设支出中,往往暗藏成本陷阱,每个环节都可能带来预期之外的开支。这些开支不仅可能削弱企业的财务状况,甚至可能影响到整个安全建设的效果和效率。
这些陷阱在安全建设初期可能并不明显,但随着时间的推移很可能会悄悄地消耗网络安全部门的宝贵预算。这些成本陷阱的范围甚广,有些即便是具备特定知识和经验丰富的CISO都很难察觉到。具体有以下几类:
安全产品服务计费结构的“套路”
如今,不少CISO都许多安全供应商围绕其产品的收费结构中苦苦挣扎。欧洲联盟网络安全局(ENISA)顾问组成员Brain Honan指出,现在许多产品都有非常复杂的计费结构,而基础版本的解决方案可能看起来相对有吸引力,但更高级的功能,通常是CISO所需的功能,一般会额外收费。这些工具的初始购买成本相对较低,但随着存储的数据量、跟踪的事件、分析的流量或监视的终端数量的增加,相关价格可能会大幅上升。
此外,安全产品和服务中的额外开支还包括许可证费用以及维护和支持成本等。另外,据说一些CISO还要负责更多的安全职能,如SOC和基础设施等。他们承担了本应该由CIO或CTO负担的支持和维护成本,尤其是在预算条款相对紧密耦合的情况下。
审查第三方成本至关重要
在决定购买任何网络安全服务或与第三方合作之前,详细询问并评估所有潜在额外成本至关重要。这不仅是为了优化供应商谈判策略,更是为产品和服务争取最低的合理价格。特别是当购买新产品,建立全新的合作关系,或涉及知识产权而非实物产品的成本场景时,通常有很大的谈判空间。
对于服务而言,最终极的诀窍就是要坚持确保每个新产品都配备足够的专业服务作为支撑。比如,配备更加专业的工程师通过线上指导客户高效地使用该产品,同时挑选合适的员工来担任该产品的负责人解决后续问题。
另外,与挑选合适的服务人员同样重要的还有培训备用人员,养成创建关于文档记录和持续知识传递的文化能够帮助组织节省下一笔不菲的资金。
在购买新型安全产品时,还有另外一种策略能够争取更加合理的价格。举个例子,当某些提供远程浏览器隔离服务的供应商报价过高时,组织可以向其详细说明自己有能力自行开发此类产品,并将该产品创建成一个GitHub项目,供他人免费使用。当然前提是他们愿意花费与供应商要价相等的资本支出。这种方法的目的是向供应商表明立场,迫使供应商降低价格。
内部安全产品运营成本极易被忽视
除了安全产品和服务复杂的成本结构外,有效的运行安全产品的内部成本常常被人忽视。以SIEM为例,尽管SIEM是一个有效监测和分析网络活动的安全工具。但出于合规目的,企业在使用SIEM时会生成大量的数据,这意味着需要投入大量的存储资源和时间成本。因此,在这个过程中,考虑员工培训、维护、添加用户和处理误报等因素也很重要,毕竟这些因素可能多数并不会包含在初始成本分析中。
渗透测试服务和开源解决方案也是如此。在使用渗透测试服务时,企业还必须考虑内部所需的时间和资源、任何潜在停机对业务造成的成本、分析报告所需的时间以及实施所需安全措施的成本。开源解决方案虽然经常被看作是商业安全工具的经济高效替代品,但也不一定能为网络安全团队节省成本。“实施、管理、集成和支持解决方案会产生持续成本,例如招聘相关专业人才或聘请外部专家时产生意想不到的成本。
严格“去重”,不把预算浪费在无效服务和产品上
重复功能和重叠服务是另一种常见的网络安全预算超支原因。云服务提供商Nasstar的首席信息安全官Nick Trueman就曾提及过此类问题,他表示:为重复的安全功能付费往往导致预算紧张,还可能导致集成方面的问题,协调和集成提供类似功能的多个厂商的产品会导致复杂性和互操作性问题。
应全面审查所有安全提供商提供的服务,评估其有效性以及是否符合业务的安全要求,如果发现重复功能,可以考虑将服务整合到单个提供商下或与提供商协商以消除冗余。
在安全建设过程中,不少企业会为无法带来预期收益的冗余或无效工具付费。这可能会影响安全预算和覆盖计划,还可能导致投资的安全工具或技术无法兑现最初的承诺、以及无法提供预期价值及投资回报。
当然,出现这种情况背后的原因有很多种,比如与现有系统集成不足、用户采用率不高或工具无法有效满足企业的特定安全需求等等。诸如上述情况的安全投资占用了更有效的安全措施的资源,从而导致安全预算紧张,最终损害企业的整体网络安全态势。
不少CISO都有过度采购的情况,但如果是一味地只顾着更新工具购买工具,而不去验证用例或检查现有解决方案是否已经能满足需求。这极可能导致工具出现大量冗余的情况,从而使安全运营变得复杂。企业需要协调所有安全投资,以确保与企业的威胁模型相关并最大限度地降低风险。因此,在选择购买一项新产品之前,确定现有解决方案是否可用对于CISO来说是一项重要的工作。
根据业内人士在企业中的审查安全工具的经验之谈,企业往往会为同一个功能购买两到三个产品,但这仅仅是因为企业并不知晓他们购买的原始产品中已经提供了所需的所有功能。比如,许多现代操作系统都有内置的安全功能,例如磁盘加密,如果实施这些功能,可以消除对第三方解决方案的要求。想要做到这一步,可以考虑安排专门的产品工程师专人负责审查安全配置并正确实施解决方案,这能够有效帮助CISO省去购买新工具以及与集成和管理该工具的相关成本。
“供应商锁定”可能造成永久性的成本陷阱
企业有时为了让某个解决方案能够有效运作,会投入大量资金、时间和资源,最终导致成本显著超出预期。但考虑到不要浪费前期的投资,或者有时因为迁移的成本太高,所以大多企业不愿意考虑将某些安全事项转向其他供应商的产品或平台,尽管可能存在比之前更加经济高效的解决方案。当CISO接手跨部门或者由中央领导层主导的“倡议”时,可能会面临隐藏的成本问题。在这种情决策过程中,CISO有资金支配权,负责实施该倡议并承担初始费用。他们会向上级或其他部门承诺,一旦倡议成功,那么它将会被纳入业务预算之中。
随后将会成为一项持续的常规业务。到了那个时候,再将运行成本重新分配到整个业务部门之间将会是一件困难的事情,可能会引起争议和矛盾。因此,这些成本最终会留在CISO的预算中,给他们带来麻烦,特别是这些成本实际上并不应该由安全部门承担。
业务优先级混乱可能导致出现意外成本
当企业高管和各部门主管的战略目标和观点与CISO的网络安全优先事项不一致时,可能会导致预算分配方面的争议,这样CISO往往无法获得足够的预算实施有效的长期战略,从而导致出现意外的成本。
对于CISO来说,在与其他部门竞争预算时需要证明其预算请求的合理性,任何妥协都可能会导致企业安全需求无法得到充分满足,从而导致企业在响应安全事件或数据泄露时的意外支出。企业可能会被动地分配资源来解决眼前的威胁,这通常会在未来产生意外成本。这种被动投入的方法可能会导致安全预算紧张,无法提供全面且更具成本效益的长期安全策略。
这个情况其实一直是安全工作的痛点,算是早些年积累下的一个“病灶”。这里其实也涉及到如何量化安全工作的问题,在向领导汇报时,究竟该如何体现安全工作的阶段性成果以及找出安全投资可能为企业带来的实际效益十分重要。在争取预算的过程中,让上级领导及其他配合工作的部门领导充分认识到安全成本投入的重要性与必要性,能够有效保证安全成本的投入比例。
结语
企业网络安全既是保障企业资产安全的重要环节,也是维护企业核心竞争力的关键因素。因此,如何合理规划网络安全投入和开支,建立健全的预算监控和调整机制,及时了解预算执行情况,评估网络安全投入的有效性,并根据实际情况进行调整,以实现安全性和经济性的平衡至关重要。通过对网络安全预算执行情况的总结,不断提炼经验教训,持续改进网安预算计划的制定和执行,最大程度地规避网安成本“陷阱”,是每一位CISO的“必修课”。
毕竟,良性的网络安全投入不仅是企业保护信息资产和维护业务运营的基础,也是企业应对日益严峻的网络安全形势的必要举措。
参考资料: