信息化觀察網

本文來自微信公眾號“安全牛”。

在很多企業(yè)管理者的眼里，網絡安全工作依然是一個成本中心，會增加內部的工作摩擦并降低業(yè)務效率。事實上，確保業(yè)務安全運營并不意味著一定要增加預算投入，如果企業(yè)更合理地選擇安全工具，并采取措施避免這些工具的低效使用問題，就可以實現更高效的安全運營。

花錢越多，安全性未必更好

一個組織究竟應該在網絡安全方面花費多少？答案似乎很簡單：根據業(yè)務發(fā)安全展的需求情況而定。其中涉及的因素有很多，包括公司所從事的業(yè)務類型，其處理的個人或敏感數據或知識產權的類型，其面臨的監(jiān)管要求，其IT基礎架構的復雜性，以及成為惡意行為者攻擊目標的可能性等等。

與“一個組織應該在網絡安全方面花費多少”相比，一個更為重要的問題可能是，組織應該如何確定需要在網絡安全方面花費多少？因為很多組織為網絡安全建設付出了巨大的努力和投資，卻始終難以獲得預期的效果。

實踐表明，企業(yè)并不是在安全建設上花的錢越多，就會越安全。企業(yè)在決定安全預算時，不妨先抽時間冷靜地分析一下，已經使用了哪些安全工具以及它們的效果如何。如果企業(yè)長期在為一些并不需要的網絡安全工具或功能付費，又或者可以通過工具整合和集成等措施以較低的總成本獲得同樣的防護效果，那么就意味著企業(yè)的網絡安全投資并沒有獲得合理回報。

穆迪公司最新調查發(fā)現，隨著數字化轉型的發(fā)展，當前企業(yè)組織會將年度總預算的約8%投入到安全建設中，其中包括了工具購買成本和人員維護成本。這一研究結果表明當前企業(yè)的網絡安全支出相比以往已經處于一個較高的水平在全球宏觀經濟下行和不確定性因素增加的背景下，設法控制網絡安全建設支出，不僅對降低企業(yè)當前的總體成本很重要，對防止未來可能的成本超支也很重要。

企業(yè)在開展網絡安全建設時，需要嚴格避免不計成本地追求絕對的安全性。因為在任何商業(yè)活動中，投資和價值都是密不可分的，只有價值才能證明投資的合理性。當然，優(yōu)化網絡安全建設成本并不意味著就要降低安全防護的標準和要求。當前數據泄露的平均成本已經超過400萬美元，因此企業(yè)加強對網絡風險的檢測和響應能力仍然至關重要，但企業(yè)應盡量避免因低效的安全工具購買而浪費了寶貴的網絡安全建設資金。

優(yōu)化網絡安全建設成本的建議

有很多方法可以幫助企業(yè)在不影響功能特性的情況下有效控制網絡安全建設的成本支出，以下列舉了能夠合理優(yōu)化網絡安全建設支出的6個最佳實踐：

1

摸清家底，建立網絡安全工具清單

優(yōu)化網絡安全建設成本的前提是建立一個全面的安全工具清單，全面了解組織中已有的網絡安全工具“有哪些”、“誰在用”的問題。通過建立資產清單，可以快速識別出那些未經許可部署的安全工具，對其進行統(tǒng)一管理和利用；還可以借助構建依賴關系自動化分析能力，對重復部署的安全工具進行整合優(yōu)化，從而節(jié)省安全建設和運營的開支。

2

與安全工具的使用者緊密合作

企業(yè)在選型購買網絡安全產品時，應該與實際使用這些工具的人員（比如需要應用程序掃描和測試解決方案的軟件開發(fā)人員）充分溝通，并緊密合作。這樣做的好處包括：

其一，可以最大程度提升員工生產力和體驗，而不是將使用者并不需要的解決方案強塞給他們，因為這么做只會降低網絡安全工具帶來的價值。

第二，充分溝通可以確保團隊沒有在未經正式許可的情況下私自部署安全工具。如果大量的影子安全產品潛伏在企業(yè)的IT環(huán)境中，組織就會在不知情的情況下為很多工具付費。

3

優(yōu)化網絡安全系統(tǒng)的架構設計

安全團隊應該與組織的IT系統(tǒng)架構師（即負責規(guī)劃IT架構、系統(tǒng)和集成的專家）充分合作，這樣有助于從數字化發(fā)展頂層設計的視角，來優(yōu)化安全建設的成本。從系統(tǒng)架構層面優(yōu)化考慮，更容易找到讓已有安全工具使用價值最大化的方法，從而獲得更具成本效益的網絡安全解決方案。

比如說，現代企業(yè)組織應該充分利用云計算技術和架構特點，設計部署允許跨多個云使用的安全工具，這樣的總體成本將會比針對每個云或本地場景購買單獨的安全工具要低很多。由于只需要使用同一種類型的安全工具，后續(xù)的管理運營成本也會降低很多。

4

學會利用開源網絡安全工具

在網絡安全領域，有許多開源的安全工具和項目可供企業(yè)安全團隊和分析師們使用，而發(fā)現先進開源網絡安全項目的一個有效方法就是在GitHub中進行針對性的搜索和查詢。有數據顯示，目前在GitHub中已經存在了數千個和網絡安全主題相關的項目，全面覆蓋了漏洞掃描、威脅檢測、網絡監(jiān)控以及密碼技術應用等多個方面，可以有效幫助企業(yè)組織保護數字化業(yè)務和資產的安全。

借助這些開源工具，企業(yè)在網絡安全建設時可以實現更好的成本收益，因為這些網絡安全項目會由專門的貢獻者開發(fā)和維護，并提供有價值的工具、框架和資源來推動其更好地實踐應用。

當然，開源工具是否真的比購買商業(yè)版產品更具成本效益取決于多種因素，包括產品后續(xù)的管理、運營和支持成本，許多隱性成本可能會使開源工具的實際成本比看上去要高得多，這就要求組織在選型安全工具時，對總成本進行全面的評估非常重要。

5

將使用AI作為一項基本策略

人工智能的崛起給所有行業(yè)帶來翻天覆地的變化。從醫(yī)療到金融行業(yè)的眾多企業(yè)都在使用AI工具實現流程自動化、改進決策以取得競爭優(yōu)勢。在網絡安全領域，AI技術也正在改變企業(yè)風險治理、事件處置以及安全運營的方式。

AI工具可以通過實現自動化流程和知識積累，協助安全團隊快速準確地識別并應對潛在的風險和問題。安全團隊可訓練機器學習算法識別數據模式、檢測數據異常，也可利用自然語言處理分析電子郵件和社交媒體資料等非結構化數據源，從而更好地加強組織的整體安全態(tài)勢。盡管人工智能還不成熟，其價值仍需進一步提升，尤其是在對錯誤容忍度非常小的一些細分領域。不過，合理使用基于人工智能的安全工具可以顯著降低安全成本。

6

根據工作目標設定合理的工作優(yōu)先級

為了優(yōu)化網絡安全建設成本，企業(yè)還需要了解什么資產對組織是最重要，并確保優(yōu)先保護這些資產。在日常的安全運營中，各種安全工具會產生大量的數據信息，而很多未經分類的數據往往實際利用價值有限。組織的網絡安全決策應該基于對數據的觀察，對其進行優(yōu)先級排序和可行性分析之后再進行行動。沒有基于風險的排序，組織就會將寶貴的資金預算浪費在一些并不重要的安全事務上。當然，隨著組織業(yè)務不斷發(fā)展變化，其所面臨的風險也會不斷演變，因此需要不斷重新評估優(yōu)先保護的資產。