網絡安全預算中的成本陷阱

最近，有關網絡安全預算相關問題的數據出現了相互矛盾的現象。一些研究數據表明，部分公司的網絡安全預算正在合理范圍內穩步增長，這些公司的CISO正計劃著他們的下一輪開支狂潮。然而，另一些研究則指出，一些公司盡管先前已經批準了部分特定的網絡安全預算，但如今這些預算正在被收緊甚至是削減。這也就導致了安全策略的受限，產生了許多風險盲點。

當然，這些數據的差距在一定程度上受到了公司規模以及所屬行業差異的影響。但無論CISO的安全預算富裕還是有限，節省資金，避免不必要的隱藏成本肯定是一個更好的選擇。

安全投資的過程中總是伴隨著成本陷阱。這些陷阱雖不明顯，但會在不被CISO察覺的情況下逐漸消耗公司的安全資金。這些成本陷阱的范圍很廣，有些可能只有具備特定知識和經驗的人才能辨識，而有些成本，即便是經驗豐富的CISO，也很難察覺到。

收費結構方面存在困擾

發展至今，許多安全產品以及安全服務的收費結構都十分復雜。盡管這些安全解決方案基礎版本的收費看起來性價比很高，但對于那些安全團隊真正需要的功能（或者說更高級的功能）則需要支付額外的費用。

這種情況在安全信息與事件管理（security information and event management，SIEM）和安全運營中心（security operations center，SOC）解決方案中相當普遍。其中工具或平臺的初始購買價格相對便宜，但隨著存儲的數據量、跟蹤的事件、分析的流量或監視端點數量的增加，其相關定價將會出現不成比例的飆升。

安全產品和服務中的這些額外開支大概還包括許可證費用以及維護和支持成本等。另外，據說一些CISO還要負責更多的安全職能，如SOC和基礎設施等。他們承擔了本應該由CIO或CTO負擔的支持和維護成本，尤其是在預算條款相對緊密耦合的情況下。

仔細審查第三方成本

在決定購買任何網絡安全服務或與第三方進行合作之前，CISO應提前確認所有相關的額外收費，并對其進行詳細評估。這涉及到精細化供應商合作和談判策略，以獲取產品和服務的最低合理價格。特別是在購買新產品、建立新合作關系，或者成本涉及知識產權多于實際產品的情況下，這些都存在著很大的談判空間。

對于服務而言，最終極的訣竅就是要堅持確保每個新產品都配備足夠的專業服務作為支撐，即配備專業服務工程師來線上地指導客戶高效地使用該產品。挑選合適的員工來擔任該產品的負責人并解決后續的問題。合適的人員挑選十分重要，這決定著他們是否能夠成為該方面的專家。完成了以上步驟，下面要做的就是培訓備用人員，創建關于文檔記錄和持續知識傳遞的文化。這種做法能夠幫助組織節省下一筆不菲的資金。

在購買新型安全產品時，還有另外一種策略能夠爭取更加合理的價格。舉個例子，當某些提供遠程瀏覽器隔離服務的供應商報價過高時，組織可以向其詳細說明自己有能力自行開發此類產品，并將該產品創建成一個GitHub項目，供他人免費使用。當然前提是他們愿意花費與供應商要價相等的資本支出。這種方法的目的是向供應商表明立場，迫使供應商降低價格。

容易被忽視的內部運行成本

安全產品和服務復雜的成本結構只是潛在隱藏成本的一部分，另一需要考慮的因素是運行它們所需的內部成本。以SIEM為例，盡管它是一種有效的安全工具，用于監測和分析網絡活動，以識別潛在的威脅和安全風險。然而，使用SIEM會生成大量的數據，這些數據需要進行管理和保留，以滿足合規性法規的要求。而這些都需要投入大量的存儲空間和時間成本。

除此之外，員工培訓、維護、添加用戶以及處理誤報等因素也要考慮在內，這些都可能不包括在初始成本的范圍內。

其他例子還包括滲透測試以及開源解決方案。在進行滲透測試時，關鍵要考慮內部必須投入的工作時間和資源，停機對業務的潛在成本，分析報告所需的時間以及實施所需安全措施的成本等。

盡管開源解決方案經常被吹捧為商業工具經濟實惠的替代選擇，但事實并非如此。使用開源解決方案的過程中，往往會伴隨著一系列持續的成本和挑戰。這些成本包括實施、管理、整合和支持開源解決方案的費用，以確保其正常運作以及與其他系統的協同工作。此外，可能還需要額外的費用來招募或與外部專業人員進行合作，以彌補缺乏特定技能或知識經驗的不足。

冗余的服務與功能增加不必要的成本

重復的服務與功能是另一種常見的成本浪費，會在一定程度上削減安全預算。為這些重復的安全功能付費會使得財務效率低下，從而導致預算緊張。同時，這還可能會面臨整合方面的挑戰。由于這些服務所提供的功能相似，所以對其的協調工作會變得十分復雜，同時還可能會出現互操作性問題，最終導致系統運作不流暢，增加管理和維護的難度。

CISO應對其組織安全策略進行全面審查，明確當前所有合作的安全供應商及其所提供的服務，同時評估這些服務在實際使用中的效果，以確定它們是否有效地滿足了組織的安全需求。若發現存在功能重復的現象，則需要考慮將服務整合到一個供應商，或與供應商協商來消除功能冗余。

冗余安全服務和產品浪費預算

談到冗余，CISO往往會購買一些未能帶來預期收益的安全工具或服務，這對他們的安全預算和覆蓋計劃存在著顯著影響。CISO們可能會遇到這樣的情況，即其所購買的工具或服務最初可能有所承諾，但最終卻未能提供預期的價值或投資回報（return on investment，ROI）。

導致投資未能實現預期效果的原因有許多，其中包括工具與現有系統集成不足、用戶接受程度低，以及這些工具未能有效地滿足組織特定的安全需求等。這種不合理的投資會對安全預算造成壓力，使資源偏離更為有效的安全措施，最終損害組織的整體網絡安全態勢。

在一些CISO的預算條目中，有些工具要么是閑置的，要么是未能充分發揮其潛力的。問題就在于組織需要迅速應對威脅和防范攻擊，所以就很難提前解決這些潛在問題。

購買前先判定現有方案是否有效

CISO在購買安全工具方面存在著一種趨向，即不經過驗證用例，也不檢查現有解決方案是否已經應對了某種風險，就續訂舊工具或購買新工具，進行深度的支出。這種做法導致了冗余和潛在不必要安全控制的泛濫，使得安全運營變得更加復雜。企業需要協調所有投資，確保它們與組織的威脅模型相契合，并將風險降至最低。

例如，組織所在行業中，網站可用性對收入并不會造成關鍵影響。那么該組織就需要考慮是否需要續訂基于云的DDoS攻擊服務，DDoS攻擊的可能性和影響是否足夠低，以及有限的資源是否可以用于其他地方等問題。

CISO在審查組織中的安全工具時，通常會發現組織實施了兩到三個產品，僅僅是因為他們最初購買的原始產品中已經包含了所需的所有功能，而組織卻未能意識到這一點。舉例來說，許多現代操作系統都內置了一些安全功能，比如磁盤加密，如果實施了這些內置功能，就可以避免使用第三方解決方案的必要性。

雇傭一名產品工程師來審查系統配置，確保已有的解決方案得到正確的實施。可以避免CISO購買額外的工具以及與其集成和管理相關的成本。通過確保現有解決方案的正確配置和使用，組織可以最大程度地優化其已有的安全投資，而無需引入新的安全工具。這種方法有助于避免不必要的開支，提高資源利用效率。

供應商鎖定造成永久性的預算濫用

供應商鎖定是另一種潛在的成本陷阱。有些CISO為了使某個解決方案能夠有效運作，會投入大量資金、時間和資源，最終導致成本顯著超出預期。并且這樣還會導致一個更為嚴重的后果，即CISO不愿意考慮轉向其他供應商的產品或平臺。因為他們會擔心之前的投資會遭到浪費，或者遷移的成本太高。

在某些情況下，尤其是當安全功能或流程被外包給第三方或云服務時，盡管可能存在更經濟高效的解決方案，但持續的高成本仍是不可避免的。

當CISO接手跨部門或者由中央領導層主導的“倡議”時，也可能會面臨隱藏的成本問題。在這種情決策過程中，CISO有資金支配權，負責實施該倡議并承擔初始費用。他們會向上級或其他部門承諾，一旦倡議成功，那么它將會被納入業務預算之中。

隨后將會成為一項持續的常規業務。到了那個時候，再將運行成本重新分配到整個業務部門之間將會是一件困難的事情，可能會引起爭議和矛盾。因此，這些成本最終會留在CISO的預算中，給他們帶來麻煩，特別是這些成本實際上并不應該由安全部門承擔。

業務優先級失調引發安全成本超額

組織優先事項的不協調也會對CISO構成挑戰，導致成本的濫用。這種不協調通常發生在不同利益相關者，包括高級管理層和各個部門之間。他們的戰略目標和觀點同CISO的網絡安全優先事項不一致，從而導致矛盾的產生。

不一致一旦產生，隨之而來便是預算分配的爭議。CISO會被迫在與其他部門需求的競爭中爭取他們的預算請求。其后果可能是安全部門作出妥協，無法充分滿足組織的安全需求。從而導致在應對安全事件或違規時需要臨時支出，而不是有一個更全面的、長期的安全預算計劃。

有時候，無論是公司高層領袖還是安全負責人，在這方面都是目光短淺的。他們傾向于采取最簡單、快捷的方式來應對短期需求和問題，這在短時間內可能看起來并沒有什么太大問題，但在未來的幾年則可能會導致災難性的后果。所以，如果我們想要解決這個問題，就應該更加注重長遠的考慮。

在改進安全策略眾多因素中，最重要的還包括要長期留在同一家公司，并得到其他領導人持續堅定的支持，從而使安全團隊有更多的時間和機會來處理那些通常難以解決的安全問題。然而即便有長期的支持和努力，也沒有人能百分之百地確保安全計劃一定會成功。然而，不論預算水平如何，CISO仍應致力于最大程度地降低風險。CISO需要將他們的安全優先事項與組織的戰略目標相協調一致，并定期評估安全投資的績效，以確保資源得到有效分配，安全覆蓋計劃是有效的且具有成本效益的。