旷世神医,欢乐颂第二季,有声小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

當(dāng)心成本陷阱，這可能會(huì)給寶貴的網(wǎng)絡(luò)安全預(yù)算帶來(lái)壓力

最近的數(shù)據(jù)描繪了一幅與網(wǎng)絡(luò)安全預(yù)算有關(guān)的相互矛盾的圖景。一些研究表明，隨著CISO著眼于下一次支出狂潮，預(yù)算正在健康增長(zhǎng)。其他研究表明，盡管之前獲得批準(zhǔn)，但安全預(yù)算正在收緊，甚至被大幅削減，這阻礙了安全戰(zhàn)略，并造成了風(fēng)險(xiǎn)盲區(qū)。

公司規(guī)模和行業(yè)等幾個(gè)因素?zé)o疑是造成這種不一致的原因之一，但無(wú)論CISO的資金是充足的還是稀缺的，通過(guò)避免隱藏的、不必要的成本來(lái)節(jié)省資金的機(jī)會(huì)肯定是普遍歡迎的。

安全投資可能會(huì)伴隨著成本陷阱，這些陷阱并不總是顯而易見(jiàn)的，但隨著時(shí)間的推移，會(huì)侵蝕安全領(lǐng)導(dǎo)人的寶貴資金，而他們從未意識(shí)到這一點(diǎn)。這些成本的范圍從正確的知識(shí)可以辨別的成本到有些令人驚訝的成本，即使是對(duì)最經(jīng)久不衰的CISO來(lái)說(shuō)也是如此。

CISO與安全產(chǎn)品和服務(wù)的收費(fèi)結(jié)構(gòu)作斗爭(zhēng)

許多CISO在許多安全供應(yīng)商圍繞其產(chǎn)品的收費(fèi)結(jié)構(gòu)中苦苦掙扎。網(wǎng)絡(luò)安全顧問(wèn)、歐盟網(wǎng)絡(luò)安全局(ENISA)咨詢小組成員布賴恩·霍南告訴記者：“現(xiàn)在許多產(chǎn)品的收費(fèi)結(jié)構(gòu)非常復(fù)雜，雖然基本版本的解決方案可能看起來(lái)相對(duì)有吸引力，但更高級(jí)的功能--通常是CISO要求的功能--需要額外收費(fèi)的情況并不少見(jiàn)?！?/p>

他補(bǔ)充說(shuō)，這在安全信息和事件管理(SIEM)或安全運(yùn)營(yíng)中心(SOC)解決方案中非常常見(jiàn)，在這些解決方案中，工具或平臺(tái)的初始購(gòu)買相對(duì)便宜，但隨著存儲(chǔ)的數(shù)據(jù)量、跟蹤的事件、分析的流量或監(jiān)控的終端的增加，相關(guān)定價(jià)可能會(huì)大幅躍升。

安全產(chǎn)品和服務(wù)中的這些額外管理費(fèi)用還可能包括許可、維護(hù)和支持成本。信息安全論壇(ISF)杰出分析師保羅·瓦茨表示：“我聽(tīng)說(shuō)，CISO涵蓋了SOC和基礎(chǔ)設(shè)施等更多的安全馬達(dá)功能，發(fā)現(xiàn)他們持有支持和維護(hù)成本，這些成本本應(yīng)由CIO/CTO承擔(dān)，特別是在預(yù)算線相當(dāng)緊密的情況下?！?/p>

仔細(xì)審查第三方成本

在決定購(gòu)買任何網(wǎng)絡(luò)安全服務(wù)或與第三方接觸之前，CISO應(yīng)詢問(wèn)并仔細(xì)評(píng)估與使用該服務(wù)相關(guān)的所有潛在額外成本。大峽谷教育公司CISO的邁克·曼羅德表示：“這是一個(gè)完善供應(yīng)商參與和談判策略的問(wèn)題，目的是以最低的合理價(jià)格購(gòu)買產(chǎn)品和服務(wù)?！碧貏e是，當(dāng)一個(gè)產(chǎn)品是全新的ADD、新的關(guān)系和/或成本涉及知識(shí)產(chǎn)權(quán)而不是實(shí)物產(chǎn)品的情況下，應(yīng)該有很大的談判空間。

曼羅德說(shuō)：“對(duì)于服務(wù)來(lái)說(shuō)，最終的訣竅是堅(jiān)持每個(gè)新產(chǎn)品都有足夠的專業(yè)服務(wù)來(lái)實(shí)施，然后讓你最有前途的人從鍵盤上引導(dǎo)會(huì)議，專業(yè)服務(wù)工程師告訴他們應(yīng)該做什么?！?/p>

然后讓那個(gè)人去支持那個(gè)產(chǎn)品，然后解決之后的問(wèn)題，如果你選對(duì)了人，他們就是專家，他說(shuō)。“一旦做到這一點(diǎn)，就讓他們培訓(xùn)后備人員，創(chuàng)造一種記錄和持續(xù)知識(shí)轉(zhuǎn)移的文化。在過(guò)去6.5年里，我在這份工作上為我們節(jié)省了多少錢，這對(duì)我來(lái)說(shuō)甚至都不合適?！?/p>

根據(jù)曼羅德的說(shuō)法，另一個(gè)考慮因素可以幫助談判新的安全產(chǎn)品的更合理的價(jià)格。例如，當(dāng)一些遠(yuǎn)程瀏覽器隔離供應(yīng)商報(bào)出荒謬的價(jià)格時(shí)，我們?cè)敿?xì)解釋了如何構(gòu)建自己的GitHub項(xiàng)目，以便如果我們致力于資本支出時(shí)間與他們收取的費(fèi)用相等的話對(duì)其他人免費(fèi)開(kāi)放。這對(duì)供應(yīng)商來(lái)說(shuō)是一個(gè)非常突出的現(xiàn)實(shí)檢驗(yàn)，定價(jià)變得更加合理，他表示。

內(nèi)部運(yùn)營(yíng)成本經(jīng)常被忽視

安全產(chǎn)品和服務(wù)錯(cuò)綜復(fù)雜的成本結(jié)構(gòu)只是潛在隱藏成本謎題的一部分。另一件需要考慮的事情是有效運(yùn)營(yíng)它們的內(nèi)部成本，這一點(diǎn)經(jīng)常被忽視。以暹羅為例;它顯然是一個(gè)有效的工具，但出于合規(guī)目的，將有大量數(shù)據(jù)需要管理和保存，需要大量存儲(chǔ)和時(shí)間投資，佳潔士英國(guó)委員會(huì)成員戴夫·艾倫告訴記者。

“考慮員工培訓(xùn)、維護(hù)、增加用戶和處理誤報(bào)等事情也很重要--所有這些事情都可能不包括在初始成本分析中?！彼f(shuō)。

滲透測(cè)試服務(wù)和開(kāi)源解決方案也是很好的例子。Allan說(shuō)，在使用滲透測(cè)試時(shí)，還必須考慮內(nèi)部所需的時(shí)間和資源、任何潛在停機(jī)對(duì)業(yè)務(wù)的成本、分析報(bào)告所需的時(shí)間以及實(shí)施任何必需的安全措施的成本。

霍南補(bǔ)充說(shuō)，開(kāi)源解決方案雖然經(jīng)常被吹捧為商業(yè)工具的高性價(jià)比替代方案，但也不一定會(huì)為網(wǎng)絡(luò)安全團(tuán)隊(duì)節(jié)省成本。實(shí)施、管理、集成和支持解決方案的持續(xù)成本通常會(huì)導(dǎo)致在招聘具有所需技能的人員或與外部專業(yè)知識(shí)接觸時(shí)產(chǎn)生意外成本。

重疊的服務(wù)和重復(fù)的功能不必要地給預(yù)算帶來(lái)壓力

重復(fù)功能的重疊服務(wù)是另一個(gè)常見(jiàn)的超支，可能會(huì)侵蝕安全預(yù)算。云服務(wù)提供商N(yùn)asstar的CISO尼克·特魯曼(Nick Trueman)表示：“為這些重復(fù)的安全功能付費(fèi)可能在財(cái)務(wù)上效率低下，并給預(yù)算帶來(lái)壓力?！彼a(bǔ)充說(shuō)，這還可能導(dǎo)致集成挑戰(zhàn)，從而協(xié)調(diào)和集成具有類似功能的多個(gè)提供商會(huì)導(dǎo)致復(fù)雜性和互操作性問(wèn)題。

CISO應(yīng)進(jìn)行全面審查，并確定所有當(dāng)前的安全提供商及其提供的服務(wù)?！霸u(píng)估它們的有效性，以及它們是否符合企業(yè)的安全要求，”特魯曼說(shuō)。如果發(fā)現(xiàn)重復(fù)的功能，請(qǐng)考慮將服務(wù)整合到單一提供商之下，或與提供商協(xié)商以消除冗余。

將預(yù)算浪費(fèi)在冗余的安全服務(wù)和產(chǎn)品上

在裁員問(wèn)題上，CISO最終往往會(huì)為不能提供預(yù)期收益的工具買單，從而嚴(yán)重影響其安全預(yù)算和覆蓋計(jì)劃。Qualys首席技術(shù)安全官Paul Baird表示，CISO可能會(huì)遇到這樣的情況，即他們投資于安全工具或技術(shù)，盡管他們最初承諾，但未能提供預(yù)期的價(jià)值或投資回報(bào)。

出現(xiàn)這種情況的原因有幾個(gè)，包括與現(xiàn)有系統(tǒng)的集成不充分、用戶采用有限，或者工具不能有效地滿足組織的特定安全需求。這種投資可能會(huì)給安全預(yù)算帶來(lái)壓力，并將資源從更有效的安全措施中轉(zhuǎn)移出來(lái)，最終破壞該組織的整體網(wǎng)絡(luò)安全態(tài)勢(shì)。

Baird說(shuō)：“我看到CISO在他們的預(yù)算中發(fā)現(xiàn)，這些工具要么是擱置的，要么是沒(méi)有被充分利用的潛力?！边@里的問(wèn)題是，我們跑得很快，以跟上威脅并防止襲擊，這使得我們很難走在問(wèn)題的前面。

在購(gòu)買新的解決方案之前，確定現(xiàn)有解決方案是否有效

ReliaQuest的CISO里克·霍蘭德表示，CISO有過(guò)花費(fèi)深入采購(gòu)的歷史，他們更新工具并購(gòu)買新工具，而不驗(yàn)證用例和檢查現(xiàn)有解決方案是否已經(jīng)解決了風(fēng)險(xiǎn)。這導(dǎo)致了大量冗余的、可能不必要的安全控制，使安全操作復(fù)雜化。他補(bǔ)充說(shuō)，公司需要協(xié)調(diào)所有投資，以確保它們與組織的威脅模型相關(guān)，并將風(fēng)險(xiǎn)降至最低。

例如，如果您不在網(wǎng)站可用性對(duì)創(chuàng)收至關(guān)重要的垂直領(lǐng)域，是否需要續(xù)訂基于云的分布式拒絕服務(wù)(DDoS)緩解服務(wù)?DDoS攻擊的可能性和影響是否足夠低，以至于有限的資源可以定向到其他地方?

在Honan審查組織中的安全工具的經(jīng)驗(yàn)中，通常只因?yàn)榻M織不知道他們所需的所有功能在他們購(gòu)買的原始產(chǎn)品中都可用而實(shí)施了兩到三個(gè)產(chǎn)品。例如，他表示，許多現(xiàn)代操作系統(tǒng)都帶有內(nèi)置的安全功能，如磁盤加密，如果實(shí)施，可能會(huì)消除擁有第三方解決方案的要求。

霍南補(bǔ)充道：“聘請(qǐng)一名產(chǎn)品工程師來(lái)審核您的配置并確保正確實(shí)施解決方案，可以使CISO不必再購(gòu)買其他工具以及與集成和管理工具相關(guān)的成本。”

供應(yīng)商鎖定造成永久的不當(dāng)支出

一些CISO可能會(huì)陷入的另一個(gè)成本陷阱是供應(yīng)商鎖定。為了使解決方案有效工作，在金錢、時(shí)間和資源上的投入最終可能會(huì)比最初預(yù)期的要高得多。這可能會(huì)導(dǎo)致CISO不愿轉(zhuǎn)向替代產(chǎn)品或平臺(tái)，因?yàn)樗麄兛赡軙?huì)覺(jué)得投資將會(huì)損失，或者遷移的成本將令人望而卻步。

霍南說(shuō)：“當(dāng)安全功能或流程被外包給第三方或云時(shí)，情況尤其如此，盡管有更具成本效益的解決方案可用，但這會(huì)導(dǎo)致持續(xù)時(shí)間更長(zhǎng)、成本更高的成本?！?/p>

瓦茨說(shuō)，當(dāng)CISO拿起一項(xiàng)橫切的、中心主導(dǎo)的“倡議”時(shí)，隱藏成本也可能悄悄出現(xiàn)，他們?cè)趯?shí)施和零日成本方面掌握著這一倡議的錢包，承諾“如果它奏效，我們將整合到企業(yè)預(yù)算中”。

“然后，這就變成了一種持久的一切照舊的活動(dòng)，到那時(shí)，在整個(gè)業(yè)務(wù)范圍內(nèi)重新計(jì)入運(yùn)營(yíng)成本是一個(gè)沒(méi)有人想要的對(duì)話，因此它位于CISO的預(yù)算線上，給他們帶來(lái)了煩惱，特別是如果它確實(shí)不符合中央安全成本的情況?！?/p>

不一致的業(yè)務(wù)優(yōu)先級(jí)引發(fā)安全超支

組織優(yōu)先事項(xiàng)的錯(cuò)位可能會(huì)對(duì)CISO構(gòu)成挑戰(zhàn)，可能會(huì)導(dǎo)致多付款項(xiàng)。這種不一致通常發(fā)生在不同利益相關(guān)者的戰(zhàn)略目標(biāo)和視角與CISO的網(wǎng)絡(luò)安全優(yōu)先事項(xiàng)不一致時(shí)，這些利益相關(guān)者包括高級(jí)領(lǐng)導(dǎo)層和各個(gè)部門。

“當(dāng)這種錯(cuò)位發(fā)生時(shí)，可能會(huì)導(dǎo)致預(yù)算分配方面的爭(zhēng)端，”貝爾德說(shuō)。信息和通信技術(shù)組織可能不得不在與其他部門的要求競(jìng)爭(zhēng)中為其預(yù)算請(qǐng)求辯護(hù)，這可能會(huì)導(dǎo)致可能無(wú)法充分滿足組織的安全需求的妥協(xié)，從而導(dǎo)致應(yīng)對(duì)安全事件或漏洞的臨時(shí)支出。

組織可能會(huì)有反應(yīng)地分配資源來(lái)應(yīng)對(duì)迫在眉睫的威脅，這往往會(huì)招致額外的成本。這種被動(dòng)的方法可能會(huì)使預(yù)算緊張，而且可能無(wú)法提供全面且具有成本效益的長(zhǎng)期安全戰(zhàn)略。

曼羅德說(shuō)，有時(shí)公司和安全領(lǐng)導(dǎo)者在這方面都很短視，選擇了最容易的季度路徑，這可能在一年內(nèi)產(chǎn)生中性的結(jié)果，但在五年內(nèi)產(chǎn)生災(zāi)難性的結(jié)果?！叭绻覀兿胍鉀Q這個(gè)問(wèn)題，我們都需要傾向于更長(zhǎng)遠(yuǎn)的思考?！?/p>

他補(bǔ)充說(shuō)，在幫助對(duì)安全項(xiàng)目進(jìn)行大量改進(jìn)的所有因素中，最重要的因素之一是長(zhǎng)期留在同一家公司，得到其他領(lǐng)導(dǎo)人始終如一、堅(jiān)定不移的支持，為解決經(jīng)常得不到解決的難題提供了持續(xù)工作的平臺(tái)。“我們中有誰(shuí)肯定會(huì)成功嗎?一點(diǎn)也不。盡管如此，我愿意認(rèn)為我們都在努力實(shí)現(xiàn)最大可能的風(fēng)險(xiǎn)降低，對(duì)于每一種投資水平。”信息和通信技術(shù)組織需要使其安全優(yōu)先事項(xiàng)與本組織的戰(zhàn)略目標(biāo)保持一致，并定期評(píng)估安全投資的績(jī)效，以確保有效地分配資源，并確保安全覆蓋計(jì)劃具有效力和成本效益。

本文題目：當(dāng)心成本陷阱，這可能會(huì)給寶貴的網(wǎng)絡(luò)安全預(yù)算帶來(lái)壓力
文章網(wǎng)址：http://m.fisionsoft.com.cn/article/djoejsi.html