在當下的經濟寒冬中，網絡犯罪和內部威脅空前活躍，但越來越多的企業卻把“降本增效”的屠刀掄向網絡安全部門，導致很多安全團隊面臨“既要馬兒跑，又要馬兒不吃草”的窘境。

事實上，將網絡安全看作成本支出是企業數字化轉型過程中最大的認知誤區之一，網絡安全支出(投資)是當今全球企業IT的最高優先級事項，有著可量化的關鍵業績指標和投資回報率。尤其是在經濟衰退、數字風險驟增的動蕩時期，網絡安全是企業跑贏同行，在熊市笑到最后的“核心生存力”。

對于需要戰術性縮減安全預算的企業，我們介紹幾個投入少見效快，用最少資源最大限度降低風險的八種方法。

1.采用基于風險的安全策略，優先保護關鍵資產

企業資產、數據的業務價值和所面臨的安全威脅各不相同，為了提高防御效率，安全團隊需要進行徹底的資產盤點和風險評估，以確定最關鍵的資產及其潛在威脅。將優先保護關鍵資產作為基于風險的安全管理策略的一部分，企業可以大大提高資源分配效率。

一般來說，安全團隊需要專注于保護對核心業務運營至關重要的敏感客戶數據、知識產權和系統。同時，安全領導者需要幫助業務部門了解暴露風險以及風險緩解的技術成本。反過來，考慮到預算限制，企業領導者必須最終確定他們愿意接受哪些風險，不要把降本增效搞成了“降本增效”甚至“降本翻車”。

2.加強安全意識培訓，打造人肉防火墻

根據卡巴斯基的“2023年人為因素調查報告”，64%的網絡安全事件由人為錯誤導致，遠遠超過黑客攻擊(20%)。今天，人為錯誤(包括疏忽和故意)仍然是數據泄露的主要原因之一，而安全意識培訓一直是投入產出比最高的網絡安全投資之一。

通過定期培訓計劃加強員工的網絡安全意識，企業可獲得顯著且持續的安全投資回報。即使企業的技術和人力資源有限，訓練有素、消息靈通的員工隊伍也可以充當強大的“人肉防火墻”。

安全意識培訓除了教育員工有關網絡釣魚詐騙、社會工程策略和密碼衛生知識外，還應包括定期(至少每季度)的災難恢復和網絡戰培訓。

3.投資安全自動化

網絡安全的降本增效，降的不是人力成本，是技術債和運營成本，增的不是工作壓力，而是智力效率和業務彈性。自動化網絡安全工具可以簡化流程并減少人工干預的需要，從而減輕安全團隊的重復性低端工作量，提高事件檢測、分析、響應和恢復的關鍵任務效率。

自動威脅檢測、事件響應和補丁管理可以顯著提高企業快速檢測和緩解威脅的能力，即使在預算有限的情況下也是如此。

如今，越來越多的企業開始考慮如何將網絡運營、開發運營和安全運營整合起來，大量使用自動化和可編程工具。NetSecOps、DevSecOps等模型既可以提高安全性，又可以降低運營成本，提高業務彈性。

4.外包安全服務

考慮將某些網絡安全功能外包給專業的第三方提供商。托管安全服務提供商(MSSP)可以提供經濟高效的選項，例如持續監控、威脅檢測和事件響應。

托管安全服務對于內部缺乏網絡安全專業技能和資源的小型公司尤其有價值。通過與MSSP合作，企業可以獲得專家服務，而無需承擔完整團隊的總體成本。

5.定期更新和打補丁

根據微軟“2023年數字防御報告”，看似不起眼的網絡安全“基本功”，即基礎的安全衛生措施依然可以防御99%的網絡攻擊。這些基本的安全衛生和管理措施中，補丁管理是最為重要的措施之一。

過時的系統和未打補丁的軟件是網絡犯罪分子的主要目標。通過定期更新系統修補軟件消除已知漏洞，安全團隊可以防止許多常見的攻擊。預算有限的安全團隊可以考慮使用不需要額外投資的現成工具，例如用于Windows系統更新的Microsoft System Center Configuration Manager 。

6.打造戰略情報網絡

威脅情報是網絡安全的核心能力和動力。企業需要積極與同行企業、行業信息共享組織、專業智庫和政府機構合作，低成本獲取威脅情報和最佳安全實踐。Mitre ATT&CK框架和金融服務信息共享和分析中心等公共知識庫也可提供有關最新攻擊向量和安全流程最佳實踐的全球公開信息。

通過與同行、行業機構、專業智庫和政府機構建立值得信賴的戰略情報合作伙伴關系網絡，企業安全主管可以隨時了解與企業密切相關的新威脅和創新安全技術，并在人才培養、技術選型、風險管理方法和內部價值溝通方面獲得強大助力。

7.跟蹤關鍵安全運營指標并展示安全投資回報率

為了確保來年獲得更多預算分配，安全團隊迫切需要向企業管理層展示網絡安全計劃的投資回報率，最有效的做法是通過關鍵安全運營指標和業績指標(KPI)來展示安全團隊如何防止網絡攻擊、減少停機時間并最大限度地減少財務損失。關鍵安全指標還能提高安全能見度，制定有針對性的事件檢測與響應流程，提高安全運營和規劃的針對性和有效性。

常見的關鍵安全指標包括平均檢測時間(MTTD)、平均響應時間(MTTR)、漏洞補丁響應時間等。

8.集中化安全管理

實現集中化、體系化的安全管理需要將多個安全工具和流程整合到一個統一的管理平臺中來高效處理網絡安全事務。通過集中化的安全管理系統，企業可以統一監控和管理安全策略，減少重復工作，簡化安全運維，改進風險管理，標準化安全策略，從而降低運營成本，提高整體安全防護的能力和企業業務彈性。

總結

隨著網絡犯罪的規模化和攻擊技術的復雜化，企業面臨的外部和內部網絡安全威脅正快速增長，企業網絡安全團隊迫切需要更多預算和資源升級并整合安全技術堆棧，縮小人才和技能差距，提高安全運營效率，保護企業的關鍵資產遠離重大風險。

因此，特殊時期的網絡安全預算削減對于企業安全團隊來說是個艱巨的挑戰。本文介紹的一些降本增效的做法，例如資產優先級排序、加強安全意識培訓、采用基于風險的安全管理方法、投資自動化和戰略情報網絡，可以幫助企業高效利用有限資源，提高業務彈性，安全渡過經濟嚴冬。