• “為什么今年的安全預(yù)算增加了這么多？”
• “安全預(yù)算花光了，公司的安全建設(shè)成果在哪里？”
• “前不久才批給你的一輪新的安全預(yù)算都沒了？又進(jìn)購(gòu)了哪些產(chǎn)品？”

看完這一組“致命”三連問，可能有不少安全人已經(jīng)汗流浹背了。但毫不夸張，這大概就是不少企業(yè)安全管理者在工作中需要切實(shí)面對(duì)的難題。

近幾年，隨著市場(chǎng)利潤(rùn)緊縮，在安全預(yù)算中“平地?fù)革灐币约啊敖当驹鲂А背蔀榱瞬簧貱ISO不得不面對(duì)的難題。盡管有些時(shí)候公司已經(jīng)批準(zhǔn)了部分特定的網(wǎng)絡(luò)安全預(yù)算，但如今這些預(yù)算正在被收緊甚至是削減。這也就導(dǎo)致安全策略受限，產(chǎn)生了許多風(fēng)險(xiǎn)盲點(diǎn)。

根據(jù)IANS Research最新公布的研究報(bào)告，伴隨全球經(jīng)濟(jì)衰退預(yù)期和通脹壓力的持續(xù)，2022-2023年預(yù)算周期的網(wǎng)絡(luò)安全預(yù)算增速同比下降了65%。因此，與預(yù)算緊縮和人員短缺作斗爭(zhēng)，已然成為當(dāng)下CISO面臨的主要挑戰(zhàn)之一。但無論CISO的安全預(yù)算富裕還是有限，節(jié)省資金，避免不必要的隱藏成本肯定是一個(gè)更好的選擇。

網(wǎng)安支出中暗藏的“成本陷阱”

從硬件設(shè)備的投入，到軟件許可的購(gòu)買，再到人力資源的管理，以及持續(xù)的維護(hù)和升級(jí)......企業(yè)網(wǎng)安建設(shè)支出中，往往暗藏成本陷阱，每個(gè)環(huán)節(jié)都可能帶來預(yù)期之外的開支。這些開支不僅可能削弱企業(yè)的財(cái)務(wù)狀況，甚至可能影響到整個(gè)安全建設(shè)的效果和效率。

這些陷阱在安全建設(shè)初期可能并不明顯，但隨著時(shí)間的推移很可能會(huì)悄悄地消耗網(wǎng)絡(luò)安全部門的寶貴預(yù)算。這些成本陷阱的范圍甚廣，有些即便是具備特定知識(shí)和經(jīng)驗(yàn)豐富的CISO都很難察覺到。具體有以下幾類：

安全產(chǎn)品服務(wù)計(jì)費(fèi)結(jié)構(gòu)的“套路”

如今，不少CISO都許多安全供應(yīng)商圍繞其產(chǎn)品的收費(fèi)結(jié)構(gòu)中苦苦掙扎。歐洲聯(lián)盟網(wǎng)絡(luò)安全局（ENISA）顧問組成員Brain Honan指出，現(xiàn)在許多產(chǎn)品都有非常復(fù)雜的計(jì)費(fèi)結(jié)構(gòu)，而基礎(chǔ)版本的解決方案可能看起來相對(duì)有吸引力，但更高級(jí)的功能，通常是CISO所需的功能，一般會(huì)額外收費(fèi)。這些工具的初始購(gòu)買成本相對(duì)較低，但隨著存儲(chǔ)的數(shù)據(jù)量、跟蹤的事件、分析的流量或監(jiān)視的終端數(shù)量的增加，相關(guān)價(jià)格可能會(huì)大幅上升。

此外，安全產(chǎn)品和服務(wù)中的額外開支還包括許可證費(fèi)用以及維護(hù)和支持成本等。另外，據(jù)說一些CISO還要負(fù)責(zé)更多的安全職能，如SOC和基礎(chǔ)設(shè)施等。他們承擔(dān)了本應(yīng)該由CIO或CTO負(fù)擔(dān)的支持和維護(hù)成本，尤其是在預(yù)算條款相對(duì)緊密耦合的情況下。

審查第三方成本至關(guān)重要

在決定購(gòu)買任何網(wǎng)絡(luò)安全服務(wù)或與第三方合作之前，詳細(xì)詢問并評(píng)估所有潛在額外成本至關(guān)重要。這不僅是為了優(yōu)化供應(yīng)商談判策略，更是為產(chǎn)品和服務(wù)爭(zhēng)取最低的合理價(jià)格。特別是當(dāng)購(gòu)買新產(chǎn)品，建立全新的合作關(guān)系，或涉及知識(shí)產(chǎn)權(quán)而非實(shí)物產(chǎn)品的成本場(chǎng)景時(shí)，通常有很大的談判空間。

對(duì)于服務(wù)而言，最終極的訣竅就是要堅(jiān)持確保每個(gè)新產(chǎn)品都配備足夠的專業(yè)服務(wù)作為支撐。比如，配備更加專業(yè)的工程師通過線上指導(dǎo)客戶高效地使用該產(chǎn)品，同時(shí)挑選合適的員工來擔(dān)任該產(chǎn)品的負(fù)責(zé)人解決后續(xù)問題。

另外，與挑選合適的服務(wù)人員同樣重要的還有培訓(xùn)備用人員，養(yǎng)成創(chuàng)建關(guān)于文檔記錄和持續(xù)知識(shí)傳遞的文化能夠幫助組織節(jié)省下一筆不菲的資金。

在購(gòu)買新型安全產(chǎn)品時(shí)，還有另外一種策略能夠爭(zhēng)取更加合理的價(jià)格。舉個(gè)例子，當(dāng)某些提供遠(yuǎn)程瀏覽器隔離服務(wù)的供應(yīng)商報(bào)價(jià)過高時(shí)，組織可以向其詳細(xì)說明自己有能力自行開發(fā)此類產(chǎn)品，并將該產(chǎn)品創(chuàng)建成一個(gè)GitHub項(xiàng)目，供他人免費(fèi)使用。當(dāng)然前提是他們?cè)敢饣ㄙM(fèi)與供應(yīng)商要價(jià)相等的資本支出。這種方法的目的是向供應(yīng)商表明立場(chǎng)，迫使供應(yīng)商降低價(jià)格。

內(nèi)部安全產(chǎn)品運(yùn)營(yíng)成本極易被忽視

除了安全產(chǎn)品和服務(wù)復(fù)雜的成本結(jié)構(gòu)外，有效的運(yùn)行安全產(chǎn)品的內(nèi)部成本常常被人忽視。以SIEM為例，盡管SIEM是一個(gè)有效監(jiān)測(cè)和分析網(wǎng)絡(luò)活動(dòng)的安全工具。但出于合規(guī)目的，企業(yè)在使用SIEM時(shí)會(huì)生成大量的數(shù)據(jù)，這意味著需要投入大量的存儲(chǔ)資源和時(shí)間成本。因此，在這個(gè)過程中，考慮員工培訓(xùn)、維護(hù)、添加用戶和處理誤報(bào)等因素也很重要，畢竟這些因素可能多數(shù)并不會(huì)包含在初始成本分析中。

滲透測(cè)試服務(wù)和開源解決方案也是如此。在使用滲透測(cè)試服務(wù)時(shí)，企業(yè)還必須考慮內(nèi)部所需的時(shí)間和資源、任何潛在停機(jī)對(duì)業(yè)務(wù)造成的成本、分析報(bào)告所需的時(shí)間以及實(shí)施所需安全措施的成本。開源解決方案雖然經(jīng)常被看作是商業(yè)安全工具的經(jīng)濟(jì)高效替代品，但也不一定能為網(wǎng)絡(luò)安全團(tuán)隊(duì)節(jié)省成本。“實(shí)施、管理、集成和支持解決方案會(huì)產(chǎn)生持續(xù)成本，例如招聘相關(guān)專業(yè)人才或聘請(qǐng)外部專家時(shí)產(chǎn)生意想不到的成本。

嚴(yán)格“去重”，不把預(yù)算浪費(fèi)在無效服務(wù)和產(chǎn)品上

重復(fù)功能和重疊服務(wù)是另一種常見的網(wǎng)絡(luò)安全預(yù)算超支原因。云服務(wù)提供商N(yùn)asstar的首席信息安全官Nick Trueman就曾提及過此類問題，他表示：為重復(fù)的安全功能付費(fèi)往往導(dǎo)致預(yù)算緊張，還可能導(dǎo)致集成方面的問題，協(xié)調(diào)和集成提供類似功能的多個(gè)廠商的產(chǎn)品會(huì)導(dǎo)致復(fù)雜性和互操作性問題。

應(yīng)全面審查所有安全提供商提供的服務(wù)，評(píng)估其有效性以及是否符合業(yè)務(wù)的安全要求，如果發(fā)現(xiàn)重復(fù)功能，可以考慮將服務(wù)整合到單個(gè)提供商下或與提供商協(xié)商以消除冗余。

在安全建設(shè)過程中，不少企業(yè)會(huì)為無法帶來預(yù)期收益的冗余或無效工具付費(fèi)。這可能會(huì)影響安全預(yù)算和覆蓋計(jì)劃，還可能導(dǎo)致投資的安全工具或技術(shù)無法兌現(xiàn)最初的承諾、以及無法提供預(yù)期價(jià)值及投資回報(bào)。

當(dāng)然，出現(xiàn)這種情況背后的原因有很多種，比如與現(xiàn)有系統(tǒng)集成不足、用戶采用率不高或工具無法有效滿足企業(yè)的特定安全需求等等。諸如上述情況的安全投資占用了更有效的安全措施的資源，從而導(dǎo)致安全預(yù)算緊張，最終損害企業(yè)的整體網(wǎng)絡(luò)安全態(tài)勢(shì)。

不少CISO都有過度采購(gòu)的情況，但如果是一味地只顧著更新工具購(gòu)買工具，而不去驗(yàn)證用例或檢查現(xiàn)有解決方案是否已經(jīng)能滿足需求。這極可能導(dǎo)致工具出現(xiàn)大量冗余的情況，從而使安全運(yùn)營(yíng)變得復(fù)雜。企業(yè)需要協(xié)調(diào)所有安全投資，以確保與企業(yè)的威脅模型相關(guān)并最大限度地降低風(fēng)險(xiǎn)。因此，在選擇購(gòu)買一項(xiàng)新產(chǎn)品之前，確定現(xiàn)有解決方案是否可用對(duì)于CISO來說是一項(xiàng)重要的工作。

根據(jù)業(yè)內(nèi)人士在企業(yè)中的審查安全工具的經(jīng)驗(yàn)之談，企業(yè)往往會(huì)為同一個(gè)功能購(gòu)買兩到三個(gè)產(chǎn)品，但這僅僅是因?yàn)槠髽I(yè)并不知曉他們購(gòu)買的原始產(chǎn)品中已經(jīng)提供了所需的所有功能。比如，許多現(xiàn)代操作系統(tǒng)都有內(nèi)置的安全功能，例如磁盤加密，如果實(shí)施這些功能，可以消除對(duì)第三方解決方案的要求。想要做到這一步，可以考慮安排專門的產(chǎn)品工程師專人負(fù)責(zé)審查安全配置并正確實(shí)施解決方案，這能夠有效幫助CISO省去購(gòu)買新工具以及與集成和管理該工具的相關(guān)成本。

“供應(yīng)商鎖定”可能造成永久性的成本陷阱

企業(yè)有時(shí)為了讓某個(gè)解決方案能夠有效運(yùn)作，會(huì)投入大量資金、時(shí)間和資源，最終導(dǎo)致成本顯著超出預(yù)期。但考慮到不要浪費(fèi)前期的投資，或者有時(shí)因?yàn)檫w移的成本太高，所以大多企業(yè)不愿意考慮將某些安全事項(xiàng)轉(zhuǎn)向其他供應(yīng)商的產(chǎn)品或平臺(tái)，盡管可能存在比之前更加經(jīng)濟(jì)高效的解決方案。當(dāng)CISO接手跨部門或者由中央領(lǐng)導(dǎo)層主導(dǎo)的“倡議”時(shí)，可能會(huì)面臨隱藏的成本問題。在這種情決策過程中，CISO有資金支配權(quán)，負(fù)責(zé)實(shí)施該倡議并承擔(dān)初始費(fèi)用。他們會(huì)向上級(jí)或其他部門承諾，一旦倡議成功，那么它將會(huì)被納入業(yè)務(wù)預(yù)算之中。

隨后將會(huì)成為一項(xiàng)持續(xù)的常規(guī)業(yè)務(wù)。到了那個(gè)時(shí)候，再將運(yùn)行成本重新分配到整個(gè)業(yè)務(wù)部門之間將會(huì)是一件困難的事情，可能會(huì)引起爭(zhēng)議和矛盾。因此，這些成本最終會(huì)留在CISO的預(yù)算中，給他們帶來麻煩，特別是這些成本實(shí)際上并不應(yīng)該由安全部門承擔(dān)。

業(yè)務(wù)優(yōu)先級(jí)混亂可能導(dǎo)致出現(xiàn)意外成本

當(dāng)企業(yè)高管和各部門主管的戰(zhàn)略目標(biāo)和觀點(diǎn)與CISO的網(wǎng)絡(luò)安全優(yōu)先事項(xiàng)不一致時(shí)，可能會(huì)導(dǎo)致預(yù)算分配方面的爭(zhēng)議，這樣CISO往往無法獲得足夠的預(yù)算實(shí)施有效的長(zhǎng)期戰(zhàn)略，從而導(dǎo)致出現(xiàn)意外的成本。

對(duì)于CISO來說，在與其他部門競(jìng)爭(zhēng)預(yù)算時(shí)需要證明其預(yù)算請(qǐng)求的合理性，任何妥協(xié)都可能會(huì)導(dǎo)致企業(yè)安全需求無法得到充分滿足，從而導(dǎo)致企業(yè)在響應(yīng)安全事件或數(shù)據(jù)泄露時(shí)的意外支出。企業(yè)可能會(huì)被動(dòng)地分配資源來解決眼前的威脅，這通常會(huì)在未來產(chǎn)生意外成本。這種被動(dòng)投入的方法可能會(huì)導(dǎo)致安全預(yù)算緊張，無法提供全面且更具成本效益的長(zhǎng)期安全策略。

這個(gè)情況其實(shí)一直是安全工作的痛點(diǎn)，算是早些年積累下的一個(gè)“病灶”。這里其實(shí)也涉及到如何量化安全工作的問題，在向領(lǐng)導(dǎo)匯報(bào)時(shí)，究竟該如何體現(xiàn)安全工作的階段性成果以及找出安全投資可能為企業(yè)帶來的實(shí)際效益十分重要。在爭(zhēng)取預(yù)算的過程中，讓上級(jí)領(lǐng)導(dǎo)及其他配合工作的部門領(lǐng)導(dǎo)充分認(rèn)識(shí)到安全成本投入的重要性與必要性，能夠有效保證安全成本的投入比例。

結(jié)語

企業(yè)網(wǎng)絡(luò)安全既是保障企業(yè)資產(chǎn)安全的重要環(huán)節(jié)，也是維護(hù)企業(yè)核心競(jìng)爭(zhēng)力的關(guān)鍵因素。因此，如何合理規(guī)劃網(wǎng)絡(luò)安全投入和開支，建立健全的預(yù)算監(jiān)控和調(diào)整機(jī)制，及時(shí)了解預(yù)算執(zhí)行情況，評(píng)估網(wǎng)絡(luò)安全投入的有效性，并根據(jù)實(shí)際情況進(jìn)行調(diào)整，以實(shí)現(xiàn)安全性和經(jīng)濟(jì)性的平衡至關(guān)重要。通過對(duì)網(wǎng)絡(luò)安全預(yù)算執(zhí)行情況的總結(jié)，不斷提煉經(jīng)驗(yàn)教訓(xùn)，持續(xù)改進(jìn)網(wǎng)安預(yù)算計(jì)劃的制定和執(zhí)行，最大程度地規(guī)避網(wǎng)安成本“陷阱”，是每一位CISO的“必修課”。

畢竟，良性的網(wǎng)絡(luò)安全投入不僅是企業(yè)保護(hù)信息資產(chǎn)和維護(hù)業(yè)務(wù)運(yùn)營(yíng)的基礎(chǔ)，也是企業(yè)應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)的必要舉措。