在很多企業(yè)管理者的眼里，網(wǎng)絡(luò)安全工作依然是一個成本中心，會增加內(nèi)部的工作摩擦并降低業(yè)務(wù)效率。事實上，確保業(yè)務(wù)安全運營并不意味著一定要增加預(yù)算投入，如果企業(yè)更合理地選擇安全工具，并采取措施避免這些工具的低效使用問題，就可以實現(xiàn)更高效的安全運營。

花錢越多，安全性未必更好

一個組織究竟應(yīng)該在網(wǎng)絡(luò)安全方面花費多少？答案似乎很簡單：根據(jù)業(yè)務(wù)發(fā)安全展的需求情況而定。其中涉及的因素有很多，包括公司所從事的業(yè)務(wù)類型，其處理的個人或敏感數(shù)據(jù)或知識產(chǎn)權(quán)的類型，其面臨的監(jiān)管要求，其IT基礎(chǔ)架構(gòu)的復(fù)雜性，以及成為惡意行為者攻擊目標(biāo)的可能性等等。

與 “一個組織應(yīng)該在網(wǎng)絡(luò)安全方面花費多少” 相比，一個更為重要的問題可能是，組織應(yīng)該如何確定需要在網(wǎng)絡(luò)安全方面花費多少？因為很多組織為網(wǎng)絡(luò)安全建設(shè)付出了巨大的努力和投資，卻始終難以獲得預(yù)期的效果。

實踐表明，企業(yè)并不是在安全建設(shè)上花的錢越多，就會越安全。企業(yè)在決定安全預(yù)算時，不妨先抽時間冷靜地分析一下，已經(jīng)使用了哪些安全工具以及它們的效果如何。如果企業(yè)長期在為一些并不需要的網(wǎng)絡(luò)安全工具或功能付費，又或者可以通過工具整合和集成等措施以較低的總成本獲得同樣的防護(hù)效果，那么就意味著企業(yè)的網(wǎng)絡(luò)安全投資并沒有獲得合理回報。

穆迪公司最新調(diào)查發(fā)現(xiàn)，隨著數(shù)字化轉(zhuǎn)型的發(fā)展，當(dāng)前企業(yè)組織會將年度總預(yù)算的約8%投入到安全建設(shè)中，其中包括了工具購買成本和人員維護(hù)成本。這一研究結(jié)果表明當(dāng)前企業(yè)的網(wǎng)絡(luò)安全支出相比以往已經(jīng)處于一個較高的水平在全球宏觀經(jīng)濟(jì)下行和不確定性因素增加的背景下，設(shè)法控制網(wǎng)絡(luò)安全建設(shè)支出，不僅對降低企業(yè)當(dāng)前的總體成本很重要，對防止未來可能的成本超支也很重要。

企業(yè)在開展網(wǎng)絡(luò)安全建設(shè)時，需要嚴(yán)格避免不計成本地追求絕對的安全性。因為在任何商業(yè)活動中，投資和價值都是密不可分的，只有價值才能證明投資的合理性。當(dāng)然，優(yōu)化網(wǎng)絡(luò)安全建設(shè)成本并不意味著就要降低安全防護(hù)的標(biāo)準(zhǔn)和要求。當(dāng)前數(shù)據(jù)泄露的平均成本已經(jīng)超過400萬美元，因此企業(yè)加強(qiáng)對網(wǎng)絡(luò)風(fēng)險的檢測和響應(yīng)能力仍然至關(guān)重要，但企業(yè)應(yīng)盡量避免因低效的安全工具購買而浪費了寶貴的網(wǎng)絡(luò)安全建設(shè)資金。

優(yōu)化網(wǎng)絡(luò)安全建設(shè)成本的建議

有很多方法可以幫助企業(yè)在不影響功能特性的情況下有效控制網(wǎng)絡(luò)安全建設(shè)的成本支出，以下列舉了能夠合理優(yōu)化網(wǎng)絡(luò)安全建設(shè)支出的6個最佳實踐：

1.摸清家底，建立網(wǎng)絡(luò)安全工具清單

優(yōu)化網(wǎng)絡(luò)安全建設(shè)成本的前提是建立一個全面的安全工具清單，全面了解組織中已有的網(wǎng)絡(luò)安全工具“有哪些”、“誰在用”的問題。通過建立資產(chǎn)清單，可以快速識別出那些未經(jīng)許可部署的安全工具，對其進(jìn)行統(tǒng)一管理和利用；還可以借助構(gòu)建依賴關(guān)系自動化分析能力，對重復(fù)部署的安全工具進(jìn)行整合優(yōu)化，從而節(jié)省安全建設(shè)和運營的開支。

2.與安全工具的使用者緊密合作

企業(yè)在選型購買網(wǎng)絡(luò)安全產(chǎn)品時，應(yīng)該與實際使用這些工具的人員（比如需要應(yīng)用程序掃描和測試解決方案的軟件開發(fā)人員）充分溝通，并緊密合作。這樣做的好處包括：

其一，可以最大程度提升員工生產(chǎn)力和體驗，而不是將使用者并不需要的解決方案強(qiáng)塞給他們，因為這么做只會降低網(wǎng)絡(luò)安全工具帶來的價值。

第二，充分溝通可以確保團(tuán)隊沒有在未經(jīng)正式許可的情況下私自部署安全工具。如果大量的影子安全產(chǎn)品潛伏在企業(yè)的IT環(huán)境中，組織就會在不知情的情況下為很多工具付費。

3.優(yōu)化網(wǎng)絡(luò)安全系統(tǒng)的架構(gòu)設(shè)計

安全團(tuán)隊?wèi)?yīng)該與組織的IT系統(tǒng)架構(gòu)師（即負(fù)責(zé)規(guī)劃IT架構(gòu)、系統(tǒng)和集成的專家）充分合作，這樣有助于從數(shù)字化發(fā)展頂層設(shè)計的視角，來優(yōu)化安全建設(shè)的成本。從系統(tǒng)架構(gòu)層面優(yōu)化考慮，更容易找到讓已有安全工具使用價值最大化的方法，從而獲得更具成本效益的網(wǎng)絡(luò)安全解決方案。

比如說，現(xiàn)代企業(yè)組織應(yīng)該充分利用云計算技術(shù)和架構(gòu)特點，設(shè)計部署允許跨多個云使用的安全工具，這樣的總體成本將會比針對每個云或本地場景購買單獨的安全工具要低很多。由于只需要使用同一種類型的安全工具，后續(xù)的管理運營成本也會降低很多。

4.學(xué)會利用開源網(wǎng)絡(luò)安全工具

在網(wǎng)絡(luò)安全領(lǐng)域，有許多開源的安全工具和項目可供企業(yè)安全團(tuán)隊和分析師們使用，而發(fā)現(xiàn)先進(jìn)開源網(wǎng)絡(luò)安全項目的一個有效方法就是在GitHub中進(jìn)行針對性的搜索和查詢。有數(shù)據(jù)顯示，目前在GitHub中已經(jīng)存在了數(shù)千個和網(wǎng)絡(luò)安全主題相關(guān)的項目，全面覆蓋了漏洞掃描、威脅檢測、網(wǎng)絡(luò)監(jiān)控以及密碼技術(shù)應(yīng)用等多個方面，可以有效幫助企業(yè)組織保護(hù)數(shù)字化業(yè)務(wù)和資產(chǎn)的安全。

借助這些開源工具，企業(yè)在網(wǎng)絡(luò)安全建設(shè)時可以實現(xiàn)更好的成本收益，因為這些網(wǎng)絡(luò)安全項目會由專門的貢獻(xiàn)者開發(fā)和維護(hù)，并提供有價值的工具、框架和資源來推動其更好地實踐應(yīng)用。

當(dāng)然，開源工具是否真的比購買商業(yè)版產(chǎn)品更具成本效益取決于多種因素，包括產(chǎn)品后續(xù)的管理、運營和支持成本，許多隱性成本可能會使開源工具的實際成本比看上去要高得多，這就要求組織在選型安全工具時，對總成本進(jìn)行全面的評估非常重要。

5.將使用AI作為一項基本策略

人工智能的崛起給所有行業(yè)帶來翻天覆地的變化。從醫(yī)療到金融行業(yè)的眾多企業(yè)都在使用AI工具實現(xiàn)流程自動化、改進(jìn)決策以取得競爭優(yōu)勢。在網(wǎng)絡(luò)安全領(lǐng)域，AI技術(shù)也正在改變企業(yè)風(fēng)險治理、事件處置以及安全運營的方式。

AI工具可以通過實現(xiàn)自動化流程和知識積累，協(xié)助安全團(tuán)隊快速準(zhǔn)確地識別并應(yīng)對潛在的風(fēng)險和問題。安全團(tuán)隊可訓(xùn)練機(jī)器學(xué)習(xí)算法識別數(shù)據(jù)模式、檢測數(shù)據(jù)異常，也可利用自然語言處理分析電子郵件和社交媒體資料等非結(jié)構(gòu)化數(shù)據(jù)源，從而更好地加強(qiáng)組織的整體安全態(tài)勢。盡管人工智能還不成熟，其價值仍需進(jìn)一步提升，尤其是在對錯誤容忍度非常小的一些細(xì)分領(lǐng)域。不過，合理使用基于人工智能的安全工具可以顯著降低安全成本。

6.根據(jù)工作目標(biāo)設(shè)定合理的工作優(yōu)先級

為了優(yōu)化網(wǎng)絡(luò)安全建設(shè)成本，企業(yè)還需要了解什么資產(chǎn)對組織是最重要，并確保優(yōu)先保護(hù)這些資產(chǎn)。在日常的安全運營中，各種安全工具會產(chǎn)生大量的數(shù)據(jù)信息，而很多未經(jīng)分類的數(shù)據(jù)往往實際利用價值有限。組織的網(wǎng)絡(luò)安全決策應(yīng)該基于對數(shù)據(jù)的觀察，對其進(jìn)行優(yōu)先級排序和可行性分析之后再進(jìn)行行動。沒有基于風(fēng)險的排序，組織就會將寶貴的資金預(yù)算浪費在一些并不重要的安全事務(wù)上。當(dāng)然，隨著組織業(yè)務(wù)不斷發(fā)展變化，其所面臨的風(fēng)險也會不斷演變，因此需要不斷重新評估優(yōu)先保護(hù)的資產(chǎn)。

參考鏈接：https://thenewstack.io/tips-for-controlling-the-costs-of-security-tools/