“最具戰(zhàn)略眼光的CSO不是那些擁有最多安全預(yù)算的人，而是那些能確切證明花出去的每一美元都能直接強(qiáng)化其安全基礎(chǔ)的人。“HackerOne的首席技術(shù)官Alex Rice這樣評(píng)價(jià)CSO預(yù)算管理的重要性。

然而，當(dāng)前，CSO普遍面臨著明智安全支出的巨大壓力。由于優(yōu)先事項(xiàng)安排不當(dāng)和預(yù)算使用效率低下，許多組織仍然易受攻擊。

碎片化架構(gòu)之殤

增加支出并不一定能帶來(lái)安全性的提升。近期的數(shù)據(jù)顯示，盡管網(wǎng)絡(luò)安全預(yù)算在增加，但安全事件卻有增無(wú)減。根據(jù)Ponemon研究所的一項(xiàng)調(diào)查，網(wǎng)絡(luò)安全預(yù)算同比增長(zhǎng)了59%，然而在過(guò)去兩年中還是有61%組織遭遇了數(shù)據(jù)泄露或網(wǎng)絡(luò)安全事件。

Rice認(rèn)為，網(wǎng)絡(luò)安全領(lǐng)域最普遍的浪費(fèi)并非源自工具不足，而是源于那些與經(jīng)過(guò)驗(yàn)證的風(fēng)險(xiǎn)模型無(wú)關(guān)的投資。他分析說(shuō)，如果安全支出不能成為將現(xiàn)實(shí)世界威脅與可衡量結(jié)果相連接的閉環(huán)系統(tǒng)的一部分，那么這樣的支出基本上是在為表面功夫花錢，而不是為了真正的防護(hù)。

Rice補(bǔ)充道：“許多首席信息安全官所采用的安全架構(gòu)是碎片化的，其中各種工具孤立運(yùn)行，從而產(chǎn)生危險(xiǎn)的盲點(diǎn)。隨著攻擊面在代碼、人工智能系統(tǒng)、云基礎(chǔ)設(shè)施和傳統(tǒng)信息技術(shù)領(lǐng)域不斷擴(kuò)大，這種孤立的方式不僅效率低下，而且十分危險(xiǎn)。深度防御需要對(duì)所有領(lǐng)域進(jìn)行協(xié)同可視性管理。”

Rice認(rèn)為，很多CSO構(gòu)建了一個(gè)錯(cuò)綜復(fù)雜的單點(diǎn)解決方案生態(tài)系統(tǒng)，這些解決方案往往掩蓋而非解決基本的安全漏洞。

三種常見的支出過(guò)度及其緩解辦法

1.工具過(guò)載

組織常常投資多種功能重疊的工具。Optiv的一項(xiàng)研究發(fā)現(xiàn)，40%的受訪者認(rèn)為自己擁有過(guò)多的安全工具，這阻礙了整體效能。

建議

對(duì)現(xiàn)有工具進(jìn)行全面審查，找出冗余部分。精簡(jiǎn)安全工具組合可以降低成本和復(fù)雜性。

2.技術(shù)利用不足

對(duì)人工智能和機(jī)器學(xué)習(xí)等先進(jìn)技術(shù)的投資值得稱贊。然而，如果沒(méi)有適當(dāng)?shù)恼虾蛯I(yè)人員，這些工具就無(wú)法得到充分利用。

建議

在購(gòu)買新解決方案之前，確保組織具備部署它們所需的專業(yè)知識(shí)和基礎(chǔ)設(shè)施。

3.合規(guī)導(dǎo)向型支出

主要為滿足監(jiān)管要求而分配資金可能會(huì)帶來(lái)一種虛假的安全感。合規(guī)并不等同于全面的威脅防護(hù)。

建議

在合規(guī)工作與應(yīng)對(duì)現(xiàn)實(shí)世界威脅的主動(dòng)安全措施投資之間取得平衡。

三個(gè)需要重點(diǎn)投資的領(lǐng)域及建議

1.事件響應(yīng)規(guī)劃

許多組織缺乏事件響應(yīng)計(jì)劃，這導(dǎo)致恢復(fù)時(shí)間延長(zhǎng)和數(shù)據(jù)泄露成本增加。在網(wǎng)絡(luò)安全事件發(fā)生期間及之后進(jìn)行有效的溝通，對(duì)于維護(hù)與所有利益相關(guān)者的信任至關(guān)重要。

建議

投資制定并定期更新事件響應(yīng)計(jì)劃。通過(guò)模擬演練培訓(xùn)員工可以提高應(yīng)對(duì)能力。

2.持續(xù)安全培訓(xùn)

大量安全事件源于人為錯(cuò)誤。盡管如此，只有23%的地方政府官員稱自己在整個(gè)組織的網(wǎng)絡(luò)安全工作中“非常積極”。

建議

撥出資金用于持續(xù)的、針對(duì)不同崗位的網(wǎng)絡(luò)安全培訓(xùn)，以培養(yǎng)安全意識(shí)文化。

3.高級(jí)威脅檢測(cè)與響應(yīng)

傳統(tǒng)安全措施可能不足以應(yīng)對(duì)復(fù)雜攻擊。投資高級(jí)威脅檢測(cè)可以顯著降低數(shù)據(jù)泄露的影響。有效的威脅檢測(cè)需要對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行全面可視性管理，并具備持續(xù)監(jiān)控網(wǎng)絡(luò)中事件的能力。

建議

優(yōu)先選擇提供實(shí)時(shí)監(jiān)控和自動(dòng)響應(yīng)功能的解決方案。

預(yù)算編制三個(gè)重要建議

1.采用基于風(fēng)險(xiǎn)的方法

根據(jù)組織特定的威脅形勢(shì)和風(fēng)險(xiǎn)狀況來(lái)分配預(yù)算。這能確保資金用于解決最緊迫的漏洞。

2.持續(xù)評(píng)估

定期評(píng)估安全投資的有效性。各項(xiàng)指標(biāo)和關(guān)鍵績(jī)效指標(biāo)可以為明智的預(yù)算決策提供指導(dǎo)。主動(dòng)投資網(wǎng)絡(luò)安全可以通過(guò)在威脅發(fā)生前預(yù)防威脅并簡(jiǎn)化安全操作來(lái)提高投資回報(bào)率。

3.促進(jìn)跨部門協(xié)作

網(wǎng)絡(luò)安全不僅僅是信息技術(shù)部門的事。與其他部門合作，以確保采取全面的安全方法，實(shí)現(xiàn)投資回報(bào)率最大化。

Rice表示，HackerOne的一項(xiàng)調(diào)查顯示，大多數(shù)首席信息安全官認(rèn)為傳統(tǒng)的投資回報(bào)率衡量方法對(duì)安全投資并無(wú)用處。這并不奇怪，因?yàn)楸娝苤脗鹘y(tǒng)指標(biāo)來(lái)量化網(wǎng)絡(luò)安全非常困難。因此他認(rèn)為，像緩解回報(bào)率（Return on Mitigation）這樣更有意義的方法，它考慮到了所避免的潛在損失，能更準(zhǔn)確地反映安全的真正商業(yè)價(jià)值。

Rice最后說(shuō)，在購(gòu)買下一個(gè)看似很棒的工具之前，CSO應(yīng)該先自問(wèn)：

• 這個(gè)解決方案能讓你真實(shí)的安全狀況有意義地透明化嗎？
• 你能追蹤它是如何緩解特定的、經(jīng)過(guò)驗(yàn)證的風(fēng)險(xiǎn)的嗎？

歸根結(jié)底，有效的安全不在于積累工具，而在于建立信任。而信任需要透明度，無(wú)論是對(duì)內(nèi)部利益相關(guān)者還是對(duì)客戶而言。