隨著企業(yè)成本壓力的不斷增加，每一位IT專業(yè)人員都迫切想知道可以在安全方面投入的理想資金。判斷安全投資能夠產(chǎn)生多少回報(bào)并非易事，特別是在尚未遭受任何攻擊的情況下。這使得評(píng)判安全投資的合理性變得尤其困難。

但是，如果每年花費(fèi)在從安全事故中恢復(fù)的成本是防御漏洞攻擊所需預(yù)算的兩倍以上，您又會(huì)如何看待安全投資呢？大多數(shù)中型企業(yè)每年在前瞻性安全技術(shù)上的投入不足 20000 美元，而去年平均安全事故補(bǔ)救成本卻高達(dá) 43000 美元。

即便如此，中型企業(yè)仍在不斷削減安全預(yù)算。雖然全球針對(duì)中型企業(yè)的網(wǎng)絡(luò)攻擊增幅高達(dá)71%，但這些企業(yè)卻置若罔聞。

邁克菲的一名客戶表示："作為一家信用合作社，我們的第一要?jiǎng)?wù)是保護(hù)成員的數(shù)據(jù)安全。但是，我們很難在安全方面始終做到萬無一失，而不發(fā)生數(shù)據(jù)泄露。企圖攻擊數(shù)據(jù)和 IT 系統(tǒng)的新威脅層出不窮，我們必須做到更勝一籌。因?yàn)槲覀冎拦粽弑囟〞?huì)不斷嘗試進(jìn)行攻擊，只是時(shí)間和方式的問題。"

邁克菲將這種現(xiàn)象稱為中型企業(yè)安全困境--威脅日漸猖狂，安全預(yù)算卻在不斷縮水。中型企業(yè)的 IT 主管對(duì)此深感憂慮。事實(shí)上，很大一部分 IT 主管都認(rèn)為中型企業(yè)存在出現(xiàn)嚴(yán)重?cái)?shù)據(jù)泄露的可能性，一旦發(fā)生將導(dǎo)致業(yè)務(wù)無法正常運(yùn)營(yíng)。

行業(yè)分析師對(duì)此表示贊同。Forrester Research 指出，缺少預(yù)算和人員仍然是中小型企業(yè)安全決策者面臨的主要挑戰(zhàn)

經(jīng)濟(jì)成本

邁克菲研究顯示：從 2008 年到 2009 年，美國(guó)中型企業(yè)共計(jì)花費(fèi)了 172 億美元來彌補(bǔ) IT 安全事件帶來的損失。平均一家美國(guó)中型企業(yè)因 IT 安全事件而支出的費(fèi)用超過 75000 美元/年。而在中國(guó)，這個(gè)數(shù)字是 85000 美元。

時(shí)間成本

在加拿大，邁克菲調(diào)查的三分之一的公司每周在安全防護(hù)上花費(fèi)一小時(shí)或更短時(shí)間。而在美國(guó)，絕大多數(shù)公司每周都要在安全防護(hù)工作上花費(fèi)四小時(shí)以上。

那么，在前瞻性維護(hù)上投入的時(shí)間是物有所值的嗎？請(qǐng)考慮一下：在接受調(diào)查的加拿大公司中，那些受到攻擊的企業(yè)需要長(zhǎng)達(dá)一周以上時(shí)間才能恢復(fù)。與其相比，美國(guó)公司可能在前期投入了更多時(shí)間，但在遇到類似攻擊的情況下，只需不到一天時(shí)間即可恢復(fù)。

這意味著主動(dòng)安全防御可將恢復(fù)時(shí)間從一周縮短至一天--85%的提高。統(tǒng)計(jì)數(shù)字毋庸置疑，更重要的是，兩者之間的差別可能是僅僅停運(yùn)幾小時(shí)和長(zhǎng)期業(yè)務(wù)癱瘓之間的差別。

機(jī)會(huì)成本

現(xiàn)在，您知道了遭受攻擊后的恢復(fù)工作所需的平均時(shí)間。具體的恢復(fù)時(shí)間視您采取的保護(hù)措施而定。但給企業(yè)帶來的影響可能遠(yuǎn)遠(yuǎn)不止于此。

試想一下，如果公司遭到攻擊的消息公諸于眾，公司聲譽(yù)會(huì)受到何種影響，可能直接導(dǎo)致收入損失。喪失客戶信任或品牌聲譽(yù)受損的后果也是極為嚴(yán)重的。除此之外，如果關(guān)鍵業(yè)務(wù)項(xiàng)目遭受安全威脅和損失或者停滯不前，公司也很容易失去市場(chǎng)。

采取有效控制

我們要面對(duì)現(xiàn)實(shí)：安全問題是錯(cuò)綜復(fù)雜又是無法回避的，威脅正以驚人的速度增長(zhǎng)。邁克菲實(shí)驗(yàn)室在 2009 年發(fā)現(xiàn)了 250 多萬種惡意軟件，相比 2008 年的 100 萬增加幅度驚人，而且專家預(yù)測(cè)形勢(shì)可能變得更加嚴(yán)峻。Forrester 指出，人們對(duì)威脅狀況的擔(dān)憂日漸增長(zhǎng)，卻無法跟上不斷發(fā)展的黑客技術(shù)步伐。IT 主管很難完全掌控安全狀況，網(wǎng)絡(luò)罪犯深知這一點(diǎn)。對(duì)員工數(shù)量不足 500 人的公司發(fā)起攻擊更加容易得手。對(duì)于黑客而言，中型企業(yè)是極易得逞的攻擊目標(biāo)。

但是，您不一定要成為安全專家或超出預(yù)算才能實(shí)現(xiàn)強(qiáng)大的安全保護(hù)。只要措施得當(dāng)，從長(zhǎng)遠(yuǎn)考慮甚至可以節(jié)約資金。我們當(dāng)前需要防范的主要威脅攻擊媒介共有五種，包括電子郵件、Web、網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)。這些媒介重要性相同，應(yīng)同等對(duì)待。邁克菲研究表明，通過這些媒介發(fā)起的攻擊所帶來的損失基本是相同的。

如果企業(yè)愿意在前期投入一點(diǎn)時(shí)間和預(yù)算，只需每天花費(fèi)十五分鐘，即可輕松確保企業(yè)安全。這樣不但可以使企業(yè)得到有效的安全保護(hù)，同時(shí)確保企業(yè)獲得保持高效率工作所需的安全互聯(lián)網(wǎng)連接。

【編輯推薦】

1. Web2.0時(shí)代企業(yè)安全的三重防護(hù)
2. 解析新時(shí)代的網(wǎng)絡(luò)攻擊技術(shù) 黑客在此出手
3. 邁克菲進(jìn)一步擴(kuò)充網(wǎng)絡(luò)安全與網(wǎng)絡(luò)準(zhǔn)入控制愿景
4. 邁克菲發(fā)布全球最具風(fēng)險(xiǎn)域名排行榜