在過(guò)去十年中，IT安全預(yù)算一直被認(rèn)為是預(yù)算中不可或缺的，由于重大數(shù)據(jù)泄露所帶來(lái)的生存威脅，IT安全預(yù)算在很大程度上沒(méi)有受到其他部門削減的影響。

然而，對(duì)即將到來(lái)的全球經(jīng)濟(jì)衰退的恐懼和不確定性，正迫使商界領(lǐng)袖認(rèn)真審查其運(yùn)營(yíng)預(yù)算中的每一個(gè)條目，企業(yè)的CISO不能再假定他們的預(yù)算將不受成本削減措施的影響，相反，他們必須準(zhǔn)備回答有關(guān)其安全計(jì)劃的總體成本效益的尖銳問(wèn)題。

換句話說(shuō)，雖然企業(yè)明白需要投資于強(qiáng)大的安全工具和專業(yè)從業(yè)者，但現(xiàn)在的問(wèn)題是，多少資金才夠?如何調(diào)整他們的安全支出，以保持可接受的風(fēng)險(xiǎn)暴露水平?

如果安全領(lǐng)導(dǎo)者想要在未來(lái)幾年有機(jī)會(huì)捍衛(wèi)或增加他們的預(yù)算，他們將需要用經(jīng)驗(yàn)數(shù)據(jù)武裝自己，并能夠向那些掌握企業(yè)資金的人清楚地傳達(dá)他們安全投資的商業(yè)價(jià)值。

量化安全演算

二十多年前，著名的科技專家Bruce Schneier創(chuàng)造了“安全劇場(chǎng)”這個(gè)詞，用來(lái)描述這樣一種做法，即實(shí)施安全措施，讓人感覺(jué)安全程度提高了，但實(shí)際上卻沒(méi)有做什么。

如今，許多執(zhí)行董事會(huì)開(kāi)始懷疑，所有這些安全工具和系統(tǒng)的積累是否正在帶來(lái)與他們的投資相稱的經(jīng)濟(jì)效益——或者這僅僅是一種歌舞伎劇場(chǎng)，旨在讓他們感覺(jué)到他們寶貴的企業(yè)資產(chǎn)得到了充分的保護(hù)。

CISO同樣面臨這樣一個(gè)挑戰(zhàn)，即沒(méi)有衡量信息安全有效性的標(biāo)準(zhǔn)化辦法，安全領(lǐng)導(dǎo)人到底應(yīng)該衡量什么?你如何根據(jù)業(yè)務(wù)實(shí)際理解的指標(biāo)來(lái)量化風(fēng)險(xiǎn)?擁有更多的工具真的會(huì)讓我們受到更好的保護(hù)嗎?還是只會(huì)造成更多的管理和復(fù)雜性問(wèn)題?

這些只是CISO在提出業(yè)務(wù)預(yù)算并使其合理化時(shí)必須能夠回答的幾個(gè)問(wèn)題。

調(diào)整你的安全預(yù)算的關(guān)鍵策略

通過(guò)利用對(duì)過(guò)去安全事件、威脅情報(bào)和安全漏洞潛在影響的數(shù)據(jù)的訪問(wèn)，企業(yè)的CISO可以就有效防御潛在攻擊所需的資源做出更明智的決策。

將這四種數(shù)據(jù)驅(qū)動(dòng)的戰(zhàn)略作為定義網(wǎng)絡(luò)安全價(jià)值并向企業(yè)領(lǐng)導(dǎo)人進(jìn)行溝通的起點(diǎn)：

1.定義有意義的指標(biāo)

眾所周知，安全指標(biāo)很難捕獲并以與其他公認(rèn)的業(yè)務(wù)指標(biāo)和KPI一致的方式進(jìn)行通信。雖然計(jì)算直接產(chǎn)生收入的產(chǎn)品或服務(wù)的ROI相當(dāng)簡(jiǎn)單，但在試圖量化安全工具的ROI時(shí)就變得更加模糊了，因?yàn)榘踩ぞ咧饕獙Ｗ⒂诜乐关?cái)務(wù)損失。

雖然ROI是一個(gè)很容易被業(yè)務(wù)其余部分理解的指標(biāo)，但傳達(dá)IT安全的價(jià)值可能并不是最有意義的，同樣，報(bào)告與檢測(cè)到并阻止的攻擊數(shù)量相關(guān)的指標(biāo)聽(tīng)起來(lái)可能令人印象深刻——然而，它與企業(yè)領(lǐng)導(dǎo)人實(shí)際關(guān)心的事情脫節(jié)。

最終有意義的是能夠使指標(biāo)與關(guān)鍵業(yè)務(wù)功能和優(yōu)先級(jí)保持一致，例如，如果企業(yè)的主要目標(biāo)是減少可能的中斷對(duì)其運(yùn)營(yíng)的影響，則可以隨著時(shí)間的推移跟蹤和監(jiān)控這一點(diǎn)。

2.量化風(fēng)險(xiǎn)

要顯示安全團(tuán)隊(duì)為企業(yè)提供的價(jià)值，你需要首先量化風(fēng)險(xiǎn)，然后演示如何通過(guò)有效的安全控制來(lái)降低風(fēng)險(xiǎn)。通過(guò)為可接受的風(fēng)險(xiǎn)水平定義明確的閾值來(lái)確定企業(yè)對(duì)風(fēng)險(xiǎn)的容忍度，有助于確保任何已識(shí)別的風(fēng)險(xiǎn)在變得太大或無(wú)法管理之前得到及時(shí)解決。衡量和量化風(fēng)險(xiǎn)的其他一些實(shí)際方法可能包括：

概率：發(fā)生特定安全風(fēng)險(xiǎn)的可能性，可以使用歷史數(shù)據(jù)以及專家意見(jiàn)和第三方研究來(lái)衡量。

影響：安全漏洞的潛在后果，包括財(cái)務(wù)損失、聲譽(yù)損害和法律/合規(guī)責(zé)任。

控制：確定采取了哪些措施來(lái)預(yù)防、檢測(cè)或?qū)L(fēng)險(xiǎn)降至最低，這可以包括技術(shù)控制(如防火墻或防病毒軟件)以及組織控制(如政策和程序)。

3.整合工具和供應(yīng)商

在過(guò)去的十年里，企業(yè)安全團(tuán)隊(duì)掀起了一場(chǎng)安全工具的采購(gòu)狂潮。Ponemon的一項(xiàng)研究發(fā)現(xiàn)，典型的企業(yè)平均部署了45個(gè)網(wǎng)絡(luò)安全工具來(lái)保護(hù)他們的網(wǎng)絡(luò)并確保彈性。

采用新工具的主要驅(qū)動(dòng)力之一是不斷演變的威脅格局本身，這反過(guò)來(lái)又催生了針對(duì)特定攻擊媒介的初創(chuàng)企業(yè)的家庭手工業(yè)，這導(dǎo)致企業(yè)獲得了各種各樣的利基點(diǎn)式解決方案，以彌補(bǔ)和縮小差距。在許可這幾十個(gè)相互關(guān)聯(lián)和重疊的工具時(shí)，不僅需要考慮成本，而且管理這些工具還需要額外的成本。

通過(guò)采用具有共享數(shù)據(jù)和控制平面的平臺(tái)方法，CISO可以整合安全工具、簡(jiǎn)化操作并減少舊式豎井之間的差距和漏洞。

4.確定可見(jiàn)性的優(yōu)先順序

你不能有效地管理那些你看不見(jiàn)的東西，這就是為什么必須優(yōu)先投資于提供廣泛網(wǎng)絡(luò)可見(jiàn)性的工具和流程，以了解環(huán)境中的內(nèi)容以及最大的風(fēng)險(xiǎn)所在。改善安全狀況的其他方法：

實(shí)現(xiàn)無(wú)代理：這可以更輕松地覆蓋云工作負(fù)載，不需要確保正確的權(quán)限，只需輸入AWS憑據(jù)，配置API，就可以在不到一小時(shí)的時(shí)間內(nèi)掃描環(huán)境。

終端可見(jiàn)性：由于大多數(shù)攻擊都是從單個(gè)終端設(shè)備開(kāi)始的，并為攻擊者提供了提升權(quán)限的簡(jiǎn)單途徑，因此可見(jiàn)性至關(guān)重要，尤其是在員工不斷從遠(yuǎn)程位置登錄的情況下。

在過(guò)去的十年里，安全領(lǐng)導(dǎo)人一直在努力爭(zhēng)取在董事會(huì)中獲得一席之地，如果他們要保住這個(gè)席位，他們將需要建立一種基于經(jīng)驗(yàn)數(shù)據(jù)的問(wèn)責(zé)文化，以便他們能夠溝通并使網(wǎng)絡(luò)安全的全部?jī)r(jià)值合理化。