• “為什么今年的安全預(yù)算增加了這么多？”
• “安全預(yù)算花光了，公司的安全建設(shè)成果在哪里？”
• “前不久才批給你的一輪新的安全預(yù)算都沒了？又進(jìn)購了哪些產(chǎn)品？”

看完這一組“致命”三連問，可能有不少安全人已經(jīng)汗流浹背了。但毫不夸張，這大概就是不少企業(yè)安全管理者在工作中需要切實面對的難題。

近幾年，隨著市場利潤緊縮，在安全預(yù)算中“平地?fù)革灐币约啊敖当驹鲂А背蔀榱瞬簧貱ISO不得不面對的難題。盡管有些時候公司已經(jīng)批準(zhǔn)了部分特定的網(wǎng)絡(luò)安全預(yù)算，但如今這些預(yù)算正在被收緊甚至是削減。這也就導(dǎo)致安全策略受限，產(chǎn)生了許多風(fēng)險盲點。

根據(jù)IANS Research最新公布的研究報告，伴隨全球經(jīng)濟(jì)衰退預(yù)期和通脹壓力的持續(xù)，2022-2023年預(yù)算周期的網(wǎng)絡(luò)安全預(yù)算增速同比下降了65%。因此，與預(yù)算緊縮和人員短缺作斗爭，已然成為當(dāng)下CISO面臨的主要挑戰(zhàn)之一。但無論CISO的安全預(yù)算富裕還是有限，節(jié)省資金，避免不必要的隱藏成本肯定是一個更好的選擇。

網(wǎng)安支出中暗藏的“成本陷阱”

從硬件設(shè)備的投入，到軟件許可的購買，再到人力資源的管理，以及持續(xù)的維護(hù)和升級......企業(yè)網(wǎng)安建設(shè)支出中，往往暗藏成本陷阱，每個環(huán)節(jié)都可能帶來預(yù)期之外的開支。這些開支不僅可能削弱企業(yè)的財務(wù)狀況，甚至可能影響到整個安全建設(shè)的效果和效率。

這些陷阱在安全建設(shè)初期可能并不明顯，但隨著時間的推移很可能會悄悄地消耗網(wǎng)絡(luò)安全部門的寶貴預(yù)算。這些成本陷阱的范圍甚廣，有些即便是具備特定知識和經(jīng)驗豐富的CISO都很難察覺到。具體有以下幾類：

安全產(chǎn)品服務(wù)計費結(jié)構(gòu)的“套路”

如今，不少CISO都許多安全供應(yīng)商圍繞其產(chǎn)品的收費結(jié)構(gòu)中苦苦掙扎。歐洲聯(lián)盟網(wǎng)絡(luò)安全局（ENISA）顧問組成員Brain Honan指出，現(xiàn)在許多產(chǎn)品都有非常復(fù)雜的計費結(jié)構(gòu)，而基礎(chǔ)版本的解決方案可能看起來相對有吸引力，但更高級的功能，通常是CISO所需的功能，一般會額外收費。這些工具的初始購買成本相對較低，但隨著存儲的數(shù)據(jù)量、跟蹤的事件、分析的流量或監(jiān)視的終端數(shù)量的增加，相關(guān)價格可能會大幅上升。

此外，安全產(chǎn)品和服務(wù)中的額外開支還包括許可證費用以及維護(hù)和支持成本等。另外，據(jù)說一些CISO還要負(fù)責(zé)更多的安全職能，如SOC和基礎(chǔ)設(shè)施等。他們承擔(dān)了本應(yīng)該由CIO或CTO負(fù)擔(dān)的支持和維護(hù)成本，尤其是在預(yù)算條款相對緊密耦合的情況下。

審查第三方成本至關(guān)重要

在決定購買任何網(wǎng)絡(luò)安全服務(wù)或與第三方合作之前，詳細(xì)詢問并評估所有潛在額外成本至關(guān)重要。這不僅是為了優(yōu)化供應(yīng)商談判策略，更是為產(chǎn)品和服務(wù)爭取最低的合理價格。特別是當(dāng)購買新產(chǎn)品，建立全新的合作關(guān)系，或涉及知識產(chǎn)權(quán)而非實物產(chǎn)品的成本場景時，通常有很大的談判空間。

對于服務(wù)而言，最終極的訣竅就是要堅持確保每個新產(chǎn)品都配備足夠的專業(yè)服務(wù)作為支撐。比如，配備更加專業(yè)的工程師通過線上指導(dǎo)客戶高效地使用該產(chǎn)品，同時挑選合適的員工來擔(dān)任該產(chǎn)品的負(fù)責(zé)人解決后續(xù)問題。

另外，與挑選合適的服務(wù)人員同樣重要的還有培訓(xùn)備用人員，養(yǎng)成創(chuàng)建關(guān)于文檔記錄和持續(xù)知識傳遞的文化能夠幫助組織節(jié)省下一筆不菲的資金。

在購買新型安全產(chǎn)品時，還有另外一種策略能夠爭取更加合理的價格。舉個例子，當(dāng)某些提供遠(yuǎn)程瀏覽器隔離服務(wù)的供應(yīng)商報價過高時，組織可以向其詳細(xì)說明自己有能力自行開發(fā)此類產(chǎn)品，并將該產(chǎn)品創(chuàng)建成一個GitHub項目，供他人免費使用。當(dāng)然前提是他們愿意花費與供應(yīng)商要價相等的資本支出。這種方法的目的是向供應(yīng)商表明立場，迫使供應(yīng)商降低價格。

內(nèi)部安全產(chǎn)品運營成本極易被忽視

除了安全產(chǎn)品和服務(wù)復(fù)雜的成本結(jié)構(gòu)外，有效的運行安全產(chǎn)品的內(nèi)部成本常常被人忽視。以SIEM為例，盡管SIEM是一個有效監(jiān)測和分析網(wǎng)絡(luò)活動的安全工具。但出于合規(guī)目的，企業(yè)在使用SIEM時會生成大量的數(shù)據(jù)，這意味著需要投入大量的存儲資源和時間成本。因此，在這個過程中，考慮員工培訓(xùn)、維護(hù)、添加用戶和處理誤報等因素也很重要，畢竟這些因素可能多數(shù)并不會包含在初始成本分析中。

滲透測試服務(wù)和開源解決方案也是如此。在使用滲透測試服務(wù)時，企業(yè)還必須考慮內(nèi)部所需的時間和資源、任何潛在停機(jī)對業(yè)務(wù)造成的成本、分析報告所需的時間以及實施所需安全措施的成本。開源解決方案雖然經(jīng)常被看作是商業(yè)安全工具的經(jīng)濟(jì)高效替代品，但也不一定能為網(wǎng)絡(luò)安全團(tuán)隊節(jié)省成本?！皩嵤⒐芾?、集成和支持解決方案會產(chǎn)生持續(xù)成本，例如招聘相關(guān)專業(yè)人才或聘請外部專家時產(chǎn)生意想不到的成本。

嚴(yán)格“去重”，不把預(yù)算浪費在無效服務(wù)和產(chǎn)品上

重復(fù)功能和重疊服務(wù)是另一種常見的網(wǎng)絡(luò)安全預(yù)算超支原因。云服務(wù)提供商Nasstar的首席信息安全官Nick Trueman就曾提及過此類問題，他表示：為重復(fù)的安全功能付費往往導(dǎo)致預(yù)算緊張，還可能導(dǎo)致集成方面的問題，協(xié)調(diào)和集成提供類似功能的多個廠商的產(chǎn)品會導(dǎo)致復(fù)雜性和互操作性問題。

應(yīng)全面審查所有安全提供商提供的服務(wù)，評估其有效性以及是否符合業(yè)務(wù)的安全要求，如果發(fā)現(xiàn)重復(fù)功能，可以考慮將服務(wù)整合到單個提供商下或與提供商協(xié)商以消除冗余。

在安全建設(shè)過程中，不少企業(yè)會為無法帶來預(yù)期收益的冗余或無效工具付費。這可能會影響安全預(yù)算和覆蓋計劃，還可能導(dǎo)致投資的安全工具或技術(shù)無法兌現(xiàn)最初的承諾、以及無法提供預(yù)期價值及投資回報。

當(dāng)然，出現(xiàn)這種情況背后的原因有很多種，比如與現(xiàn)有系統(tǒng)集成不足、用戶采用率不高或工具無法有效滿足企業(yè)的特定安全需求等等。諸如上述情況的安全投資占用了更有效的安全措施的資源，從而導(dǎo)致安全預(yù)算緊張，最終損害企業(yè)的整體網(wǎng)絡(luò)安全態(tài)勢。

不少CISO都有過度采購的情況，但如果是一味地只顧著更新工具購買工具，而不去驗證用例或檢查現(xiàn)有解決方案是否已經(jīng)能滿足需求。這極可能導(dǎo)致工具出現(xiàn)大量冗余的情況，從而使安全運營變得復(fù)雜。企業(yè)需要協(xié)調(diào)所有安全投資，以確保與企業(yè)的威脅模型相關(guān)并最大限度地降低風(fēng)險。因此，在選擇購買一項新產(chǎn)品之前，確定現(xiàn)有解決方案是否可用對于CISO來說是一項重要的工作。

根據(jù)業(yè)內(nèi)人士在企業(yè)中的審查安全工具的經(jīng)驗之談，企業(yè)往往會為同一個功能購買兩到三個產(chǎn)品，但這僅僅是因為企業(yè)并不知曉他們購買的原始產(chǎn)品中已經(jīng)提供了所需的所有功能。比如，許多現(xiàn)代操作系統(tǒng)都有內(nèi)置的安全功能，例如磁盤加密，如果實施這些功能，可以消除對第三方解決方案的要求。想要做到這一步，可以考慮安排專門的產(chǎn)品工程師專人負(fù)責(zé)審查安全配置并正確實施解決方案，這能夠有效幫助CISO省去購買新工具以及與集成和管理該工具的相關(guān)成本。

“供應(yīng)商鎖定”可能造成永久性的成本陷阱

企業(yè)有時為了讓某個解決方案能夠有效運作，會投入大量資金、時間和資源，最終導(dǎo)致成本顯著超出預(yù)期。但考慮到不要浪費前期的投資，或者有時因為遷移的成本太高，所以大多企業(yè)不愿意考慮將某些安全事項轉(zhuǎn)向其他供應(yīng)商的產(chǎn)品或平臺，盡管可能存在比之前更加經(jīng)濟(jì)高效的解決方案。當(dāng)CISO接手跨部門或者由中央領(lǐng)導(dǎo)層主導(dǎo)的“倡議”時，可能會面臨隱藏的成本問題。在這種情決策過程中，CISO有資金支配權(quán)，負(fù)責(zé)實施該倡議并承擔(dān)初始費用。他們會向上級或其他部門承諾，一旦倡議成功，那么它將會被納入業(yè)務(wù)預(yù)算之中。

隨后將會成為一項持續(xù)的常規(guī)業(yè)務(wù)。到了那個時候，再將運行成本重新分配到整個業(yè)務(wù)部門之間將會是一件困難的事情，可能會引起爭議和矛盾。因此，這些成本最終會留在CISO的預(yù)算中，給他們帶來麻煩，特別是這些成本實際上并不應(yīng)該由安全部門承擔(dān)。

業(yè)務(wù)優(yōu)先級混亂可能導(dǎo)致出現(xiàn)意外成本

當(dāng)企業(yè)高管和各部門主管的戰(zhàn)略目標(biāo)和觀點與CISO的網(wǎng)絡(luò)安全優(yōu)先事項不一致時，可能會導(dǎo)致預(yù)算分配方面的爭議，這樣CISO往往無法獲得足夠的預(yù)算實施有效的長期戰(zhàn)略，從而導(dǎo)致出現(xiàn)意外的成本。

對于CISO來說，在與其他部門競爭預(yù)算時需要證明其預(yù)算請求的合理性，任何妥協(xié)都可能會導(dǎo)致企業(yè)安全需求無法得到充分滿足，從而導(dǎo)致企業(yè)在響應(yīng)安全事件或數(shù)據(jù)泄露時的意外支出。企業(yè)可能會被動地分配資源來解決眼前的威脅，這通常會在未來產(chǎn)生意外成本。這種被動投入的方法可能會導(dǎo)致安全預(yù)算緊張，無法提供全面且更具成本效益的長期安全策略。

這個情況其實一直是安全工作的痛點，算是早些年積累下的一個“病灶”。這里其實也涉及到如何量化安全工作的問題，在向領(lǐng)導(dǎo)匯報時，究竟該如何體現(xiàn)安全工作的階段性成果以及找出安全投資可能為企業(yè)帶來的實際效益十分重要。在爭取預(yù)算的過程中，讓上級領(lǐng)導(dǎo)及其他配合工作的部門領(lǐng)導(dǎo)充分認(rèn)識到安全成本投入的重要性與必要性，能夠有效保證安全成本的投入比例。

結(jié)語

企業(yè)網(wǎng)絡(luò)安全既是保障企業(yè)資產(chǎn)安全的重要環(huán)節(jié)，也是維護(hù)企業(yè)核心競爭力的關(guān)鍵因素。因此，如何合理規(guī)劃網(wǎng)絡(luò)安全投入和開支，建立健全的預(yù)算監(jiān)控和調(diào)整機(jī)制，及時了解預(yù)算執(zhí)行情況，評估網(wǎng)絡(luò)安全投入的有效性，并根據(jù)實際情況進(jìn)行調(diào)整，以實現(xiàn)安全性和經(jīng)濟(jì)性的平衡至關(guān)重要。通過對網(wǎng)絡(luò)安全預(yù)算執(zhí)行情況的總結(jié)，不斷提煉經(jīng)驗教訓(xùn)，持續(xù)改進(jìn)網(wǎng)安預(yù)算計劃的制定和執(zhí)行，最大程度地規(guī)避網(wǎng)安成本“陷阱”，是每一位CISO的“必修課”。

畢竟，良性的網(wǎng)絡(luò)安全投入不僅是企業(yè)保護(hù)信息資產(chǎn)和維護(hù)業(yè)務(wù)運營的基礎(chǔ)，也是企業(yè)應(yīng)對日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢的必要舉措。