多年前，現(xiàn)任Transmit Security公司CISO顧問的大衛(wèi)·馬赫迪(David Mahdi)就遭遇了任何安全負(fù)責(zé)人都不愿面對(duì)的困境：年中預(yù)算突然被削減，且無法推遲執(zhí)行。“這是內(nèi)部問題、遺留技術(shù)債務(wù)、市場(chǎng)壓力和地緣政治等多種因素不可控地交織在一起，同時(shí)爆發(fā)了?！彼f道，資金緊張迫使他迅速做出痛苦權(quán)衡。

他表示：“鑒于削減預(yù)算的緊迫性，我們意識(shí)到這一過程不可能盡善盡美，難免會(huì)出現(xiàn)漏洞。”

這段經(jīng)歷影響了他應(yīng)對(duì)限制預(yù)算的方式，如今，他敦促面臨類似挑戰(zhàn)的CISO們明確優(yōu)先級(jí)，對(duì)哪些預(yù)算可以縮減、哪些預(yù)算要不惜一切代價(jià)保護(hù)，做出深思熟慮且慎重的決策?！耙鑼?duì)所有事項(xiàng)都一刀切的錯(cuò)誤觀念，這會(huì)造成看不見的脆弱性。在出現(xiàn)問題之前，沒人會(huì)感覺到削減預(yù)算帶來的影響?！?/p>

在資源減少的同時(shí)保障安全，似乎是一項(xiàng)不可能完成的任務(wù)，每個(gè)決策都伴隨著權(quán)衡，且容錯(cuò)空間極小。

如何縮減開支而不破壞整體安全

網(wǎng)絡(luò)安全支出實(shí)現(xiàn)兩位數(shù)增長(zhǎng)的時(shí)代或許已一去不復(fù)返。根據(jù)IANS Research和Artico Search發(fā)布的《安全預(yù)算基準(zhǔn)報(bào)告》，2024年，每八位CISO中就有一位報(bào)告預(yù)算被削減，約四分之一的CISO表示預(yù)算持平。即便在獲得更多資金的多數(shù)CISO中，大多數(shù)人報(bào)告的預(yù)算增幅也較為有限，通常在1%至5%之間。不出所料，近三分之一的CISO表示，當(dāng)前預(yù)算無法滿足需求。

從支出構(gòu)成來看，最大一部分(37%)用于人員和薪酬，非現(xiàn)場(chǎng)軟件占23%，其次是外包、現(xiàn)場(chǎng)工具和特定項(xiàng)目，這些方面的支出占比較小，僅有5%用于硬件，4%的預(yù)算用于培訓(xùn)和發(fā)展，最后，僅有3%的預(yù)算留作可自由支配開支。

這種精打細(xì)算的分配方式意味著，一旦預(yù)算削減來襲，安全負(fù)責(zé)人往往要在沒有明確的選項(xiàng)的情況下做出艱難決策。選擇保護(hù)什么、縮減什么，以及如何在不使企業(yè)面臨風(fēng)險(xiǎn)的情況下做到這一點(diǎn)，都需要戰(zhàn)略性的思考，但同樣重要的是心態(tài)調(diào)整?！爱?dāng)預(yù)算縮減時(shí)，我認(rèn)為這是一個(gè)驗(yàn)證先前風(fēng)險(xiǎn)假設(shè)、挑戰(zhàn)遺留支出，以及使安全投資與關(guān)鍵業(yè)務(wù)成果保持一致的機(jī)會(huì)?！瘪R赫迪說。

他采用了一種圍繞三個(gè)維度構(gòu)建的結(jié)構(gòu)化方法：

? 戰(zhàn)略風(fēng)險(xiǎn)(高、中、低)：如果此控制措施失效，實(shí)際會(huì)面臨怎樣的風(fēng)險(xiǎn)?

? 業(yè)務(wù)一致性：哪些職能有助于創(chuàng)收、贏得客戶信任或確保合規(guī)?

? 顯而易見的選擇：這些是冗余工具、閑置軟件，或是那些在表面上看起來不錯(cuò)，但實(shí)際無法提供可衡量保護(hù)作用的“安全作秀”控制措施。

在進(jìn)行此評(píng)估時(shí)，馬赫迪組建了一個(gè)跨職能團(tuán)隊(duì)，其中包括業(yè)務(wù)部門負(fù)責(zé)人、安全架構(gòu)師、威脅情報(bào)負(fù)責(zé)人，以及企業(yè)內(nèi)外的可信賴同行，這種協(xié)作方式不僅分散了責(zé)任，還有助于發(fā)現(xiàn)盲點(diǎn)，并使預(yù)算削減與企業(yè)的整體風(fēng)險(xiǎn)狀況保持一致。

他還使用關(guān)鍵指標(biāo)來評(píng)估某些工具或流程是否高效，并權(quán)衡覆蓋范圍與復(fù)雜程度，試圖確定某個(gè)解決方案是在解決獨(dú)特的安全問題，還是僅僅重復(fù)現(xiàn)有的工作。最后，他考慮一項(xiàng)投資能多快產(chǎn)生可衡量的成果。利用這一框架，CISO們可以確定在哪些領(lǐng)域可以在不顯著增加風(fēng)險(xiǎn)的情況下進(jìn)行預(yù)算縮減。

從何入手

首先需要評(píng)估的領(lǐng)域之一是冗余工具。“如果兩個(gè)工具能完成70%的相同工作，那么保留集成和支持更好的那個(gè)，”馬赫迪說。然后，CISO們可以著手處理那些通常可以合理調(diào)整的、受遺留合規(guī)要求驅(qū)動(dòng)的控制措施?！耙P(guān)注有效的控制措施，而非僅為了應(yīng)付檢查的控制措施，特別是在那些過度依賴遺留治理、風(fēng)險(xiǎn)和合規(guī)管理的企業(yè)中。”

不過，削減時(shí)應(yīng)謹(jǐn)慎行事。“遵守適用法規(guī)是不可妥協(xié)的，”Approach Cyber公司的CISO勞拉·岡薩雷斯·普里德(Laura Gonzalez Priede)說。因此，安全負(fù)責(zé)人必須清楚了解自己的法律義務(wù)，并確保對(duì)安全計(jì)劃的任何調(diào)整都不會(huì)危及合規(guī)性或滿足核心業(yè)務(wù)需求的能力。

并非每個(gè)預(yù)算決策都是非黑即白的。一些舉措，如創(chuàng)新或?qū)嶒?yàn)性項(xiàng)目，處于灰色地帶，它們很有價(jià)值，但并不總是那么緊迫。在資金緊張時(shí)期，這些努力可以暫時(shí)擱置，特別是當(dāng)它們不針對(duì)緊迫威脅或合規(guī)需求時(shí)。

然而，為了在創(chuàng)新項(xiàng)目暫停期間保持團(tuán)隊(duì)士氣，馬赫迪建議讓他們制定一份詳細(xì)的預(yù)算改善后的加速推進(jìn)策略，這不僅能給他們一個(gè)目標(biāo)，還能確保企業(yè)在獲得更多資源時(shí)能夠迅速恢復(fù)勢(shì)頭。

在削減開支時(shí)期，岡薩雷斯·普里德優(yōu)先考慮人員和流程，而非工具?！半m然工具很重要，但許多工具可以用開源或內(nèi)部開發(fā)的替代品替代，”她說，“一個(gè)由有能力的人員支持的強(qiáng)大流程，往往可以彌補(bǔ)特定工具的缺失?！?/p>

在裁員時(shí)，馬赫迪強(qiáng)調(diào)了超越職位頭銜或技術(shù)認(rèn)證的重要性。“不要想當(dāng)然地認(rèn)為技術(shù)性最強(qiáng)的崗位就是最關(guān)鍵的，有時(shí)，那些將安全與業(yè)務(wù)緊密聯(lián)系起來的人才是你最具優(yōu)勢(shì)的資產(chǎn)?！?/p>

錯(cuò)誤的決策可能讓你損失慘重

選擇在哪些方面削減網(wǎng)絡(luò)安全預(yù)算很少是簡(jiǎn)單直接的，倉促行事只會(huì)加大風(fēng)險(xiǎn)。這意味著，很容易做出一些當(dāng)下看似實(shí)用，但最終會(huì)損害韌性或日后引入隱藏漏洞的削減決策。

“據(jù)我所見，CISO們?cè)趬毫ο峦^于倉促地削減檢測(cè)和響應(yīng)能力、事件準(zhǔn)備演練以及安全運(yùn)營(yíng)崗位?！瘪R赫迪說。

他們認(rèn)為，加強(qiáng)預(yù)防就意味著可以在事后應(yīng)對(duì)方面減少支出，但這是一場(chǎng)危險(xiǎn)的賭注。“事情總會(huì)出問題!雖然預(yù)防很好，但總會(huì)有疏漏，”他說，“當(dāng)事情出問題時(shí)，重要的不是控制措施的數(shù)量，而是你的響應(yīng)時(shí)間、遏制能力以及恢復(fù)能力。”

在擔(dān)任Gartner分析師期間，馬赫迪目睹了這種情況的發(fā)生?！霸谝粋€(gè)案例中，一位CISO削減了事件響應(yīng)(IR)準(zhǔn)備工作的投入，并將一級(jí)安全運(yùn)營(yíng)中心(SOC)外包以節(jié)省預(yù)算，”他回憶道，“當(dāng)發(fā)生數(shù)據(jù)泄露時(shí)，服務(wù)提供商錯(cuò)過了早期跡象，而且由于缺乏內(nèi)部力量，該企業(yè)在甚至了解泄露范圍之前就浪費(fèi)了關(guān)鍵時(shí)間?！痹谶@種情況下，實(shí)際損失的不僅僅是數(shù)據(jù)，還有信譽(yù)。

CISO們犯的另一個(gè)錯(cuò)誤是削減跨職能崗位，如嵌入式產(chǎn)品安全、治理負(fù)責(zé)人或與業(yè)務(wù)對(duì)齊的風(fēng)險(xiǎn)顧問等崗位?！斑@些崗位是連接企業(yè)各部分的紐帶，”馬赫迪說，“沒有它們，安全就會(huì)變得被動(dòng)、被誤解，并被邊緣化。”

在削減開支期間，CISO們可能還會(huì)選擇保持沉默，減少透明度。“他們應(yīng)該反其道而行之!”他說，“展示哪些得到了保護(hù)，哪些風(fēng)險(xiǎn)被接受了，要對(duì)自己的權(quán)衡決策負(fù)責(zé)，并充滿信心?！?/p>

保持透明度并關(guān)注人員需求至關(guān)重要，特別是在困難時(shí)期。岡薩雷斯·普里德發(fā)現(xiàn)，CISO們常有的一個(gè)遺憾是對(duì)員工和培訓(xùn)投資不足，這會(huì)悄然削弱團(tuán)隊(duì)能力?！俺掷m(xù)的教育能確保員工保持勝任力和安全意識(shí)，這在不斷演變的威脅環(huán)境中至關(guān)重要?！彼f。此外，裁減錯(cuò)誤的崗位或吝嗇于引進(jìn)人才往往會(huì)導(dǎo)致效率低下、優(yōu)先級(jí)錯(cuò)位和長(zhǎng)期成本上升。

另一個(gè)常見的疏忽是缺乏完善的流程文檔，這對(duì)于保持連續(xù)性至關(guān)重要，特別是在關(guān)鍵人員離職時(shí)。“沒有這些文檔，企業(yè)就面臨著丟失關(guān)鍵知識(shí)和執(zhí)行一致性的風(fēng)險(xiǎn)，這可能會(huì)帶來之前未曾預(yù)見的風(fēng)險(xiǎn)?！彼f。

但從另一方面來說，縮減開支也可能帶來積極的一面。岡薩雷斯·普里德表示，這促使安全負(fù)責(zé)人花時(shí)間重新評(píng)估優(yōu)先級(jí)，并優(yōu)化流程，使其更加敏捷和以結(jié)果為導(dǎo)向?！霸谶^渡期間，必須通過適當(dāng)?shù)囊?guī)劃和監(jiān)控來謹(jǐn)慎管理?！?/p>