有報告指出網絡犯罪成本的重要性。一些專家建議應該重新分配預算資源，多一些用到應用層安全上去。

研究報告旨在量化與“網絡犯罪以及從網絡攻擊中恢復”相關的財務損失，預算不足讓企業難以應對疊高的成本。

[[151896]]

Ponemon的報告《2015年網絡犯罪成本研究》(由HP贊助，調查設計58家美國組織以及全球7個國家的252家組織)，確定了數據泄漏事故的平均成本以及從中恢復所需要的成本。報告發現這些成本仍舊在持續攀升。

卡帕斯基實驗室發布報告《損失控制：安全漏洞的成本》，該報告調查了26個國家的5500家公司，并確定從網絡攻擊事件中恢復所需要付出的代價。

研究結果并不十分匹配。Ponemon發現企業平均花費46天并少于200萬美元以從每次網絡攻擊中恢復過來。不過，卡帕斯基實驗室則稱企業真正恢復起來要平均花費551000萬美元，小企業也要花費38000美元，且當企業信譽受損、又包括培訓和基礎設施升級時，所花費成本將直線上漲。

Ponemon的研究主要在整體網絡犯罪成本層面，揭示了以年計的話平均每個公司每年要花費1500萬美元。組織規模和成本之間呈正向關系，然而值得注意的是，較小的公司的成本要高于大型組織。

緩解上升的成本

兩項研究均認為最常見的攻擊類型是通過惡意代碼進行的，同時卡帕斯基發現第三方提供商的故障要對數據泄漏事故成本負絕大部分責任。數據泄漏成本也呈現出不同形式，包括關鍵業務信息訪問失敗造成的損失、律師/顧問費用等。

Trustwave Holdings公司Web應用安全副總裁Marc Shinbrood說，咨詢并不會滿足每個企業所特有的需求。

“當務之急是公司要確保積極的安全測試。很多公司引進咨詢公司做安全調查，或者照看其他組織來尋求安全的方向，”Shinbrood說道。“然而更重要的是，企業應該測試自己的環境，尋求自身業務發展趨勢，然后采取適當的措施。試想一下，當你想買一輛車時，只是照著鄰居的車子去買，那么你又怎能確保這輛車子會適合你的需求呢?”

兩項研究報告都強調了網絡攻擊及恢復成本的上漲。專家也認為對于IT專業人士來說最困難的工作之一即是獲取預算資源。所以，恰當地分配資源可能是解決之道。

卡帕斯基實驗室北美區的總經理Chris Doggett表示，任何預算考量首先都要將所有組織需要的基本技術考慮在內。

“預防網絡攻擊，有效的端點保護必須結合幾種不同的安全技術，如惡意軟件檢測、Web安全控制、利用保護、先進的防火墻功能以及主機入侵防御。首要的是應該先選擇一個合適的端點安全解決方案，能夠最大程度滿足企業主要的選擇標準，”Doggett說道。“只有在滿足這個需要后，企業才能夠投入額外的預算到其他層的安全上去。”

應用層安全需更多投入

Ponemon研究機構創始人Larry Ponemon說，當你了解到不同網絡層安全是如何分配資源的時候，就會發現一層顯然得到了太多的資源，事實上根本用不上這么多。

“就好像在傳統安全預算中，最大的占比為使能技術“網絡安全技術”所占，即傳統的邊界控制，諸如防火墻、IPS及其他類似的等等，”Ponemon說道，“但當你審視如今的威脅或潛在的攻擊可能時，會發現通常在應用層的威脅要遠多于網絡層。”

Ponemon指出，調查數據顯示公司正在將預算資源從網絡安全層緩慢轉向應用層。根據報告顯示，應用層的預算支出從2013年的15%增長到2015年的20%，而網絡安全支出則由40%下降到36%。

BeyondTrust技術副總裁Morey Haber表示，組織往往過于關注需要保護的數據量，而在訪問管理方面關注不夠。

“固有的觀念是存儲的數據在增加，因而我們保護數據的安全工具和系統也需要隨之增加。殊不知防護設備的疊加并不是解決問題的辦法，我們應當轉變觀念，控制訪問特權，建立按需訪問的體系，”Haboer這樣說道。“控制訪問能夠減少噪音，并在最終用戶和應用程序訪問時具備更高效的監測。”

Ponemon研究也計算了技術可以為處于泄漏事故中的公司節省的錢財，這些技術可以是安全情報系統、GRC工具或者訪問控制工具。不過，同樣根據該報告，GRC工具或訪問控制工具無法提供與加密技術、邊界控制和防火墻技術相媲美的投資回報(ROI)。

NetlQ身份認證解決方案策略師Travis Greene表示，這種ROI數據可以幫助企業高管重新看待通用安全支出。

“我們往往將安全視作保險，并非真正有所幫助，不過是一項必要的開銷。報告提供了一些關于安全花費ROI的信息，揭示在考慮到網絡犯罪增長的情況下，泄漏事故成本的普適性，”Greene說道。“因此，我認為在IT安全上缺少投資和預算的做法是不成熟的，重新將安全預算資源從網絡安全分配給數據訪問安全是一個明智的舉措，畢竟我們要時刻關注網絡罪犯所熱衷的方向。”

Doggett也警醒大家，關于安全漏洞的不斷報道可能會讓IT專業人士在面對危險時變得麻木。

“我們切不可自滿。隨著網絡犯罪的成熟和黑市體系的完善，網絡攻擊造成的負面影響將持續擴大。企業仍舊需要繼續關注、改進并完善安全投資。”