最近的數(shù)據(jù)描繪了一幅與網(wǎng)絡(luò)安全預(yù)算有關(guān)的相互矛盾的圖景。一些研究表明，隨著CISO著眼于下一次支出狂潮，預(yù)算正在健康增長。其他研究表明，盡管之前獲得批準(zhǔn)，但安全預(yù)算正在收緊，甚至被大幅削減，這阻礙了安全戰(zhàn)略，并造成了風(fēng)險盲區(qū)。

公司規(guī)模和行業(yè)等幾個因素?zé)o疑是造成這種不一致的原因之一，但無論CISO的資金是充足的還是稀缺的，通過避免隱藏的、不必要的成本來節(jié)省資金的機會肯定是普遍歡迎的。

安全投資可能會伴隨著成本陷阱，這些陷阱并不總是顯而易見的，但隨著時間的推移，會侵蝕安全領(lǐng)導(dǎo)人的寶貴資金，而他們從未意識到這一點。這些成本的范圍從正確的知識可以辨別的成本到有些令人驚訝的成本，即使是對最經(jīng)久不衰的CISO來說也是如此。

CISO與安全產(chǎn)品和服務(wù)的收費結(jié)構(gòu)作斗爭

許多CISO在許多安全供應(yīng)商圍繞其產(chǎn)品的收費結(jié)構(gòu)中苦苦掙扎。網(wǎng)絡(luò)安全顧問、歐盟網(wǎng)絡(luò)安全局(ENISA)咨詢小組成員布賴恩·霍南告訴記者：“現(xiàn)在許多產(chǎn)品的收費結(jié)構(gòu)非常復(fù)雜，雖然基本版本的解決方案可能看起來相對有吸引力，但更高級的功能--通常是CISO要求的功能--需要額外收費的情況并不少見。”

他補充說，這在安全信息和事件管理(SIEM)或安全運營中心(SOC)解決方案中非常常見，在這些解決方案中，工具或平臺的初始購買相對便宜，但隨著存儲的數(shù)據(jù)量、跟蹤的事件、分析的流量或監(jiān)控的終端的增加，相關(guān)定價可能會大幅躍升。

安全產(chǎn)品和服務(wù)中的這些額外管理費用還可能包括許可、維護和支持成本。信息安全論壇(ISF)杰出分析師保羅·瓦茨表示：“我聽說，CISO涵蓋了SOC和基礎(chǔ)設(shè)施等更多的安全馬達功能，發(fā)現(xiàn)他們持有支持和維護成本，這些成本本應(yīng)由CIO/CTO承擔(dān)，特別是在預(yù)算線相當(dāng)緊密的情況下。”

仔細(xì)審查第三方成本

在決定購買任何網(wǎng)絡(luò)安全服務(wù)或與第三方接觸之前，CISO應(yīng)詢問并仔細(xì)評估與使用該服務(wù)相關(guān)的所有潛在額外成本。大峽谷教育公司CISO的邁克·曼羅德表示：“這是一個完善供應(yīng)商參與和談判策略的問題，目的是以最低的合理價格購買產(chǎn)品和服務(wù)。”特別是，當(dāng)一個產(chǎn)品是全新的ADD、新的關(guān)系和/或成本涉及知識產(chǎn)權(quán)而不是實物產(chǎn)品的情況下，應(yīng)該有很大的談判空間。

曼羅德說：“對于服務(wù)來說，最終的訣竅是堅持每個新產(chǎn)品都有足夠的專業(yè)服務(wù)來實施，然后讓你最有前途的人從鍵盤上引導(dǎo)會議，專業(yè)服務(wù)工程師告訴他們應(yīng)該做什么。”

然后讓那個人去支持那個產(chǎn)品，然后解決之后的問題，如果你選對了人，他們就是專家，他說。“一旦做到這一點，就讓他們培訓(xùn)后備人員，創(chuàng)造一種記錄和持續(xù)知識轉(zhuǎn)移的文化。在過去6.5年里，我在這份工作上為我們節(jié)省了多少錢，這對我來說甚至都不合適。”

根據(jù)曼羅德的說法，另一個考慮因素可以幫助談判新的安全產(chǎn)品的更合理的價格。例如，當(dāng)一些遠程瀏覽器隔離供應(yīng)商報出荒謬的價格時，我們詳細(xì)解釋了如何構(gòu)建自己的GitHub項目，以便如果我們致力于資本支出時間與他們收取的費用相等的話對其他人免費開放。這對供應(yīng)商來說是一個非常突出的現(xiàn)實檢驗，定價變得更加合理，他表示。

內(nèi)部運營成本經(jīng)常被忽視

安全產(chǎn)品和服務(wù)錯綜復(fù)雜的成本結(jié)構(gòu)只是潛在隱藏成本謎題的一部分。另一件需要考慮的事情是有效運營它們的內(nèi)部成本，這一點經(jīng)常被忽視。以暹羅為例;它顯然是一個有效的工具，但出于合規(guī)目的，將有大量數(shù)據(jù)需要管理和保存，需要大量存儲和時間投資，佳潔士英國委員會成員戴夫·艾倫告訴記者。

“考慮員工培訓(xùn)、維護、增加用戶和處理誤報等事情也很重要--所有這些事情都可能不包括在初始成本分析中。”他說。

滲透測試服務(wù)和開源解決方案也是很好的例子。Allan說，在使用滲透測試時，還必須考慮內(nèi)部所需的時間和資源、任何潛在停機對業(yè)務(wù)的成本、分析報告所需的時間以及實施任何必需的安全措施的成本。

霍南補充說，開源解決方案雖然經(jīng)常被吹捧為商業(yè)工具的高性價比替代方案，但也不一定會為網(wǎng)絡(luò)安全團隊節(jié)省成本。實施、管理、集成和支持解決方案的持續(xù)成本通常會導(dǎo)致在招聘具有所需技能的人員或與外部專業(yè)知識接觸時產(chǎn)生意外成本。

重疊的服務(wù)和重復(fù)的功能不必要地給預(yù)算帶來壓力

重復(fù)功能的重疊服務(wù)是另一個常見的超支，可能會侵蝕安全預(yù)算。云服務(wù)提供商Nasstar的CISO尼克·特魯曼(Nick Trueman)表示：“為這些重復(fù)的安全功能付費可能在財務(wù)上效率低下，并給預(yù)算帶來壓力。”他補充說，這還可能導(dǎo)致集成挑戰(zhàn)，從而協(xié)調(diào)和集成具有類似功能的多個提供商會導(dǎo)致復(fù)雜性和互操作性問題。

CISO應(yīng)進行全面審查，并確定所有當(dāng)前的安全提供商及其提供的服務(wù)。“評估它們的有效性，以及它們是否符合企業(yè)的安全要求，”特魯曼說。如果發(fā)現(xiàn)重復(fù)的功能，請考慮將服務(wù)整合到單一提供商之下，或與提供商協(xié)商以消除冗余。

將預(yù)算浪費在冗余的安全服務(wù)和產(chǎn)品上

在裁員問題上，CISO最終往往會為不能提供預(yù)期收益的工具買單，從而嚴(yán)重影響其安全預(yù)算和覆蓋計劃。Qualys首席技術(shù)安全官Paul Baird表示，CISO可能會遇到這樣的情況，即他們投資于安全工具或技術(shù)，盡管他們最初承諾，但未能提供預(yù)期的價值或投資回報。

出現(xiàn)這種情況的原因有幾個，包括與現(xiàn)有系統(tǒng)的集成不充分、用戶采用有限，或者工具不能有效地滿足組織的特定安全需求。這種投資可能會給安全預(yù)算帶來壓力，并將資源從更有效的安全措施中轉(zhuǎn)移出來，最終破壞該組織的整體網(wǎng)絡(luò)安全態(tài)勢。

Baird說：“我看到CISO在他們的預(yù)算中發(fā)現(xiàn)，這些工具要么是擱置的，要么是沒有被充分利用的潛力。”這里的問題是，我們跑得很快，以跟上威脅并防止襲擊，這使得我們很難走在問題的前面。

在購買新的解決方案之前，確定現(xiàn)有解決方案是否有效

ReliaQuest的CISO里克·霍蘭德表示，CISO有過花費深入采購的歷史，他們更新工具并購買新工具，而不驗證用例和檢查現(xiàn)有解決方案是否已經(jīng)解決了風(fēng)險。這導(dǎo)致了大量冗余的、可能不必要的安全控制，使安全操作復(fù)雜化。他補充說，公司需要協(xié)調(diào)所有投資，以確保它們與組織的威脅模型相關(guān)，并將風(fēng)險降至最低。

例如，如果您不在網(wǎng)站可用性對創(chuàng)收至關(guān)重要的垂直領(lǐng)域，是否需要續(xù)訂基于云的分布式拒絕服務(wù)(DDoS)緩解服務(wù)?DDoS攻擊的可能性和影響是否足夠低，以至于有限的資源可以定向到其他地方?

在Honan審查組織中的安全工具的經(jīng)驗中，通常只因為組織不知道他們所需的所有功能在他們購買的原始產(chǎn)品中都可用而實施了兩到三個產(chǎn)品。例如，他表示，許多現(xiàn)代操作系統(tǒng)都帶有內(nèi)置的安全功能，如磁盤加密，如果實施，可能會消除擁有第三方解決方案的要求。

霍南補充道：“聘請一名產(chǎn)品工程師來審核您的配置并確保正確實施解決方案，可以使CISO不必再購買其他工具以及與集成和管理工具相關(guān)的成本。”

供應(yīng)商鎖定造成永久的不當(dāng)支出

一些CISO可能會陷入的另一個成本陷阱是供應(yīng)商鎖定。為了使解決方案有效工作，在金錢、時間和資源上的投入最終可能會比最初預(yù)期的要高得多。這可能會導(dǎo)致CISO不愿轉(zhuǎn)向替代產(chǎn)品或平臺，因為他們可能會覺得投資將會損失，或者遷移的成本將令人望而卻步。

霍南說：“當(dāng)安全功能或流程被外包給第三方或云時，情況尤其如此，盡管有更具成本效益的解決方案可用，但這會導(dǎo)致持續(xù)時間更長、成本更高的成本。”

瓦茨說，當(dāng)CISO拿起一項橫切的、中心主導(dǎo)的“倡議”時，隱藏成本也可能悄悄出現(xiàn)，他們在實施和零日成本方面掌握著這一倡議的錢包，承諾“如果它奏效，我們將整合到企業(yè)預(yù)算中”。

“然后，這就變成了一種持久的一切照舊的活動，到那時，在整個業(yè)務(wù)范圍內(nèi)重新計入運營成本是一個沒有人想要的對話，因此它位于CISO的預(yù)算線上，給他們帶來了煩惱，特別是如果它確實不符合中央安全成本的情況。”

不一致的業(yè)務(wù)優(yōu)先級引發(fā)安全超支

組織優(yōu)先事項的錯位可能會對CISO構(gòu)成挑戰(zhàn)，可能會導(dǎo)致多付款項。這種不一致通常發(fā)生在不同利益相關(guān)者的戰(zhàn)略目標(biāo)和視角與CISO的網(wǎng)絡(luò)安全優(yōu)先事項不一致時，這些利益相關(guān)者包括高級領(lǐng)導(dǎo)層和各個部門。

“當(dāng)這種錯位發(fā)生時，可能會導(dǎo)致預(yù)算分配方面的爭端，”貝爾德說。信息和通信技術(shù)組織可能不得不在與其他部門的要求競爭中為其預(yù)算請求辯護，這可能會導(dǎo)致可能無法充分滿足組織的安全需求的妥協(xié)，從而導(dǎo)致應(yīng)對安全事件或漏洞的臨時支出。

組織可能會有反應(yīng)地分配資源來應(yīng)對迫在眉睫的威脅，這往往會招致額外的成本。這種被動的方法可能會使預(yù)算緊張，而且可能無法提供全面且具有成本效益的長期安全戰(zhàn)略。

曼羅德說，有時公司和安全領(lǐng)導(dǎo)者在這方面都很短視，選擇了最容易的季度路徑，這可能在一年內(nèi)產(chǎn)生中性的結(jié)果，但在五年內(nèi)產(chǎn)生災(zāi)難性的結(jié)果。“如果我們想要解決這個問題，我們都需要傾向于更長遠的思考。”

他補充說，在幫助對安全項目進行大量改進的所有因素中，最重要的因素之一是長期留在同一家公司，得到其他領(lǐng)導(dǎo)人始終如一、堅定不移的支持，為解決經(jīng)常得不到解決的難題提供了持續(xù)工作的平臺。“我們中有誰肯定會成功嗎?一點也不。盡管如此，我愿意認(rèn)為我們都在努力實現(xiàn)最大可能的風(fēng)險降低，對于每一種投資水平。”信息和通信技術(shù)組織需要使其安全優(yōu)先事項與本組織的戰(zhàn)略目標(biāo)保持一致，并定期評估安全投資的績效，以確保有效地分配資源，并確保安全覆蓋計劃具有效力和成本效益。