CISO们不得不考虑的问题:我们的安全投入是否足够?
星云
数世咨询
数世咨询
微信号
dwconcn
功能介绍
中国数字产业领域中立的第三方调研机构,提供网络安全行业的调查、研究与咨询服务。
发表于
收录于合集
在去年年底(疫情稍微爆发前),Gartner报告指出网络安全的预算在整体技术预算中平均占到了5%-8%;而最近的一份针对683名全球CIO等级的调查则发现,这个数字来到了15%,而有23%的CIO表示他们在安全上投入了超过20%的IT预算。
但是,这些投入是否足够呢?企业该如何衡量自己是否投入了足够数量的资金和资源,进行安全防护与风险缓解呢?
HackerOne的IT主任Aaron Zander看来,很难说有一个特定的安全预算数字能适用于每家企业——但是,0是绝对不能被接受的数字。
自我攻击检测安全
显然,一个检测漏洞并发现改进空间的有效方式,是自己做一个测试。
Vectra的CTO,Oliver Tavakoli,建议企业通过渗透测试对自己的系统进行检验,并通过分析结果来针对性地对安全进行投入。他认为,如果企业有一半以上的时间无法找到安全事故的根源问题,那显然不够安全;如果同一种攻击能连续好几次得手,那安全就真的遥不可及。
AttackIQ的CISO,Chris Kennedy,则认为,基于MITRE ATT&CK等框架的量化行为数据,能建立企业应对普遍性攻击行为的基础。他表示:MITRE ATT&CK框架可以让企业更清晰地看到攻击者的攻击链,通过分析以后,可以找到企业如何应对特定的攻击。安全领袖们能通过分析已知攻击者的运作模式,并模拟他们的行为,来验证自身的安全投入是否真的生效,从而证实自己的投资是否物有所值。
紧跟框架
MITRE ATT&CK只是众多框架中的一个,安全领袖们可以有多种框架进行选择,从而辅助做出安全预算的决策。安全框架可以作为指导,成为衡量安全价值的基础。
安全公司Bionic的联合创始人兼CEO,Mark Orlando,建议CISO们使用一个适合他们企业自身的成熟安全模型,对企业的安全进程进行衡量。通过框架,能够保证企业有一个明确的投资目标,基于风险、业务需求、合规变更等优先化预算开销。
他同时还提到,预算计划不应该凭空制定:“CISO们应该和他们的同僚们一起,审阅关于威胁变化和合规变化的公开报告;然后通过公开的基线数据,将他们自己企业的投入和同类组织进行对比,来调整投入金额以及项目优先级。”
而FRSecure的高级安全分析师Chad Spoden认为,CISO们可以根据框架再进一步对某些风险进行打分:“如果我们套用一个简单的‘一个管控需求等于一分’的公式,那我们只需要问一系列的问题即可。如果这个问题的答案满足框架中的建议,得一分;反之等零分。最后,就能获得一个资深安全态势的具体分值。”不过,他也表示,这个公式根据业务的不同会有所变化,依然不是一个万全之策。
他补充道:“在现实中,这肯定不会是单纯的1和0的加法。有些风险会比其他风险更有威胁,因此在管控权重方面需要有所侧重,”
企业的损失极限
这已经不是一个新话题了——企业在进行安全预算的时候需要考虑他们自身能承受多大的损失:从评估关键数据和架构面临的风险开始,计算因数据被盗或者系统中断造成的业务或者顾客流失产生的损失。
WatchGuard的CTO,Corey Nachreiner认为企业要思考自己在一天,甚至一小时中,会因为网站下线产生多少损失。他提到,一家电商网站的损失显然会很大;但是对于一家建筑合同商,可能网站下线几天都没有太大影响——企业的风险由自身组织的特性所决定。
另一个需要计算的损失是行业法规产生的罚款:比如医疗行业需要符合HIPAA标准;零售商需要满足PCI标准。不同的合规需求会对数据泄露事件产生不同的罚款。
对CISO们而言,可以对执行层管理直言因合规罚款、攻击受到的直接损失、因客户流失的间接损失对公司造成的影响,然后基于这些提出自己的安全预算需求。这种方式能作为一个不错沟通的开始。
但是,预算也不是冷冰冰的数字,还需要更有效地使用。这些资源应该基于管控对企业的重要程度、不足程度进行分配,用最小的成本获取最大的效果。这样安全预算才能最合理地被使用。
关键词:安全预算
往期
精彩
回顾
如何做好网络安全预算:通过ROI显示安全投入价值
2020年网络安全投入预算调查:预算增加 威胁检测、数据安全是重点
预览时标签不可点
微信扫一扫
关注该公众号
知道了
微信扫一扫
使用小程序
取消
允许
取消
允许
:
,
。
视频
小程序
赞
,轻点两下取消赞
在看
,轻点两下取消在看