CISO们不得不考虑的问题：我们的安全投入是否足够？

星云数世咨询

在去年年底（疫情稍微爆发前），Gartner报告指出网络安全的预算在整体技术预算中平均占到了5%-8%；而最近的一份针对683名全球CIO等级的调查则发现，这个数字来到了15%，而有23%的CIO表示他们在安全上投入了超过20%的IT预算。

但是，这些投入是否足够呢？企业该如何衡量自己是否投入了足够数量的资金和资源，进行安全防护与风险缓解呢？

HackerOne的IT主任Aaron Zander看来，很难说有一个特定的安全预算数字能适用于每家企业——但是，0是绝对不能被接受的数字。

自我攻击检测安全

显然，一个检测漏洞并发现改进空间的有效方式，是自己做一个测试。

Vectra的CTO，Oliver Tavakoli，建议企业通过渗透测试对自己的系统进行检验，并通过分析结果来针对性地对安全进行投入。他认为，如果企业有一半以上的时间无法找到安全事故的根源问题，那显然不够安全；如果同一种攻击能连续好几次得手，那安全就真的遥不可及。

AttackIQ的CISO，Chris Kennedy，则认为，基于MITRE ATT&CK等框架的量化行为数据，能建立企业应对普遍性攻击行为的基础。他表示：MITRE ATT&CK框架可以让企业更清晰地看到攻击者的攻击链，通过分析以后，可以找到企业如何应对特定的攻击。安全领袖们能通过分析已知攻击者的运作模式，并模拟他们的行为，来验证自身的安全投入是否真的生效，从而证实自己的投资是否物有所值。

紧跟框架

MITRE ATT&CK只是众多框架中的一个，安全领袖们可以有多种框架进行选择，从而辅助做出安全预算的决策。安全框架可以作为指导，成为衡量安全价值的基础。

安全公司Bionic的联合创始人兼CEO，Mark Orlando，建议CISO们使用一个适合他们企业自身的成熟安全模型，对企业的安全进程进行衡量。通过框架，能够保证企业有一个明确的投资目标，基于风险、业务需求、合规变更等优先化预算开销。

他同时还提到，预算计划不应该凭空制定：“CISO们应该和他们的同僚们一起，审阅关于威胁变化和合规变化的公开报告；然后通过公开的基线数据，将他们自己企业的投入和同类组织进行对比，来调整投入金额以及项目优先级。”

而FRSecure的高级安全分析师Chad Spoden认为，CISO们可以根据框架再进一步对某些风险进行打分：“如果我们套用一个简单的‘一个管控需求等于一分’的公式，那我们只需要问一系列的问题即可。如果这个问题的答案满足框架中的建议，得一分；反之等零分。最后，就能获得一个资深安全态势的具体分值。”不过，他也表示，这个公式根据业务的不同会有所变化，依然不是一个万全之策。

他补充道：“在现实中，这肯定不会是单纯的1和0的加法。有些风险会比其他风险更有威胁，因此在管控权重方面需要有所侧重，”

企业的损失极限

这已经不是一个新话题了——企业在进行安全预算的时候需要考虑他们自身能承受多大的损失：从评估关键数据和架构面临的风险开始，计算因数据被盗或者系统中断造成的业务或者顾客流失产生的损失。

WatchGuard的CTO，Corey Nachreiner认为企业要思考自己在一天，甚至一小时中，会因为网站下线产生多少损失。他提到，一家电商网站的损失显然会很大；但是对于一家建筑合同商，可能网站下线几天都没有太大影响——企业的风险由自身组织的特性所决定。

另一个需要计算的损失是行业法规产生的罚款：比如医疗行业需要符合HIPAA标准；零售商需要满足PCI标准。不同的合规需求会对数据泄露事件产生不同的罚款。

对CISO们而言，可以对执行层管理直言因合规罚款、攻击受到的直接损失、因客户流失的间接损失对公司造成的影响，然后基于这些提出自己的安全预算需求。这种方式能作为一个不错沟通的开始。

但是，预算也不是冷冰冰的数字，还需要更有效地使用。这些资源应该基于管控对企业的重要程度、不足程度进行分配，用最小的成本获取最大的效果。这样安全预算才能最合理地被使用。

关键词：安全预算

往期精彩回顾

如何做好网络安全预算：通过ROI显示安全投入价值

2020年网络安全投入预算调查：预算增加威胁检测、数据安全是重点