為什麼企業安全預算總是不夠花?

  • “為什麼今年的安全預算增加了這麼多?”
  • “安全預算花光了,公司的安全建設成果在哪裡?”
  • “前不久才批給你的一輪新的安全預算都沒了?又採購了哪些產品?”

看完這一組「致命」三連問,可能有不少安全人已經汗流浹背了。但毫不誇張,這大概就是不少企業安全管理者在工作上需要實際面對的難題。

近幾年,隨著市場利潤緊縮,在安全預算中「平地摳餅」以及「降本增效」成為了不少CISO不得不面對的難題。儘管有些時候公司已經批准了部分特定的網路安全預算,但如今這些預算正在被收緊甚至是削減。這也導致安全策略受限,產生了許多風險盲點。

根據IANS Research最新公佈的研究報告,伴隨全球經濟衰退預期和通膨壓力的持續,2022-2023年預算週期的網路安全預算增速同比下降了65%。因此,與預算緊縮和人員短缺作鬥爭,已然成為當下CISO面臨的主要挑戰之一。但無論CISO的安全預算富裕或有限,節省資金,避免不必要的隱藏成本肯定是更好的選擇。

網安支出中暗藏的“成本陷阱”

從硬體設備的投入,到軟體授權的購買,再到人力資源的管理,以及持續的維護和升級......企業網安建設支出中,往往暗藏成本陷阱,每個環節都可能帶來預期之外的開支。這些開支不僅可能削弱企業的財務狀況,甚至可能影響整個安全建設的效果和效率。

這些陷阱在安全建設初期可能並不明顯,但隨著時間的推移很可能會悄悄地消耗網路安全部門的寶貴預算。這些成本陷阱的範圍甚廣,有些即便是具備特定知識、經驗豐富的CISO都很難察覺。具體有以下幾類:

安全產品服務計費結構的“套路”

如今,不少CISO都許多安全供應商圍繞其產品的收費結構中苦苦掙扎。歐洲聯盟網路安全局(ENISA)顧問小組成員Brain Honan指出,現在許多產品都有非常複雜的計費結構,而基礎版本的解決方案可能看起來相對有吸引力,但更進階的功能,通常是CISO所需的功能,一般會額外收費。這些工具的初始購買成本相對較低,但隨著儲存的資料量、追蹤的事件、分析的流量或監視的終端數量的增加,相關價格可能會大幅上升。

此外,安全產品和服務中的額外開支還包括許可證費用以及維護和支援成本等。另外,據說有些CISO還要負責更多的安全職能,如SOC和基礎設施等。他們承擔了本應由CIO或CTO負擔的支持和維護成本,尤其是在預算條款相對緊密耦合的情況下。

審查第三方成本至關重要

在決定購買任何網路安全服務或與第三方合作之前,詳細詢問並評估所有潛在額外成本至關重要。這不僅是為了優化供應商談判策略,更是為產品和服務爭取最低的合理價格。特別是當購買新產品,建立全新的合作關係,或涉及智慧財產權而非實體產品的成本場景時,通常會有很大的談判空間。

對於服務而言,最終極的訣竅就是要堅持確保每個新產品都配備足夠的專業服務作為支撐。例如,配備更專業的工程師透過線上指導客戶有效地使用該產品,同時挑選合適的員工來擔任該產品的負責人解決後續問題。

另外,與挑選合適的服務人員同樣重要的還有培訓備用人員,養成創建關於文件記錄和持續知識傳遞的文化能夠幫助組織節省下一筆不斐的資金。

在購買新型安全產品時,還有另一個策略能夠爭取更合理的價格。舉個例子,當某些提供遠端瀏覽器隔離服務的供應商報價過高時,組織可以向其詳細說明自己有能力自行開發此類產品,並將該產品創建成一個GitHub項目,供他人免費使用。當然前提是他們願意花費與供應商要價相等的資本支出。這種方法的目的是向供應商表明立場,迫使供應商降低價格。

內部安全產品營運成本極易被忽視

除了安全產品和服務複雜的成本結構外,有效的運作安全產品的內部成本常常被忽略。以SIEM為例,儘管SIEM是一個有效監測和分析網路活動的安全工具。但出於合規目的,企業在使用SIEM時會產生大量的數據,這意味著需要投入大量的儲存資源和時間成本。因此,在這個過程中,考慮員工培訓、維護、增加使用者和處理誤報等因素也很重要,畢竟這些因素可能多數並不會包含在初始成本分析中。

滲透測試服務和開源解決方案也是如此。在使用滲透測試服務時,企業還必須考慮內部所需的時間和資源、任何潛在停機對業務造成的成本、分析報告所需的時間以及實施所需安全措施的成本。開源解決方案雖然經常被視為商業安全工具的經濟高效替代品,但也不一定能為網路安全團隊節省成本。 「實施、管理、整合和支援解決方案會產生持續成本,例如招募相關專業人才或聘請外部專家時產生意想不到的成本。

嚴格“去重”,不要把預算浪費在無效服務和產品上

重複功能和重疊服務是另一個常見的網路安全預算超支原因。雲端服務供應商Nasstar的首席資訊安全長Nick Trueman就曾提及過此類問題,他表示:為重複的安全功能付費往往導致預算緊張,還可能導致整合方面的問題,協調和整合提供類似功能的多個廠商的產品會導致複雜性和互通性問題。

應全面審查所有安全提供者提供的服務,評估其有效性以及是否符合業務的安全要求,如果發現重複功能,可以考慮將服務整合到單一提供者下或與提供者協商以消除冗餘。

在安全建設過程中,不少企業會為無法帶來預期效益的冗餘或無效工具付費。這可能會影響安全預算和覆蓋計劃,也可能導致投資的安全工具或技術無法兌現最初的承諾、以及無法提供預期價值及投資回報。

當然,這種情況背後的原因有很多種,例如與現有系統整合不足、用戶採用率不高或工具無法有效滿足企業的特定安全需求等等。諸如上述情況的安全投資佔用了更有效的安全措施的資源,從而導致安全預算緊張,最終損害企業的整體網路安全態勢。

不少CISO都有過度採購的情況,但如果是一味地只顧著更新工具購買工具,而不去驗證用例或檢查現有解決方案是否已經能滿足需求。這極可能導致工具出現大量冗餘的情況,使安全運作變得複雜。企業需要協調所有安全投資,以確保與企業的威脅模型相關並最大限度地降低風險。因此,在選擇購買新產品之前,確定現有解決方案是否可用對於CISO來說是一項重要的工作。

根據業內人士在企業中的審查安全工具的經驗之談,企業往往會為同一個功能購買兩到三個產品,但這僅僅是因為企業並不知曉他們購買的原始產品中已經提供了所需的所有功能。例如,許多現代作業系統都有內建的安全功能,例如磁碟加密,如果實施這些功能,可以消除對第三方解決方案的要求。想要做到這一步,可以考慮安排專門的產品工程師專人負責審查安全配置並正確實施解決方案,這能夠有效幫助CISO省去購買新工具以及與整合和管理該工具的相關成本。

「供應商鎖定」可能造成永久性的成本陷阱

企业有时为了让某个解决方案能够有效运作,会投入大量资金、时间和资源,最终导致成本显著超出预期。但考虑到不要浪费前期的投资,或者有时因为迁移的成本太高,所以大多企业不愿意考虑将某些安全事项转向其他供应商的产品或平台,尽管可能存在比之前更加经济高效的解决方案。当CISO接手跨部门或者由中央领导层主导的“倡议”时,可能会面临隐藏的成本问题。在这种情决策过程中,CISO有资金支配权,负责实施该倡议并承担初始费用。他们会向上级或其他部门承诺,一旦倡议成功,那么它将会被纳入业务预算之中。

隨後將會成為一項持續的常規業務。到了那個時候,再將營運成本重新分配到整個業務部門之間將會是一件困難的事情,可能會引起爭議和矛盾。因此,這些成本最終會留在CISO的預算中,給他們帶來麻煩,特別是這些成本實際上並不應該由安全部門承擔。

業務優先事項混亂可能導致意外成本

當企業主管和各部門主管的策略目標和觀點與CISO的網路安全優先事項不一致時,可能會導致預算分配方面的爭議,這樣CISO往往無法獲得足夠的預算實施有效的長期策略,從而導致出現意外的成本。

對於CISO來說,在與其他部門競爭預算時需要證明其預算請求的合理性,任何妥協都可能會導致企業安全需求無法充分滿足,從而導致企業在回應安全事件或資料外洩時的意外支出。企業可能會被動地分配資源來解決眼前的威脅,這通常會在未來產生意外成本。這種被動投入的方法可能會導致安全預算緊張,無法提供全面且更具成本效益的長期安全策略。

這個情況其實一直是安全工作的痛點,算是早年累積下的一個「病灶」。這裡其實也涉及到如何量化安全工作的問題,在向領導匯報時,究竟該如何體現安全工作的階段性成果以及找出安全投資可能為企業帶來的實際效益十分重要。在爭取預算的過程中,讓上司及其他配合工作的部門領導者充分體認到安全成本投入的重要性與必要性,並能有效確保安全成本的投入比例。

結語

企業網路安全既是保障企業資產安全的重要環節,也是維持企業核心競爭力的關鍵因素。因此,如何合理規劃網路安全投入和開支,建立健全的預算監控和調整機制,及時了解預算執行情況,評估網路安全投入的有效性,並根據實際情況進行調整,以實現安全性和經濟性的平衡至關重要。透過對網路安全預算執行情況的總結,不斷提煉經驗教訓,持續改進網安預算計劃的製定和執行,最大程度地規避網安成本“陷阱”,是每一位CISO的“必修課”。

畢竟,良性的網路安全投入不僅是企業保護資訊資產和維護業務營運的基礎,也是企業應對日益嚴峻的網路安全情勢的必要舉措。