“最具战略眼光的CSO不是那些拥有最多安全预算的人,而是那些能确切证明花出去的每一美元都能直接强化其安全基础的人。“HackerOne的首席技术官Alex Rice这样评价CSO预算管理的重要性。
然而,当前,CSO普遍面临着明智安全支出的巨大压力。由于优先事项安排不当和预算使用效率低下,许多组织仍然易受攻击。
碎片化架构之殇
增加支出并不一定能带来安全性的提升。近期的数据显示,尽管网络安全预算在增加,但安全事件却有增无减。根据Ponemon研究所的一项调查,网络安全预算同比增长了59%,然而在过去两年中还是有61%组织遭遇了数据泄露或网络安全事件。
Rice认为,网络安全领域最普遍的浪费并非源自工具不足,而是源于那些与经过验证的风险模型无关的投资。他分析说,如果安全支出不能成为将现实世界威胁与可衡量结果相连接的闭环系统的一部分,那么这样的支出基本上是在为表面功夫花钱,而不是为了真正的防护。
Rice补充道:“许多首席信息安全官所采用的安全架构是碎片化的,其中各种工具孤立运行,从而产生危险的盲点。随着攻击面在代码、人工智能系统、云基础设施和传统信息技术领域不断扩大,这种孤立的方式不仅效率低下,而且十分危险。深度防御需要对所有领域进行协同可视性管理。”
Rice认为,很多CSO构建了一个错综复杂的单点解决方案生态系统,这些解决方案往往掩盖而非解决基本的安全漏洞。
三种常见的支出过度及其缓解办法
1.工具过载
组织常常投资多种功能重叠的工具。Optiv的一项研究发现,40%的受访者认为自己拥有过多的安全工具,这阻碍了整体效能。
建议
对现有工具进行全面审查,找出冗余部分。精简安全工具组合可以降低成本和复杂性。
2.技术利用不足
对人工智能和机器学习等先进技术的投资值得称赞。然而,如果没有适当的整合和专业人员,这些工具就无法得到充分利用。
建议
在购买新解决方案之前,确保组织具备部署它们所需的专业知识和基础设施。
3.合规导向型支出
主要为满足监管要求而分配资金可能会带来一种虚假的安全感。合规并不等同于全面的威胁防护。
建议
在合规工作与应对现实世界威胁的主动安全措施投资之间取得平衡。
三个需要重点投资的领域及建议
1.事件响应规划
许多组织缺乏事件响应计划,这导致恢复时间延长和数据泄露成本增加。在网络安全事件发生期间及之后进行有效的沟通,对于维护与所有利益相关者的信任至关重要。
建议
投资制定并定期更新事件响应计划。通过模拟演练培训员工可以提高应对能力。
2.持续安全培训
大量安全事件源于人为错误。尽管如此,只有23%的地方政府官员称自己在整个组织的网络安全工作中“非常积极”。
建议
拨出资金用于持续的、针对不同岗位的网络安全培训,以培养安全意识文化。
3.高级威胁检测与响应
传统安全措施可能不足以应对复杂攻击。投资高级威胁检测可以显著降低数据泄露的影响。有效的威胁检测需要对网络活动进行全面可视性管理,并具备持续监控网络中事件的能力。
建议
优先选择提供实时监控和自动响应功能的解决方案。
预算编制三个重要建议
1.采用基于风险的方法
根据组织特定的威胁形势和风险状况来分配预算。这能确保资金用于解决最紧迫的漏洞。
2.持续评估
定期评估安全投资的有效性。各项指标和关键绩效指标可以为明智的预算决策提供指导。主动投资网络安全可以通过在威胁发生前预防威胁并简化安全操作来提高投资回报率。
3.促进跨部门协作
网络安全不仅仅是信息技术部门的事。与其他部门合作,以确保采取全面的安全方法,实现投资回报率最大化。
Rice表示,HackerOne的一项调查显示,大多数首席信息安全官认为传统的投资回报率衡量方法对安全投资并无用处。这并不奇怪,因为众所周知,用传统指标来量化网络安全非常困难。因此他认为,像缓解回报率(Return on Mitigation)这样更有意义的方法,它考虑到了所避免的潜在损失,能更准确地反映安全的真正商业价值。
Rice最后说,在购买下一个看似很棒的工具之前,CSO应该先自问:
- 这个解决方案能让你真实的安全状况有意义地透明化吗?
- 你能追踪它是如何缓解特定的、经过验证的风险的吗?
归根结底,有效的安全不在于积累工具,而在于建立信任。而信任需要透明度,无论是对内部利益相关者还是对客户而言。
