物超所值:怎樣衡量你的安全投資
責(zé)編:gltian |2018-12-19 13:21:06評(píng)估企業(yè)安全工具效能的時(shí)候,怎么找出最合適的模型來計(jì)算“安全投資回報(bào)”(ROSI)很是令人頭疼。
僅僅幾年之前,安全事件的潛在損失還主要是公司聲譽(yù)相關(guān)的經(jīng)濟(jì)損失,只有極少數(shù)案例有高額法律費(fèi)用或服務(wù)長(zhǎng)期中斷相關(guān)的損失。但隨著GDPR和其他國(guó)際性法律引入了新的罰款,以及過去幾年里安全入侵事件在數(shù)量和復(fù)雜度上的增長(zhǎng),評(píng)估安全事件發(fā)生的可能性及其影響變得越來越迫切,且需要更為健壯的安全投資衡量與評(píng)估。
找出物超所值的方法
現(xiàn)實(shí)世界中最流行的安全預(yù)算部署模式就是基于簡(jiǎn)單的成本核算——看看能從預(yù)算中每一分錢上得到什么。這是一個(gè)很不錯(cuò)的預(yù)算分配起點(diǎn),但要讓這個(gè)簡(jiǎn)單的方法起效,就需要評(píng)估其中“收益”的部分了,而這里正是更為棘手的地方。
為給安全“價(jià)值”應(yīng)用上財(cái)務(wù)模型,我們可以考慮設(shè)置一個(gè)試圖緩解盡可能多的風(fēng)險(xiǎn)的目標(biāo),最好就是達(dá)到新增安全控制的成本與能從安全事件中額外省下的可能價(jià)值相當(dāng)?shù)某潭取_@就是基礎(chǔ)控制這樣的概念能令該問題易于處理的地方。通過識(shí)別可衡量的控制措施(尤其是有業(yè)界支持的那些,比如為PCI合規(guī)而開發(fā)出來的),工具和過程都能按可衡量的“每件”成本加以評(píng)估和實(shí)現(xiàn)。
這些基礎(chǔ)控制為你提供了安全套裝中的一部分——旨在為IT系統(tǒng)打造護(hù)盾的預(yù)防性機(jī)制。
投資監(jiān)測(cè)工具
但平衡的安全應(yīng)用組合遠(yuǎn)不止基礎(chǔ)控制。用以檢測(cè)安全違規(guī)發(fā)生情況的檢測(cè)控制投資也在增長(zhǎng),因?yàn)椴淮嬖谀芡耆柚顾腥肭值慕^對(duì)安全。此類工具可以監(jiān)測(cè)工具的形式出現(xiàn),輔助確定系統(tǒng)是否真的被攻擊,如果被攻擊,再通過分析日志文件和審計(jì)跟蹤確定攻擊的類型和程度。
除了預(yù)防性工具和監(jiān)測(cè)工具,安全解決方案中還有過程相關(guān)的成本。IT安全策略和流程應(yīng)旨在響應(yīng)可疑安全事件,為維護(hù)和安全培訓(xùn)等其他服務(wù)提供支持。另外,考慮所有這些安全投資的同時(shí),還可以開始評(píng)估有多少技術(shù)響應(yīng)可以自動(dòng)化執(zhí)行或手動(dòng)執(zhí)行。
評(píng)估人力因素
安全行為背后還有人員技術(shù)要求。最好的自動(dòng)化工具也需要維護(hù)和安全數(shù)據(jù)分析才會(huì)有用。所以,就算自動(dòng)化是提升安全解決方案成本效益的重要部分,卻沒幾家公司會(huì)估測(cè)這些自動(dòng)化技術(shù)的真正回報(bào)。防火墻丟棄掉的數(shù)據(jù)包很難等同于安全收益,但不妨對(duì)比一下DDoS攻擊所致連接變慢的風(fēng)險(xiǎn)和先期購置該帶寬的成本。
應(yīng)用到垃圾郵件上的另一套評(píng)分機(jī)制可以解釋“浪費(fèi)掉的時(shí)間”。數(shù)字可能會(huì)很大,反映的是成功垃圾郵件識(shí)別和攔截的數(shù)量,可以轉(zhuǎn)化成對(duì)生產(chǎn)力的輔助。每個(gè)員工少處理一封垃圾郵件,日積月累下來,數(shù)字也會(huì)很大的。
最后,健壯的指標(biāo)也能說明垃圾郵件場(chǎng)景中撤回誤報(bào)的服務(wù)臺(tái)時(shí)間,以及終端用戶郵件被延遲的損失。
于是,我們?nèi)绾未_保真正物超所值呢?
從讓安全團(tuán)隊(duì)更具生產(chǎn)力和確保風(fēng)險(xiǎn)最小化的同時(shí)服務(wù)功能還可用的角度上看,提供可被轉(zhuǎn)換成人力收益的指標(biāo)的工具是個(gè)明智的起點(diǎn)。從旨在識(shí)別風(fēng)險(xiǎn)、提供恰當(dāng)評(píng)估報(bào)告和評(píng)分以及緩解策略的工具和過程開始,意味著你能從僅僅評(píng)估威脅快速過渡到能夠衡量投資良好安全的回報(bào)。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!