在網(wǎng)絡安全方面,業(yè)界一直在試圖理解影響企業(yè)安全風險真正成本的復雜因素。作為一名首席信息安全官(CISO),我每天都要面對這些多方面的困境,跟業(yè)界其他人士一樣試圖確定保護公司富有價值資產(chǎn)的最佳安全投資。從現(xiàn)實角度來說,我如何才能預測未來五到十年的網(wǎng)絡安全格局,甚至是未來一周的網(wǎng)絡安全格局呢?
首席信息安全官需要對網(wǎng)絡安全威脅方面有更多洞察力,我們的工作就是確保我們所在組織機構(gòu)的安全。此外,我們還要向高級管理層演示確保網(wǎng)絡安全以及高效網(wǎng)絡安全投資的重要性。為了實現(xiàn)這一點,我們需要某種框架,某種定制化戰(zhàn)略和建議來分配我們的安全支出。
為了滿足這些需求,瞻博網(wǎng)絡委任蘭德公司的經(jīng)濟學家和安全專家開展了一項研究,對影響組織機構(gòu)網(wǎng)絡風險成本的主要因素進行了探索。去年,我們與蘭德公司一道開展了一項研究,對網(wǎng)絡攻擊者的經(jīng)濟現(xiàn)實進行了調(diào)查,發(fā)現(xiàn)網(wǎng)絡黑市已經(jīng)達到了前所未有的成熟度。現(xiàn)在我們對威脅格局有了更加清晰的了解,于是我們反過來對防御者的經(jīng)濟現(xiàn)實進行了分析。
研究結(jié)果有助于我們對網(wǎng)絡安全成本的動態(tài)進行更好理解并掌握防御方面的經(jīng)濟驅(qū)動因素和挑戰(zhàn)。蘭德公司的報告顯示,很多公司在投資方面很可能沒有采用最優(yōu)的經(jīng)濟戰(zhàn)略,在安全方面投資較少,在防御機制方面投資較多,并且沒有感到網(wǎng)絡更加安全。由此可見,攻擊者的經(jīng)濟演算是清晰的,而防御方面則面臨著一個更加模糊不清、混沌的環(huán)境。
為了跟上最新網(wǎng)絡威脅的步伐并對未來的形勢進行預測,很多首席信息安全官可謂是夜不能眠。不過,通過往后退一小步,重新專注于對風險進行管理,而不是試圖對威脅進行管理,這將有助于提供一個更加清晰的未來路徑。確定計劃并不容易,決定如何在企業(yè)范圍內(nèi)對安全投資進行合理準確的分配也絕非易事--我對此深有體會。幸運的是,現(xiàn)在我可以說,終于有東西可以幫助我們開始這方面的對話了。
蘭德公司根據(jù)其研究結(jié)果開發(fā)出了一個史無前例的啟發(fā)式模型,可以作為一個學習工具,更好地理解影響安全風險管理成本的主要因素,如何決定最佳投資,并且提供了對網(wǎng)絡安全風險進行整體管理所需的知識。
為了讓人們能夠更好地理解這一模型,瞻博網(wǎng)絡對這一啟發(fā)式模型進行了闡釋,打造了一個交互工具來講解模型的關鍵因素并提供定向投資指導。這為首席信息安全官提供了一個出發(fā)點來定向理解為保護組織機構(gòu)可以做出的一系列決定并確定應該關注的領域和投資的方向。
蘭德公司的模型顯示,在未來十年,各類企業(yè)對網(wǎng)絡安全風險進行管理的成本將增加38%。現(xiàn)在是時候?qū)Π踩L險進行更好管理了,并且要系統(tǒng)性地確定安全投資應該用在什么地方,從而創(chuàng)造一個更加安全的網(wǎng)絡。
關于作者
瞻博網(wǎng)絡首席信息安全官 Sherry Ryan
