最近,瞻博网络与兰德公司合作围绕现代企业在抵御日趋复杂的网络安全问题上所面临的经济挑战、折中方案和各种需求,提出了全新的深入见解。兰德公司是一家非营利机构,致力于通过开展调研和分析帮助企业改善当前发展政策与决策制定过程。
这项由兰德公司经济和网络安全方面的知名专家共同撰写的深入分析报告显示,很多首席信息安全官(CISO)在考虑如何以最具工作效率和成本效益的途径来控制企业所面临的网络安全风险时,往往感到缺乏头绪,无从下手。研究报告指出,许多公司不断花钱购买形形色色的网络安全防护工具,但事实上,他们对这些工具是否能发挥预期的作用并没有多少把握。这已成为当前企业网络安全方面最棘手的问题。
瞻博网络认为,造成这种现象的原因是,企业没有建立一种科学的计算方法来权衡网络安全工具和资源需要花费的成本与发生数据泄露时给企业造成的损失。而企业对于后者没有一个明确的定义,因而也是不可预见的。首席信息安全官需要了解哪些变化因素会最大限度地影响企业全面控制网络安全风险需要花费的成本,以及在保护企业免受侵扰时应当采取的各种决策。为实现这个目标,兰德公司开发了一种启发式的经济模型,这种模型能够形象地呈现出影响企业在防御网络安全风险中所需成本的主要因素和决策,成为经济史上的一个新创举。
兰德模型预计,未来10年,企业在网络安全风险控制上花费的成本将增加38%。瞻博网络认为,现代企业应当尽快将控制网络安全风险的成本计划和管理工作提上日程。尽管现有的经济模型有助于企业了解和实现他们的战略营销或销售目标,但负责网络安全的专业队伍仍需寻找科学的方法来深入理解有关于控制网络安全风险的经济原理,其中涉及的各种可变因素,以及如何合理投资保护企业的网络安全设施。
瞻博网络认为,兰德模型中确认了影响网络安全风险控制的五大关键因素,这些因素应当纳入现代企业的重点考虑范围。
第一,大部分网络安全工具寿命减半、价值大打折扣:黑客不断针对诸如沙盒技术或反病毒技术等各种新型网络检测系统研究破解对策。这最终会导致企业必须不断加大投资筹码,引进更先进的网络安全防护技术来抵御黑客入侵。根据兰德的经济模型预测,未来10年内,网络安全防护技术的抗黑客能力将下滑65%。现代企业必须在引进新型的网络防护工具之前对这些工具展开细致的评估,从而选择那些不易被黑客破解的工具,并专注于提高整个公司的网络安全管理、自动化和策略实施效力。
第二,物联网(IoT)面临重要抉择:兰德的经济模型显示,物联网会影响企业维护自身网络安全需要花费的总成本;然而,至今尚不确定这种影响是会造成企业成本的增加还是下降。如果在物联网中使用科学合理的安全技术和管理方法,那么从长远来看,企业在安全防护方面的花费将下降。另一方面,兰德模型表明,如果公司能够积极有效地推行网络安全控制措施,那么引进物联网反而会使公司在未来十年因遭遇黑客入侵而引发的损失增加30%。
第三,劳动力投资可逐渐降低企业成本:以人为本的网络安全投资能够为企业带来巨大收益,这些投资包括引进安全管理和流程自动化技术、面向员工的高级安全培训以及外聘专业网络安全维护人员。兰德模型显示,与在网络安全方面不太活跃的企业相比,积极开展网络安全工作的企业在第一年的实践中降低了19%的安全风险控制成本,而在第十年则降低了28%的成本。
第四,“通用”方法不可行:大部分企业在网络安全方面的投资很可能都没有采取最佳的经济战略,而这些企业的投资规模、涉及的信息类型以及网络安全工作人员的尽职程度都不尽相同。具体来说,兰德发现,基本的网络安全工具和政策对中小型企业带来的收益最多,而大型企业和高价值目标的实现需要引进全方位的策略与网络安全工具,因为它们很容易成为高级黑客瞄准的对象。
第五,消除软件漏洞可大大降低成本:兰德模型显示,当前软件和应用程序中存在的漏洞是导致企业网络安全成本增加首当其冲的一个问题。如果软件漏洞发生的频率减半,则公司的网络安全维护总成本会降低25%。
为了将该模型付诸实践,瞻博网络发布了对兰德经济模式的互动式讲解报告。这项新工具围绕兰德模型建议的网络安全重点考虑因素,为企业提供了总体指导。现代企业应该在这些重要考虑因素方面投入大量时间和资源,以减少潜在的安全维护成本。