在当下的经济寒冬中,网络犯罪和内部威胁空前活跃,但越来越多的企业却把“降本增效”的屠刀抡向网络安全部门,导致很多安全团队面临“既要马儿跑,又要马儿不吃草”的窘境。
事实上,将网络安全看作成本支出是企业数字化转型过程中最大的认知误区之一,网络安全支出(投资)是当今全球企业IT的最高优先级事项,有着可量化的关键业绩指标和投资回报率。尤其是在经济衰退、数字风险骤增的动荡时期,网络安全是企业跑赢同行,在熊市笑到最后的“核心生存力”。
对于需要战术性缩减安全预算的企业,我们介绍几个投入少见效快,用最少资源最大限度降低风险的八种方法。
1.采用基于风险的安全策略,优先保护关键资产
企业资产、数据的业务价值和所面临的安全威胁各不相同,为了提高防御效率,安全团队需要进行彻底的资产盘点和风险评估,以确定最关键的资产及其潜在威胁。将优先保护关键资产作为基于风险的安全管理策略的一部分,企业可以大大提高资源分配效率。
一般来说,安全团队需要专注于保护对核心业务运营至关重要的敏感客户数据、知识产权和系统。同时,安全领导者需要帮助业务部门了解暴露风险以及风险缓解的技术成本。反过来,考虑到预算限制,企业领导者必须最终确定他们愿意接受哪些风险,不要把降本增效搞成了“降本增效”甚至“降本翻车”。
2.加强安全意识培训,打造人肉防火墙
根据卡巴斯基的“2023年人为因素调查报告”,64%的网络安全事件由人为错误导致,远远超过黑客攻击(20%)。今天,人为错误(包括疏忽和故意)仍然是数据泄露的主要原因之一,而安全意识培训一直是投入产出比最高的网络安全投资之一。
通过定期培训计划加强员工的网络安全意识,企业可获得显著且持续的安全投资回报。即使企业的技术和人力资源有限,训练有素、消息灵通的员工队伍也可以充当强大的“人肉防火墙”。
安全意识培训除了教育员工有关网络钓鱼诈骗、社会工程策略和密码卫生知识外,还应包括定期(至少每季度)的灾难恢复和网络战培训。
3.投资安全自动化
网络安全的降本增效,降的不是人力成本,是技术债和运营成本,增的不是工作压力,而是智力效率和业务弹性。自动化网络安全工具可以简化流程并减少人工干预的需要,从而减轻安全团队的重复性低端工作量,提高事件检测、分析、响应和恢复的关键任务效率。
自动威胁检测、事件响应和补丁管理可以显著提高企业快速检测和缓解威胁的能力,即使在预算有限的情况下也是如此。
如今,越来越多的企业开始考虑如何将网络运营、开发运营和安全运营整合起来,大量使用自动化和可编程工具。NetSecOps、DevSecOps等模型既可以提高安全性,又可以降低运营成本,提高业务弹性。
4.外包安全服务
考虑将某些网络安全功能外包给专业的第三方提供商。托管安全服务提供商(MSSP)可以提供经济高效的选项,例如持续监控、威胁检测和事件响应。
托管安全服务对于内部缺乏网络安全专业技能和资源的小型公司尤其有价值。通过与MSSP合作,企业可以获得专家服务,而无需承担完整团队的总体成本。
5.定期更新和打补丁
根据微软“2023年数字防御报告”,看似不起眼的网络安全“基本功”,即基础的安全卫生措施依然可以防御99%的网络攻击。这些基本的安全卫生和管理措施中,补丁管理是最为重要的措施之一。
过时的系统和未打补丁的软件是网络犯罪分子的主要目标。通过定期更新系统修补软件消除已知漏洞,安全团队可以防止许多常见的攻击。预算有限的安全团队可以考虑使用不需要额外投资的现成工具,例如用于Windows系统更新的Microsoft System Center Configuration Manager 。
6.打造战略情报网络
威胁情报是网络安全的核心能力和动力。企业需要积极与同行企业、行业信息共享组织、专业智库和政府机构合作,低成本获取威胁情报和最佳安全实践。Mitre ATT&CK框架和金融服务信息共享和分析中心等公共知识库也可提供有关最新攻击向量和安全流程最佳实践的全球公开信息。
通过与同行、行业机构、专业智库和政府机构建立值得信赖的战略情报合作伙伴关系网络,企业安全主管可以随时了解与企业密切相关的新威胁和创新安全技术,并在人才培养、技术选型、风险管理方法和内部价值沟通方面获得强大助力。
7.跟踪关键安全运营指标并展示安全投资回报率
为了确保来年获得更多预算分配,安全团队迫切需要向企业管理层展示网络安全计划的投资回报率,最有效的做法是通过关键安全运营指标和业绩指标(KPI)来展示安全团队如何防止网络攻击、减少停机时间并最大限度地减少财务损失。关键安全指标还能提高安全能见度,制定有针对性的事件检测与响应流程,提高安全运营和规划的针对性和有效性。
常见的关键安全指标包括平均检测时间(MTTD)、平均响应时间(MTTR)、漏洞补丁响应时间等。
8.集中化安全管理
实现集中化、体系化的安全管理需要将多个安全工具和流程整合到一个统一的管理平台中来高效处理网络安全事务。通过集中化的安全管理系统,企业可以统一监控和管理安全策略,减少重复工作,简化安全运维,改进风险管理,标准化安全策略,从而降低运营成本,提高整体安全防护的能力和企业业务弹性。
总结
随着网络犯罪的规模化和攻击技术的复杂化,企业面临的外部和内部网络安全威胁正快速增长,企业网络安全团队迫切需要更多预算和资源升级并整合安全技术堆栈,缩小人才和技能差距,提高安全运营效率,保护企业的关键资产远离重大风险。
因此,特殊时期的网络安全预算削减对于企业安全团队来说是个艰巨的挑战。本文介绍的一些降本增效的做法,例如资产优先级排序、加强安全意识培训、采用基于风险的安全管理方法、投资自动化和战略情报网络,可以帮助企业高效利用有限资源,提高业务弹性,安全渡过经济严冬。
