根據(jù)最新研究，用于支持技術升級、安全培訓和業(yè)務舉措的安全預算不足，會對企業(yè)造成不成比例的影響，使企業(yè)更易受到攻擊。

由Splunk委托的一項針對歐洲、美國、澳大利亞和日本600名CISO的調(diào)查發(fā)現(xiàn)，董事會和安全領導者之間存在語言和優(yōu)先級上的差距。CISO們面臨著控制支出和外包職能的壓力，同時還需要證明安全舉措的業(yè)務價值。

這家思科旗下的安全可視化公司進行的調(diào)查發(fā)現(xiàn)，在某些領域削減開支——如員工培訓和技術升級延期——比其他領域更容易導致重大安全事件。

這些來自同行調(diào)查的見解可以幫助CISO們在反對董事會提出的預算削減時，構(gòu)建更有說服力的風險導向型論點——或者在最壞的情況下，當面臨預算限制時，為自己的投資決策提供依據(jù)。

技術升級延期

隨著網(wǎng)絡威脅以前所未有的速度演變，推遲必要的技術升級會對企業(yè)造成嚴重影響。最新的技術更新旨在增強企業(yè)的安全功能，并直接應對最近發(fā)現(xiàn)的挑戰(zhàn)。

“舊系統(tǒng)缺乏允許更先進功能的新特性和功能，比如遷移到云端，”Splunk發(fā)言人Kirsty Paine告訴記者，“沒有更新的安全功能，將信息遷移到云端可能會留下漏洞?！?/p>

推遲技術升級還會使企業(yè)依賴過時的傳統(tǒng)系統(tǒng)，從而增加安全債務。

CISO們報告稱，推遲升級是最常見的成本削減措施，結(jié)果有62%的時間會導致數(shù)據(jù)泄露。

安全培訓縮減

當預算被削減時，許多企業(yè)會感受到縮減或完全取消培訓項目的壓力，導致員工無法識別潛在威脅。

這通常成為一個問題，因為人為錯誤——如軟件或基礎架構(gòu)配置錯誤——經(jīng)常導致停機時間和業(yè)務收入損失。此外，削減安全意識培訓會導致整個企業(yè)形成松散的安全文化。

“安全培訓對于減少人為錯誤、讓員工識別釣魚攻擊至關重要，因此通過取消培訓，企業(yè)更容易遭受攻擊，”Splunk的Paine說。

超過三分之一(36%)的CISO表示由于預算限制而削減了培訓，其中45%因此遭遇了成功攻擊。

不支持業(yè)務舉措

安全團隊往往沒有獲得足夠的人員、時間或其他資源來支持公司的發(fā)展或增長，導致安全能力與它們本應保護的業(yè)務舉措之間存在不匹配。

這通常發(fā)生在為了迅速推進而采取的數(shù)字化舉措中，例如最近爭相采用AI，這導致許多企業(yè)跳過傳統(tǒng)的安全加固措施，轉(zhuǎn)而追求快速勝利和廣泛實驗。

“業(yè)務舉措可能是新產(chǎn)品或功能，或是不同的工作方式(如居家辦公)，”Splunk的Paine解釋說，“無論舉措是什么，如果沒有安全支持，這些舉措通常是在沒有考慮安全的情況下設計的。”

Paine補充道：“眾所周知，‘事后添加安全’的方法比‘設計時考慮安全’的方法更糟糕?！?/p>

根據(jù)調(diào)查，只有少數(shù)CISO(18%)獲得的資金支持不足以支持業(yè)務舉措，但其中近三分之二(64%)因此遭遇了數(shù)據(jù)泄露。

溝通脫節(jié)

Splunk的研究報告《CISO報告》揭示了CISO和董事會之間在安全資金方面的脫節(jié)，41%的董事會認為他們的安全預算足夠，而只有29%的CISO持相同看法。

“這種差異通常源于董事會將安全預算視為戰(zhàn)術問題，而沒有考慮其對業(yè)務的更廣泛影響，”Paine說，“為了改變這種觀點，CISO們必須用業(yè)務成果來解釋他們工作的價值，比如他們正在保護的收入和品牌聲譽?！?/p>

董事會保護盈利能力，而CISO專注于保護數(shù)據(jù)和系統(tǒng)。為了彌合這一差距，董事會成員和CISO需要確定對各自利益相關者而言近乎同等重要的領域，Splunk建議。

“例如，CISO們不應該專注于平均修復時間(MTTR)，而應該優(yōu)先考慮降低風險，并向董事會傳達降低導致更高投資回報率的風險的重要性，這是他們更熟悉的術語，”Paine總結(jié)道。

了解如何說服董事會批準安全資金是CISO們必須掌握的一項技能。同樣重要的是確保雙方對期望相互尊重，從而在董事會和CISO之間建立雙向溝通渠道。

證明安全支出的合理性

記者采訪的獨立專家同意報告得出的結(jié)論，即適當?shù)馁Y金對于網(wǎng)絡安全至關重要。面臨縮減安全支出或培訓壓力的首席安全官需要據(jù)理力爭，用業(yè)務(而非技術)術語來證明安全支出承諾的合理性。

Trend Micro英國網(wǎng)絡安全總監(jiān)Jonathan Lee表示，企業(yè)仍然經(jīng)常將安全支出視為可以削減以追求利潤的成本，而不是支持增長的投資。

“企業(yè)對威脅的攻擊做出反應是不可接受的，”Lee認為，“只有大約三分之一的企業(yè)有具備網(wǎng)絡安全知識的董事會成員，是時候消除高層普遍存在的樂觀偏見，用顯著減少導致首次被攻擊的漏洞的安全措施來從戰(zhàn)略上支撐企業(yè)的目標?！?/p>

漏洞眾包平臺Bugcrowd美洲區(qū)的CISO Trey Ford承認，嚴峻的經(jīng)濟形勢意味著預算緊張，但認為削減安全支出來支持之前已同意的項目將是危險的。

“預算削減影響安全規(guī)劃、戰(zhàn)略和運營的各個方面——這些都是與風險委員會保持一致，在整個企業(yè)中精心策劃的復雜體系，”Ford告訴記者。

對于運營安全團隊來說，人員編制凍結(jié)不僅僅是令人沮喪，它會加速警報疲勞、值班輪換和倦怠。工具和項目的資金流失可能會加劇可見性差距——限制日志覆蓋范圍、監(jiān)控和警報，或系統(tǒng)和應用程序中漏洞的測試和跟蹤。

“失去資金的安全舉措很少屬于‘可有可無’的類別——它們幾乎總是與風險委員會優(yōu)先處理的風險項目和控制差距有關，”Ford說，“正在處理的風險和被取消資金的項目將需要重新接受風險評估，并可能需要向董事會的風險委員會報告。”

就風險達成共識并溝通

應用安全測試供應商Immuniweb的CEO Ilia Kolochenko認為，安全領導者需要制定連貫的網(wǎng)絡安全戰(zhàn)略。

“許多企業(yè)傾向于擁有來自不同供應商的重疊且因此冗余的解決方案，同時分配很少或沒有時間來妥善處理安全警報和事件響應，”Kolochenko說。

“更糟糕的是，只有令人擔憂的一小部分企業(yè)擁有定義明確、長期導向和全面的網(wǎng)絡安全戰(zhàn)略，該戰(zhàn)略將涵蓋第三方風險管理、配置錯誤、多云環(huán)境中身份和訪問管理(IAM)的漏洞、容器安全或新興的AI風險等關鍵領域，包括軟件工程師過度依賴AI機器人生成的合成代碼，而這些代碼經(jīng)常包含漏洞甚至后門程序，”Kolochenko說。

CISO和董事會需要協(xié)調(diào)他們的優(yōu)先級，并就一種溝通方式達成一致，通過這種方式可以不斷理解、闡述和緩解網(wǎng)絡風險。

“這將有助于確保決策和投資是在充分了解的基礎上做出的，”Lee說，“這應該能夠使預算花在正確的領域，從而確保遵守法規(guī)要求，并使服務持續(xù)運行?！?/p>

身份安全供應商One Identity的現(xiàn)場戰(zhàn)略師Alan Radford認為，培訓、系統(tǒng)更新、災難恢復規(guī)劃、事件響應和合規(guī)性監(jiān)控等基礎要素對于保持強大的安全態(tài)勢至關重要。

“業(yè)務驅(qū)動型網(wǎng)絡安全并非購買最昂貴的工具，而是將技術、流程和人員結(jié)合起來，以有效降低風險，”Radford告訴記者，“安全領導者必須向董事會傳達，風險降低不僅僅關乎工具，還關乎運營韌性。投資于人員、培訓和運營準備工作的回報高于任何單項技術采購?！?/p>