在網(wǎng)絡(luò)安全方面，業(yè)界一直在試圖理解影響企業(yè)安全風(fēng)險(xiǎn)真正成本的復(fù)雜因素。作為一名首席信息安全官（CISO），我每天都要面對這些多方面的困境，跟業(yè)界其他人士一樣試圖確定保護(hù)公司富有價(jià)值資產(chǎn)的最佳安全投資。從現(xiàn)實(shí)角度來說，我如何才能預(yù)測未來五到十年的網(wǎng)絡(luò)安全格局，甚至是未來一周的網(wǎng)絡(luò)安全格局呢？

　　首席信息安全官需要對網(wǎng)絡(luò)安全威脅方面有更多洞察力，我們的工作就是確保我們所在組織機(jī)構(gòu)的安全。此外，我們還要向高級管理層演示確保網(wǎng)絡(luò)安全以及高效網(wǎng)絡(luò)安全投資的重要性。為了實(shí)現(xiàn)這一點(diǎn)，我們需要某種框架，某種定制化戰(zhàn)略和建議來分配我們的安全支出。

　　為了滿足這些需求，瞻博網(wǎng)絡(luò)委任蘭德公司的經(jīng)濟(jì)學(xué)家和安全專家開展了一項(xiàng)研究，對影響組織機(jī)構(gòu)網(wǎng)絡(luò)風(fēng)險(xiǎn)成本的主要因素進(jìn)行了探索。去年，我們與蘭德公司一道開展了一項(xiàng)研究，對網(wǎng)絡(luò)攻擊者的經(jīng)濟(jì)現(xiàn)實(shí)進(jìn)行了調(diào)查，發(fā)現(xiàn)網(wǎng)絡(luò)黑市已經(jīng)達(dá)到了前所未有的成熟度。現(xiàn)在我們對威脅格局有了更加清晰的了解，于是我們反過來對防御者的經(jīng)濟(jì)現(xiàn)實(shí)進(jìn)行了分析。

　　研究結(jié)果有助于我們對網(wǎng)絡(luò)安全成本的動(dòng)態(tài)進(jìn)行更好理解并掌握防御方面的經(jīng)濟(jì)驅(qū)動(dòng)因素和挑戰(zhàn)。蘭德公司的報(bào)告顯示，很多公司在投資方面很可能沒有采用最優(yōu)的經(jīng)濟(jì)戰(zhàn)略，在安全方面投資較少，在防御機(jī)制方面投資較多，并且沒有感到網(wǎng)絡(luò)更加安全。由此可見，攻擊者的經(jīng)濟(jì)演算是清晰的，而防御方面則面臨著一個(gè)更加模糊不清、混沌的環(huán)境。

　　為了跟上最新網(wǎng)絡(luò)威脅的步伐并對未來的形勢進(jìn)行預(yù)測，很多首席信息安全官可謂是夜不能眠。不過，通過往后退一小步，重新專注于對風(fēng)險(xiǎn)進(jìn)行管理，而不是試圖對威脅進(jìn)行管理，這將有助于提供一個(gè)更加清晰的未來路徑。確定計(jì)劃并不容易，決定如何在企業(yè)范圍內(nèi)對安全投資進(jìn)行合理準(zhǔn)確的分配也絕非易事--我對此深有體會(huì)。幸運(yùn)的是，現(xiàn)在我可以說，終于有東西可以幫助我們開始這方面的對話了。

　　蘭德公司根據(jù)其研究結(jié)果開發(fā)出了一個(gè)史無前例的啟發(fā)式模型，可以作為一個(gè)學(xué)習(xí)工具，更好地理解影響安全風(fēng)險(xiǎn)管理成本的主要因素，如何決定最佳投資，并且提供了對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行整體管理所需的知識。

　　為了讓人們能夠更好地理解這一模型，瞻博網(wǎng)絡(luò)對這一啟發(fā)式模型進(jìn)行了闡釋，打造了一個(gè)交互工具來講解模型的關(guān)鍵因素并提供定向投資指導(dǎo)。這為首席信息安全官提供了一個(gè)出發(fā)點(diǎn)來定向理解為保護(hù)組織機(jī)構(gòu)可以做出的一系列決定并確定應(yīng)該關(guān)注的領(lǐng)域和投資的方向。

　　蘭德公司的模型顯示，在未來十年，各類企業(yè)對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行管理的成本將增加38%�，F(xiàn)在是時(shí)候?qū)Π踩�風(fēng)險(xiǎn)進(jìn)行更好管理了，并且要系統(tǒng)性地確定安全投資應(yīng)該用在什么地方，從而創(chuàng)造一個(gè)更加安全的網(wǎng)絡(luò)。

　　關(guān)于作者

瞻博網(wǎng)絡(luò)首席信息安全官 Sherry Ryan