用经济学家的思维来对待网络安全建设投资

网络安全建设投入的最低要求是多少?

网络安全建设在什么地方投入才能获得最大的ROI?

如何开展网络安全建设投入?

本文将以经济学的角度来尝试提供一个包含明确的重点和关键事项的网络安全投资分析以协助企业的CIO或CSO们更好的开展网络安全建设。

1     背景

随着网络技术的持续应用和发展,现代企业对网络的依赖性已越来越高,2016年底发布的《CTO企业信息安全调研报告》[1]中显示,94%的企业依赖网络开展业务,其中金融、电信、IT/互联网是对互联网依存度最高的行业。与此伴随的情况是来自网络的攻击种类越来越多,攻击方式也越来越复杂。企业对于自身网络安全的防御的能力也逐渐变得不那么自信。《CTO企业信息安全调研报告》(2016)中显示仅有8%的企业认为自己能完全应对安全威胁,较2015年下降了近50%。面对这样的情况,加强网络安全投入和建设是一个必然的应对趋势和手段,然而当前企业的安全建设和投入并非呈现一个理想的状态。2015年11月的《CTO企业信息安全调查报告》[2]报告显示 23.9%的企业没有信息安全团队,30.3%的企业每年基本上没有信息安全预算小微企业尤其是小微金融企业中接近40%的小微企业(100人以下)没有信息安全团队和资金预算,超过50%的金融企业没有任何安全方面的投入。普华永道在2016年11月29日发布“全球信息安全状况调查”报告称,中国受访企业在信息安全方面的投资预算比去年削减了7.6%。安永在2017年1月发布的《全球信息安全调查报告》中显示,很多企业在最基本的感知能力上存在差距,其中44%的企业没有安全运营中心(SOC),64%的企业没有或只有非正式的威胁情报计划,62%的企业在经历了看似无害的安全事件后,并不会增加其信息安全支出[3]。

2016年6月1日《中华人民共和国网络安全法》的正式实施从法律层面启动了新一轮的网络安全法律监管要求,各行业机构也纷纷根据《网络安全法》制订和颁布了众多行业管理要求和管理办法来加强对网络安全的监管。可以预见,企业未来必须通过投入并加强网络安全建设才能满足日益严格的法律法规及合规监管要求。

在网络安全建设的过程中,企业网络安全负责人制定决策时或向决策层进行汇报时都会面临着这样的困惑

  1. 网络安全建设投入的最低要求是多少?
  2. 网络安全建设在什么地方投入才能获得最大的ROI?
  3. 如何开展网络安全建设投入?

本文将以经济学的角度来尝试提供一个包含明确的重点和关键事项的网络安全投资分析以协助企业的CIO或CSO们更好的开展网络安全建设。

2     网络安全投资的经济学视野

2.1   博弈论 – 做个理性的决策者

关于安全投入占比的问题,美国马里兰大学的两位教授Lawrence Gordon and Vernon Loeb在2002年出版的研究报告中提出了网络经济学中著名的Gordon-Loeb model模型[4]。该模型总结两个结论。其一,企业额外的安全投入可以带来额外的好处并将风险减少到某一个点。但超过这个点后,更多安全投入所带来的额外好处将变得不明显。其二,企业网络安全投入不应该超出因被入侵而导致发生潜在损失总量的37%。根据他们的研究结论,作为机构的决策者需要利用博弈思维以战略的眼光来统领企业的安全建设原则,以谋略的方式来做出最优的商业安全投资。就网络安全投入占比究竟应该是多少的问题为例,笔者建议企业决策者可重点考虑两个博弈因素,即被保护对象因入侵而带来的潜在损失和企业能够承担的风险,来决定具体的投入建设占比。

首先,应该尽可能以定量的方式准确计算因被成功入侵而带来的潜在损失。然后根据该潜在损失,结合企业可接受程度来选择投入成本。这些潜在的风险损失主要包括但不限于如下

  1. 因数据丢失/泄露、业务系统中断而造成的业务损失、资本市场损失、未来收益损及、品牌价值声誉损失以及法律诉讼成本
  2. 系统软件硬件损坏而带来的软硬件更换成本
  3. 人员应急处理所带来的人工成本
  4. 来自法律机关/行业监管部门的处罚成本
  5. 安全事件的媒体公关处置成本
  6. 因人员撤职而重新招聘上岗的培训成本

其次,网络安全永远无法做到百分之百,为了保护低价值目标而投入过多资源在ROI上是不经济的,因此企业机构的决策者应该理解和接受适当的风险。这种风险不仅包括企业自身可能的风险损失,也包括决策者自身的个人风险。有一些风险是不可接受的风险,企业和决策层需要注意,这些风险主要包括但不限于如下:

  1. 可能导致涉及发生国家安全、社会稳定的风险
  2. 可能导致发生人员人身伤害的风险
  3. 可能导致发生法律诉讼并发生高管承担法律责任的风险
  4. 可能导致高管发生人事变动的风险

2.2   边际效益 -最小的投入获得最大的回报

在经济学里面,边际收益(Marginal Revenue)是指增加一单位产品的销售所增加的收益,即最后一单位产品的售出所取得的收益。它可以是正值或负值。边际收益是厂商分析中的重要概念。而边际收益递减律,在技术水平不变的情况下,当把一种可变的生产要素投入到一种或几种不变的生产要素中时,最初这种生产要素的增加会使产量增加,但当它超过一定限度时,增加的产量将要递减,最终还会使产量绝对减少。将该概念换为企业的网络安全建设投入,即可以理解为企业如果为了追求更高的网络安全保障率,则将会导致投入更多的资源。这种后期单位资源投入所带来的网络安全保障提升率与网络安全建设初期相同单位资源投入所带来的网络安全保障提升率相比是比较低的。因此对于企业而言,应该考虑网络安全建设投入的边际效益递减率,在建设投入有限的情况下,寻求一个最佳的边界效益。而达到这样的目的,最好的方式是考虑通过数个关键防护措施而建立一个安全边界基线,并根据这样一个基线进行安全初期及重点的建设投入。根据verizon公司《2013 Data Breach Investigations Report》报告分析显示,75%的网络攻击属于非精心定制或少量精心定制的攻击。针对这样的攻击形式,verizon公司建议通过关键的几个措施就可以达到较好的安全防护效果。澳大利亚国防部根据自己的调查统计建议通过实施4个关键措施就可以阻止超过85%的入侵行为[5]。而美国空军的研究表明仅实施补丁漏洞修补就可以阻断超过70%的攻击。英国政府针则在2015年对网络安全给出了包含风险管理、网络安全管理、用户特权管理、用户培训管理等在内的10项重要安全领域[6]。在此,结合国外的研究报告及本人多年的实践经验,给出以下的6项关键防护措施。

  1. 网络边界安全访问控制及防护
  2. 漏洞扫描及补丁修补管理
  3. 操作系统、应用软件及网络设备的安全配置
  4. 个人终端安全防护
  5. 业务系统的最小特权管控
  6. 员工安全意识培训

这6个关键防护措施的实施可以较好的解决网络安全中的网络入侵、漏洞利用、恶意软件、信息泄露、社会工程学攻击。同时这6个措施的管理和技术资源投入相对较低并能获得较好的效果。

2.3   价值投资 – 找到最适合投资

熟悉巴菲特投资理论的人都知道其价值投资最重要的理论之一是选择优质的公司。通常考虑的因素包括(1) 这家公司在10年至20年后还在不在?(2)未来几年这家公司的盈利水平还能不能持续增长?(3)公司有没有良好的机制和管理系统?。从今天我们讨论的网络安全投资来看,我们也可以借鉴这一理论。对于企业而言,在进行网络安全建设投资的时候需要考虑以下因素,从而实现价值投资。这些因素包括:

  1. 投资的重点是否覆盖机构最需要保护的重点对象?
  2. 投资建设的重点是否考虑了未来业务发展需求和合规监管的要求?
  3. 投资的安全技术是否是业界主流或未来安全防护的趋势?
  4. 投资的产品厂家和服务商是否能提供后继持续的和优质的服务维护

对于第一个因素,其实践难点在于企业机构在没有进行全面评估的情况下,并不一定能全面清晰知晓哪些信息系统和信息应该纳入安全防护。多数情况下企业仅凭依赖其IT部门来完成防护重点对象的确认,但实际上重点防护对象不仅限于IT部门所管辖的IT资产。对于第二个因素,企业机构需要实时关注业务发展和监管要求的变化并根据变化来进行建设投资。例如《网络安全法》中对个人信息保护的提出要求,这将使得企业必须在后期考虑客户信息保护的建设投入。对于第三个因素,企业机构必须考虑投资技术的时效性和先进性。如云安全,短短几年的时间就从安全设备虚拟化迈向软件定义安全;又如入侵防护,现在更多在传统的检测机制上引入沙盒机制、行为分析、威胁情报等技术手段来增加并实现未知威胁的检测和分析。最后一个因素是最容易理解也是最容易忽略的因素。主要体现在投资中过于考虑低价采购而带来的成本节约而忽视后继维护和服务带来的成本节约。

3     结束语

网络安全建设投资对企业而言不是一项可有可无的投资。面对今天市场上种类繁多的安全防护产品和防护手段,企业的网络安全负责人可通过经济学的理论,以经济学家的思维从另外一个角度来思索并开展网络安全建设。这样即有利于组织集中更多的资源以应对更为复杂的网络威胁,又可产生和带来良好的经济效益,同时也反映出企业有效的网络防御战略和精妙的组织管理能力。

参考文献:

  • http://www.techweb.com.cn/news/2016-11-01/2424585.shtml
  • http://news.51cto.com/art/201706/541441.htm
  • http://www.sootoo.com/content/670662.shtml
  • Gordon, Lawrence; Martin Loeb (November 2002). “The Economics of Information Security Investment”. ACM Transactions on Information and System Security. 5 (4): 438–457. doi:1145/581271.581274
  • https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/395716/10_steps_ten_critical_areas.pdf
  • https://www.asd.gov.au/infosec/top-mitigations/top-4-strategies-explained.htm

发表评论