有報(bào)告指出網(wǎng)絡(luò)犯罪成本的重要性。一些專(zhuān)家建議應(yīng)該重新分配預(yù)算資源，多一些用到應(yīng)用層安全上去。

研究報(bào)告旨在量化與“網(wǎng)絡(luò)犯罪以及從網(wǎng)絡(luò)攻擊中恢復(fù)”相關(guān)的財(cái)務(wù)損失，預(yù)算不足讓企業(yè)難以應(yīng)對(duì)疊高的成本。

[[151896]]

Ponemon的報(bào)告《2015年網(wǎng)絡(luò)犯罪成本研究》(由HP贊助，調(diào)查設(shè)計(jì)58家美國(guó)組織以及全球7個(gè)國(guó)家的252家組織)，確定了數(shù)據(jù)泄漏事故的平均成本以及從中恢復(fù)所需要的成本。報(bào)告發(fā)現(xiàn)這些成本仍舊在持續(xù)攀升。

卡帕斯基實(shí)驗(yàn)室發(fā)布報(bào)告《損失控制：安全漏洞的成本》，該報(bào)告調(diào)查了26個(gè)國(guó)家的5500家公司，并確定從網(wǎng)絡(luò)攻擊事件中恢復(fù)所需要付出的代價(jià)。

研究結(jié)果并不十分匹配。Ponemon發(fā)現(xiàn)企業(yè)平均花費(fèi)46天并少于200萬(wàn)美元以從每次網(wǎng)絡(luò)攻擊中恢復(fù)過(guò)來(lái)。不過(guò)，卡帕斯基實(shí)驗(yàn)室則稱(chēng)企業(yè)真正恢復(fù)起來(lái)要平均花費(fèi)551000萬(wàn)美元，小企業(yè)也要花費(fèi)38000美元，且當(dāng)企業(yè)信譽(yù)受損、又包括培訓(xùn)和基礎(chǔ)設(shè)施升級(jí)時(shí)，所花費(fèi)成本將直線上漲。

Ponemon的研究主要在整體網(wǎng)絡(luò)犯罪成本層面，揭示了以年計(jì)的話平均每個(gè)公司每年要花費(fèi)1500萬(wàn)美元。組織規(guī)模和成本之間呈正向關(guān)系，然而值得注意的是，較小的公司的成本要高于大型組織。

緩解上升的成本

兩項(xiàng)研究均認(rèn)為最常見(jiàn)的攻擊類(lèi)型是通過(guò)惡意代碼進(jìn)行的，同時(shí)卡帕斯基發(fā)現(xiàn)第三方提供商的故障要對(duì)數(shù)據(jù)泄漏事故成本負(fù)絕大部分責(zé)任。數(shù)據(jù)泄漏成本也呈現(xiàn)出不同形式，包括關(guān)鍵業(yè)務(wù)信息訪問(wèn)失敗造成的損失、律師/顧問(wèn)費(fèi)用等。

Trustwave Holdings公司W(wǎng)eb應(yīng)用安全副總裁Marc Shinbrood說(shuō)，咨詢(xún)并不會(huì)滿(mǎn)足每個(gè)企業(yè)所特有的需求。

“當(dāng)務(wù)之急是公司要確保積極的安全測(cè)試。很多公司引進(jìn)咨詢(xún)公司做安全調(diào)查，或者照看其他組織來(lái)尋求安全的方向，”Shinbrood說(shuō)道。“然而更重要的是，企業(yè)應(yīng)該測(cè)試自己的環(huán)境，尋求自身業(yè)務(wù)發(fā)展趨勢(shì)，然后采取適當(dāng)?shù)拇胧Ｔ囅胍幌拢?dāng)你想買(mǎi)一輛車(chē)時(shí)，只是照著鄰居的車(chē)子去買(mǎi)，那么你又怎能確保這輛車(chē)子會(huì)適合你的需求呢?”

兩項(xiàng)研究報(bào)告都強(qiáng)調(diào)了網(wǎng)絡(luò)攻擊及恢復(fù)成本的上漲。專(zhuān)家也認(rèn)為對(duì)于IT專(zhuān)業(yè)人士來(lái)說(shuō)最困難的工作之一即是獲取預(yù)算資源。所以，恰當(dāng)?shù)胤峙滟Y源可能是解決之道。

卡帕斯基實(shí)驗(yàn)室北美區(qū)的總經(jīng)理Chris Doggett表示，任何預(yù)算考量首先都要將所有組織需要的基本技術(shù)考慮在內(nèi)。

“預(yù)防網(wǎng)絡(luò)攻擊，有效的端點(diǎn)保護(hù)必須結(jié)合幾種不同的安全技術(shù)，如惡意軟件檢測(cè)、Web安全控制、利用保護(hù)、先進(jìn)的防火墻功能以及主機(jī)入侵防御。首要的是應(yīng)該先選擇一個(gè)合適的端點(diǎn)安全解決方案，能夠最大程度滿(mǎn)足企業(yè)主要的選擇標(biāo)準(zhǔn)，”Doggett說(shuō)道。“只有在滿(mǎn)足這個(gè)需要后，企業(yè)才能夠投入額外的預(yù)算到其他層的安全上去。”

應(yīng)用層安全需更多投入

Ponemon研究機(jī)構(gòu)創(chuàng)始人Larry Ponemon說(shuō)，當(dāng)你了解到不同網(wǎng)絡(luò)層安全是如何分配資源的時(shí)候，就會(huì)發(fā)現(xiàn)一層顯然得到了太多的資源，事實(shí)上根本用不上這么多。

“就好像在傳統(tǒng)安全預(yù)算中，最大的占比為使能技術(shù)“網(wǎng)絡(luò)安全技術(shù)”所占，即傳統(tǒng)的邊界控制，諸如防火墻、IPS及其他類(lèi)似的等等，”Ponemon說(shuō)道，“但當(dāng)你審視如今的威脅或潛在的攻擊可能時(shí)，會(huì)發(fā)現(xiàn)通常在應(yīng)用層的威脅要遠(yuǎn)多于網(wǎng)絡(luò)層。”

Ponemon指出，調(diào)查數(shù)據(jù)顯示公司正在將預(yù)算資源從網(wǎng)絡(luò)安全層緩慢轉(zhuǎn)向應(yīng)用層。根據(jù)報(bào)告顯示，應(yīng)用層的預(yù)算支出從2013年的15%增長(zhǎng)到2015年的20%，而網(wǎng)絡(luò)安全支出則由40%下降到36%。

BeyondTrust技術(shù)副總裁Morey Haber表示，組織往往過(guò)于關(guān)注需要保護(hù)的數(shù)據(jù)量，而在訪問(wèn)管理方面關(guān)注不夠。

“固有的觀念是存儲(chǔ)的數(shù)據(jù)在增加，因而我們保護(hù)數(shù)據(jù)的安全工具和系統(tǒng)也需要隨之增加。殊不知防護(hù)設(shè)備的疊加并不是解決問(wèn)題的辦法，我們應(yīng)當(dāng)轉(zhuǎn)變觀念，控制訪問(wèn)特權(quán)，建立按需訪問(wèn)的體系，”Haboer這樣說(shuō)道。“控制訪問(wèn)能夠減少噪音，并在最終用戶(hù)和應(yīng)用程序訪問(wèn)時(shí)具備更高效的監(jiān)測(cè)。”

Ponemon研究也計(jì)算了技術(shù)可以為處于泄漏事故中的公司節(jié)省的錢(qián)財(cái)，這些技術(shù)可以是安全情報(bào)系統(tǒng)、GRC工具或者訪問(wèn)控制工具。不過(guò)，同樣根據(jù)該報(bào)告，GRC工具或訪問(wèn)控制工具無(wú)法提供與加密技術(shù)、邊界控制和防火墻技術(shù)相媲美的投資回報(bào)(ROI)。

NetlQ身份認(rèn)證解決方案策略師Travis Greene表示，這種ROI數(shù)據(jù)可以幫助企業(yè)高管重新看待通用安全支出。

“我們往往將安全視作保險(xiǎn)，并非真正有所幫助，不過(guò)是一項(xiàng)必要的開(kāi)銷(xiāo)。報(bào)告提供了一些關(guān)于安全花費(fèi)ROI的信息，揭示在考慮到網(wǎng)絡(luò)犯罪增長(zhǎng)的情況下，泄漏事故成本的普適性，”Greene說(shuō)道。“因此，我認(rèn)為在IT安全上缺少投資和預(yù)算的做法是不成熟的，重新將安全預(yù)算資源從網(wǎng)絡(luò)安全分配給數(shù)據(jù)訪問(wèn)安全是一個(gè)明智的舉措，畢竟我們要時(shí)刻關(guān)注網(wǎng)絡(luò)罪犯所熱衷的方向。”

Doggett也警醒大家，關(guān)于安全漏洞的不斷報(bào)道可能會(huì)讓IT專(zhuān)業(yè)人士在面對(duì)危險(xiǎn)時(shí)變得麻木。

“我們切不可自滿(mǎn)。隨著網(wǎng)絡(luò)犯罪的成熟和黑市體系的完善，網(wǎng)絡(luò)攻擊造成的負(fù)面影響將持續(xù)擴(kuò)大。企業(yè)仍舊需要繼續(xù)關(guān)注、改進(jìn)并完善安全投資。”