• “為什么今年的安全預算增加了這么多？”
• “安全預算花光了，公司的安全建設成果在哪里？”
• “前不久才批給你的一輪新的安全預算都沒了？又進購了哪些產品？”

看完這一組“致命”三連問，可能有不少安全人已經汗流浹背了。但毫不夸張，這大概就是不少企業安全管理者在工作中需要切實面對的難題。

近幾年，隨著市場利潤緊縮，在安全預算中“平地摳餅”以及“降本增效”成為了不少CISO不得不面對的難題。盡管有些時候公司已經批準了部分特定的網絡安全預算，但如今這些預算正在被收緊甚至是削減。這也就導致安全策略受限，產生了許多風險盲點。

根據IANS Research最新公布的研究報告，伴隨全球經濟衰退預期和通脹壓力的持續，2022-2023年預算周期的網絡安全預算增速同比下降了65%。因此，與預算緊縮和人員短缺作斗爭，已然成為當下CISO面臨的主要挑戰之一。但無論CISO的安全預算富裕還是有限，節省資金，避免不必要的隱藏成本肯定是一個更好的選擇。

網安支出中暗藏的“成本陷阱”

從硬件設備的投入，到軟件許可的購買，再到人力資源的管理，以及持續的維護和升級......企業網安建設支出中，往往暗藏成本陷阱，每個環節都可能帶來預期之外的開支。這些開支不僅可能削弱企業的財務狀況，甚至可能影響到整個安全建設的效果和效率。

這些陷阱在安全建設初期可能并不明顯，但隨著時間的推移很可能會悄悄地消耗網絡安全部門的寶貴預算。這些成本陷阱的范圍甚廣，有些即便是具備特定知識和經驗豐富的CISO都很難察覺到。具體有以下幾類：

安全產品服務計費結構的“套路”

如今，不少CISO都許多安全供應商圍繞其產品的收費結構中苦苦掙扎。歐洲聯盟網絡安全局（ENISA）顧問組成員Brain Honan指出，現在許多產品都有非常復雜的計費結構，而基礎版本的解決方案可能看起來相對有吸引力，但更高級的功能，通常是CISO所需的功能，一般會額外收費。這些工具的初始購買成本相對較低，但隨著存儲的數據量、跟蹤的事件、分析的流量或監視的終端數量的增加，相關價格可能會大幅上升。

此外，安全產品和服務中的額外開支還包括許可證費用以及維護和支持成本等。另外，據說一些CISO還要負責更多的安全職能，如SOC和基礎設施等。他們承擔了本應該由CIO或CTO負擔的支持和維護成本，尤其是在預算條款相對緊密耦合的情況下。

審查第三方成本至關重要

在決定購買任何網絡安全服務或與第三方合作之前，詳細詢問并評估所有潛在額外成本至關重要。這不僅是為了優化供應商談判策略，更是為產品和服務爭取最低的合理價格。特別是當購買新產品，建立全新的合作關系，或涉及知識產權而非實物產品的成本場景時，通常有很大的談判空間。

對于服務而言，最終極的訣竅就是要堅持確保每個新產品都配備足夠的專業服務作為支撐。比如，配備更加專業的工程師通過線上指導客戶高效地使用該產品，同時挑選合適的員工來擔任該產品的負責人解決后續問題。

另外，與挑選合適的服務人員同樣重要的還有培訓備用人員，養成創建關于文檔記錄和持續知識傳遞的文化能夠幫助組織節省下一筆不菲的資金。

在購買新型安全產品時，還有另外一種策略能夠爭取更加合理的價格。舉個例子，當某些提供遠程瀏覽器隔離服務的供應商報價過高時，組織可以向其詳細說明自己有能力自行開發此類產品，并將該產品創建成一個GitHub項目，供他人免費使用。當然前提是他們愿意花費與供應商要價相等的資本支出。這種方法的目的是向供應商表明立場，迫使供應商降低價格。

內部安全產品運營成本極易被忽視

除了安全產品和服務復雜的成本結構外，有效的運行安全產品的內部成本常常被人忽視。以SIEM為例，盡管SIEM是一個有效監測和分析網絡活動的安全工具。但出于合規目的，企業在使用SIEM時會生成大量的數據，這意味著需要投入大量的存儲資源和時間成本。因此，在這個過程中，考慮員工培訓、維護、添加用戶和處理誤報等因素也很重要，畢竟這些因素可能多數并不會包含在初始成本分析中。

滲透測試服務和開源解決方案也是如此。在使用滲透測試服務時，企業還必須考慮內部所需的時間和資源、任何潛在停機對業務造成的成本、分析報告所需的時間以及實施所需安全措施的成本。開源解決方案雖然經常被看作是商業安全工具的經濟高效替代品，但也不一定能為網絡安全團隊節省成本。“實施、管理、集成和支持解決方案會產生持續成本，例如招聘相關專業人才或聘請外部專家時產生意想不到的成本。

嚴格“去重”，不把預算浪費在無效服務和產品上

重復功能和重疊服務是另一種常見的網絡安全預算超支原因。云服務提供商Nasstar的首席信息安全官Nick Trueman就曾提及過此類問題，他表示：為重復的安全功能付費往往導致預算緊張，還可能導致集成方面的問題，協調和集成提供類似功能的多個廠商的產品會導致復雜性和互操作性問題。

應全面審查所有安全提供商提供的服務，評估其有效性以及是否符合業務的安全要求，如果發現重復功能，可以考慮將服務整合到單個提供商下或與提供商協商以消除冗余。

在安全建設過程中，不少企業會為無法帶來預期收益的冗余或無效工具付費。這可能會影響安全預算和覆蓋計劃，還可能導致投資的安全工具或技術無法兌現最初的承諾、以及無法提供預期價值及投資回報。

當然，出現這種情況背后的原因有很多種，比如與現有系統集成不足、用戶采用率不高或工具無法有效滿足企業的特定安全需求等等。諸如上述情況的安全投資占用了更有效的安全措施的資源，從而導致安全預算緊張，最終損害企業的整體網絡安全態勢。

不少CISO都有過度采購的情況，但如果是一味地只顧著更新工具購買工具，而不去驗證用例或檢查現有解決方案是否已經能滿足需求。這極可能導致工具出現大量冗余的情況，從而使安全運營變得復雜。企業需要協調所有安全投資，以確保與企業的威脅模型相關并最大限度地降低風險。因此，在選擇購買一項新產品之前，確定現有解決方案是否可用對于CISO來說是一項重要的工作。

根據業內人士在企業中的審查安全工具的經驗之談，企業往往會為同一個功能購買兩到三個產品，但這僅僅是因為企業并不知曉他們購買的原始產品中已經提供了所需的所有功能。比如，許多現代操作系統都有內置的安全功能，例如磁盤加密，如果實施這些功能，可以消除對第三方解決方案的要求。想要做到這一步，可以考慮安排專門的產品工程師專人負責審查安全配置并正確實施解決方案，這能夠有效幫助CISO省去購買新工具以及與集成和管理該工具的相關成本。

“供應商鎖定”可能造成永久性的成本陷阱

企業有時為了讓某個解決方案能夠有效運作，會投入大量資金、時間和資源，最終導致成本顯著超出預期。但考慮到不要浪費前期的投資，或者有時因為遷移的成本太高，所以大多企業不愿意考慮將某些安全事項轉向其他供應商的產品或平臺，盡管可能存在比之前更加經濟高效的解決方案。當CISO接手跨部門或者由中央領導層主導的“倡議”時，可能會面臨隱藏的成本問題。在這種情決策過程中，CISO有資金支配權，負責實施該倡議并承擔初始費用。他們會向上級或其他部門承諾，一旦倡議成功，那么它將會被納入業務預算之中。

隨后將會成為一項持續的常規業務。到了那個時候，再將運行成本重新分配到整個業務部門之間將會是一件困難的事情，可能會引起爭議和矛盾。因此，這些成本最終會留在CISO的預算中，給他們帶來麻煩，特別是這些成本實際上并不應該由安全部門承擔。

業務優先級混亂可能導致出現意外成本

當企業高管和各部門主管的戰略目標和觀點與CISO的網絡安全優先事項不一致時，可能會導致預算分配方面的爭議，這樣CISO往往無法獲得足夠的預算實施有效的長期戰略，從而導致出現意外的成本。

對于CISO來說，在與其他部門競爭預算時需要證明其預算請求的合理性，任何妥協都可能會導致企業安全需求無法得到充分滿足，從而導致企業在響應安全事件或數據泄露時的意外支出。企業可能會被動地分配資源來解決眼前的威脅，這通常會在未來產生意外成本。這種被動投入的方法可能會導致安全預算緊張，無法提供全面且更具成本效益的長期安全策略。

這個情況其實一直是安全工作的痛點，算是早些年積累下的一個“病灶”。這里其實也涉及到如何量化安全工作的問題，在向領導匯報時，究竟該如何體現安全工作的階段性成果以及找出安全投資可能為企業帶來的實際效益十分重要。在爭取預算的過程中，讓上級領導及其他配合工作的部門領導充分認識到安全成本投入的重要性與必要性，能夠有效保證安全成本的投入比例。

結語

企業網絡安全既是保障企業資產安全的重要環節，也是維護企業核心競爭力的關鍵因素。因此，如何合理規劃網絡安全投入和開支，建立健全的預算監控和調整機制，及時了解預算執行情況，評估網絡安全投入的有效性，并根據實際情況進行調整，以實現安全性和經濟性的平衡至關重要。通過對網絡安全預算執行情況的總結，不斷提煉經驗教訓，持續改進網安預算計劃的制定和執行，最大程度地規避網安成本“陷阱”，是每一位CISO的“必修課”。

畢竟，良性的網絡安全投入不僅是企業保護信息資產和維護業務運營的基礎，也是企業應對日益嚴峻的網絡安全形勢的必要舉措。