有報告指出網(wǎng)絡(luò)犯罪成本的重要性。一些專家建議應(yīng)該重新分配預(yù)算資源，多一些用到應(yīng)用層安全上去。

研究報告旨在量化與“網(wǎng)絡(luò)犯罪以及從網(wǎng)絡(luò)攻擊中恢復(fù)”相關(guān)的財務(wù)損失，預(yù)算不足讓企業(yè)難以應(yīng)對疊高的成本。

[[151896]]

Ponemon的報告《2015年網(wǎng)絡(luò)犯罪成本研究》(由HP贊助，調(diào)查設(shè)計58家美國組織以及全球7個國家的252家組織)，確定了數(shù)據(jù)泄漏事故的平均成本以及從中恢復(fù)所需要的成本。報告發(fā)現(xiàn)這些成本仍舊在持續(xù)攀升。

卡帕斯基實驗室發(fā)布報告《損失控制：安全漏洞的成本》，該報告調(diào)查了26個國家的5500家公司，并確定從網(wǎng)絡(luò)攻擊事件中恢復(fù)所需要付出的代價。

研究結(jié)果并不十分匹配。Ponemon發(fā)現(xiàn)企業(yè)平均花費46天并少于200萬美元以從每次網(wǎng)絡(luò)攻擊中恢復(fù)過來。不過，卡帕斯基實驗室則稱企業(yè)真正恢復(fù)起來要平均花費551000萬美元，小企業(yè)也要花費38000美元，且當企業(yè)信譽受損、又包括培訓(xùn)和基礎(chǔ)設(shè)施升級時，所花費成本將直線上漲。

Ponemon的研究主要在整體網(wǎng)絡(luò)犯罪成本層面，揭示了以年計的話平均每個公司每年要花費1500萬美元。組織規(guī)模和成本之間呈正向關(guān)系，然而值得注意的是，較小的公司的成本要高于大型組織。

緩解上升的成本

兩項研究均認為最常見的攻擊類型是通過惡意代碼進行的，同時卡帕斯基發(fā)現(xiàn)第三方提供商的故障要對數(shù)據(jù)泄漏事故成本負絕大部分責任。數(shù)據(jù)泄漏成本也呈現(xiàn)出不同形式，包括關(guān)鍵業(yè)務(wù)信息訪問失敗造成的損失、律師/顧問費用等。

Trustwave Holdings公司W(wǎng)eb應(yīng)用安全副總裁Marc Shinbrood說，咨詢并不會滿足每個企業(yè)所特有的需求。

“當務(wù)之急是公司要確保積極的安全測試。很多公司引進咨詢公司做安全調(diào)查，或者照看其他組織來尋求安全的方向，”Shinbrood說道。“然而更重要的是，企業(yè)應(yīng)該測試自己的環(huán)境，尋求自身業(yè)務(wù)發(fā)展趨勢，然后采取適當?shù)拇胧?。試想一下，當你想買一輛車時，只是照著鄰居的車子去買，那么你又怎能確保這輛車子會適合你的需求呢?”

兩項研究報告都強調(diào)了網(wǎng)絡(luò)攻擊及恢復(fù)成本的上漲。專家也認為對于IT專業(yè)人士來說最困難的工作之一即是獲取預(yù)算資源。所以，恰當?shù)胤峙滟Y源可能是解決之道。

卡帕斯基實驗室北美區(qū)的總經(jīng)理Chris Doggett表示，任何預(yù)算考量首先都要將所有組織需要的基本技術(shù)考慮在內(nèi)。

“預(yù)防網(wǎng)絡(luò)攻擊，有效的端點保護必須結(jié)合幾種不同的安全技術(shù)，如惡意軟件檢測、Web安全控制、利用保護、先進的防火墻功能以及主機入侵防御。首要的是應(yīng)該先選擇一個合適的端點安全解決方案，能夠最大程度滿足企業(yè)主要的選擇標準，”Doggett說道。“只有在滿足這個需要后，企業(yè)才能夠投入額外的預(yù)算到其他層的安全上去。”

應(yīng)用層安全需更多投入

Ponemon研究機構(gòu)創(chuàng)始人Larry Ponemon說，當你了解到不同網(wǎng)絡(luò)層安全是如何分配資源的時候，就會發(fā)現(xiàn)一層顯然得到了太多的資源，事實上根本用不上這么多。

“就好像在傳統(tǒng)安全預(yù)算中，最大的占比為使能技術(shù)“網(wǎng)絡(luò)安全技術(shù)”所占，即傳統(tǒng)的邊界控制，諸如防火墻、IPS及其他類似的等等，”Ponemon說道，“但當你審視如今的威脅或潛在的攻擊可能時，會發(fā)現(xiàn)通常在應(yīng)用層的威脅要遠多于網(wǎng)絡(luò)層。”

Ponemon指出，調(diào)查數(shù)據(jù)顯示公司正在將預(yù)算資源從網(wǎng)絡(luò)安全層緩慢轉(zhuǎn)向應(yīng)用層。根據(jù)報告顯示，應(yīng)用層的預(yù)算支出從2013年的15%增長到2015年的20%，而網(wǎng)絡(luò)安全支出則由40%下降到36%。

BeyondTrust技術(shù)副總裁Morey Haber表示，組織往往過于關(guān)注需要保護的數(shù)據(jù)量，而在訪問管理方面關(guān)注不夠。

“固有的觀念是存儲的數(shù)據(jù)在增加，因而我們保護數(shù)據(jù)的安全工具和系統(tǒng)也需要隨之增加。殊不知防護設(shè)備的疊加并不是解決問題的辦法，我們應(yīng)當轉(zhuǎn)變觀念，控制訪問特權(quán)，建立按需訪問的體系，”Haboer這樣說道。“控制訪問能夠減少噪音，并在最終用戶和應(yīng)用程序訪問時具備更高效的監(jiān)測。”

Ponemon研究也計算了技術(shù)可以為處于泄漏事故中的公司節(jié)省的錢財，這些技術(shù)可以是安全情報系統(tǒng)、GRC工具或者訪問控制工具。不過，同樣根據(jù)該報告，GRC工具或訪問控制工具無法提供與加密技術(shù)、邊界控制和防火墻技術(shù)相媲美的投資回報(ROI)。

NetlQ身份認證解決方案策略師Travis Greene表示，這種ROI數(shù)據(jù)可以幫助企業(yè)高管重新看待通用安全支出。

“我們往往將安全視作保險，并非真正有所幫助，不過是一項必要的開銷。報告提供了一些關(guān)于安全花費ROI的信息，揭示在考慮到網(wǎng)絡(luò)犯罪增長的情況下，泄漏事故成本的普適性，”Greene說道。“因此，我認為在IT安全上缺少投資和預(yù)算的做法是不成熟的，重新將安全預(yù)算資源從網(wǎng)絡(luò)安全分配給數(shù)據(jù)訪問安全是一個明智的舉措，畢竟我們要時刻關(guān)注網(wǎng)絡(luò)罪犯所熱衷的方向。”

Doggett也警醒大家，關(guān)于安全漏洞的不斷報道可能會讓IT專業(yè)人士在面對危險時變得麻木。

“我們切不可自滿。隨著網(wǎng)絡(luò)犯罪的成熟和黑市體系的完善，網(wǎng)絡(luò)攻擊造成的負面影響將持續(xù)擴大。企業(yè)仍舊需要繼續(xù)關(guān)注、改進并完善安全投資。”