評估企業(yè)安全工具效能的時候，怎么找出最合適的模型來計算“安全投資回報”(ROSI)很是令人頭疼。

[[252983]]

僅僅幾年之前，安全事件的潛在損失還主要是公司聲譽相關的經(jīng)濟損失，只有極少數(shù)案例有高額法律費用或服務長期中斷相關的損失。但隨著GDPR和其他國際性法律引入了新的罰款，以及過去幾年里安全入侵事件在數(shù)量和復雜度上的增長，評估安全事件發(fā)生的可能性及其影響變得越來越迫切，且需要更為健壯的安全投資衡量與評估。

找出物超所值的方法

現(xiàn)實世界中最流行的安全預算部署模式就是基于簡單的成本核算——看看能從預算中每一分錢上得到什么。這是一個很不錯的預算分配起點，但要讓這個簡單的方法起效，就需要評估其中“收益”的部分了，而這里正是更為棘手的地方。

為給安全“價值”應用上財務模型，我們可以考慮設置一個試圖緩解盡可能多的風險的目標，最好就是達到新增安全控制的成本與能從安全事件中額外省下的可能價值相當?shù)某潭?。這就是基礎控制這樣的概念能令該問題易于處理的地方。通過識別可衡量的控制措施(尤其是有業(yè)界支持的那些，比如為PCI合規(guī)而開發(fā)出來的)，工具和過程都能按可衡量的“每件”成本加以評估和實現(xiàn)。

這些基礎控制為你提供了安全套裝中的一部分——旨在為IT系統(tǒng)打造護盾的預防性機制。

投資監(jiān)測工具

但平衡的安全應用組合遠不止基礎控制。用以檢測安全違規(guī)發(fā)生情況的檢測控制投資也在增長，因為不存在能完全阻止所有入侵的絕對安全。此類工具可以監(jiān)測工具的形式出現(xiàn)，輔助確定系統(tǒng)是否真的被攻擊，如果被攻擊，再通過分析日志文件和審計跟蹤確定攻擊的類型和程度。

除了預防性工具和監(jiān)測工具，安全解決方案中還有過程相關的成本。IT安全策略和流程應旨在響應可疑安全事件，為維護和安全培訓等其他服務提供支持。另外，考慮所有這些安全投資的同時，還可以開始評估有多少技術響應可以自動化執(zhí)行或手動執(zhí)行。

評估人力因素

安全行為背后還有人員技術要求。最好的自動化工具也需要維護和安全數(shù)據(jù)分析才會有用。所以，就算自動化是提升安全解決方案成本效益的重要部分，卻沒幾家公司會估測這些自動化技術的真正回報。防火墻丟棄掉的數(shù)據(jù)包很難等同于安全收益，但不妨對比一下DDoS攻擊所致連接變慢的風險和先期購置該帶寬的成本。

應用到垃圾郵件上的另一套評分機制可以解釋“浪費掉的時間”。數(shù)字可能會很大，反映的是成功垃圾郵件識別和攔截的數(shù)量，可以轉(zhuǎn)化成對生產(chǎn)力的輔助。每個員工少處理一封垃圾郵件，日積月累下來，數(shù)字也會很大的。

最后，健壯的指標也能說明垃圾郵件場景中撤回誤報的服務臺時間，以及終端用戶郵件被延遲的損失。

于是，我們?nèi)绾未_保真正物超所值呢?

從讓安全團隊更具生產(chǎn)力和確保風險最小化的同時服務功能還可用的角度上看，提供可被轉(zhuǎn)換成人力收益的指標的工具是個明智的起點。從旨在識別風險、提供恰當評估報告和評分以及緩解策略的工具和過程開始，意味著你能從僅僅評估威脅快速過渡到能夠衡量投資良好安全的回報。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文