制定网络安全预算：首要考虑因素

网络安全预算是当今的热门话题。数据泄露头条新闻清楚地表明，强大的网络安全对于每个组织都至关重要，但领导团队不能简单地签发一张空白支票，上面写着“改善网络安全！”相反，他们需要建立有效的网络安全预算。

这篇文章可以提供帮助。它探讨了影响网络安全成本的因素以及组织当前分配给网络安全的更广泛的 IT 预算的比例，提供了有关如何证明预算请求合理性的指导，并列出了长期规划时需要考虑的主要趋势。

网络安全给组织带来了多少成本？

组织的网络安全成本可能差异很大。网络安全预算的关键组成部分包括以下内容：

• 软件——网络安全预算中最明显的项目是软件解决方案。这些通常包括防病毒应用程序、防火墙、审核和变更管理工具以及备份和恢复解决方案。事实上，大型企业现在平均拥有 76 种不同的安全工具。
• 人员——然而，最大的网络安全成本实际上是人员，占总体安全预算的 38%。多年来，熟练的网络安全人才的需求量一直很高，而 IT 退休人数激增等趋势只会使问题更加复杂。但了解软件和人员之间的复杂关系很重要。太多的组织雇佣昂贵的网络安全人才，然后给他们分配重复的任务。但如果您投资正确的自动化解决方案，您就可以释放有限的 IT 团队来专注于更具战略性的问题。此外，这一策略反过来又可以切实提高工作满意度和人才保留率。
• 服务 - 组织经常聘请第三方网络安全服务来执行漏洞评估和渗透测试等特定任务，以及持续托管的安全服务。
• 硬件 - 大多数组织仍然拥有本地足迹，因此他们需要分配网络安全预算以保持服务器、路由器和其他 IT 基础设施最新。此外，他们还需要规划工作站、笔记本电脑和其他硬件投资。
• 培训计划 - 关于网络安全意识、最佳实践和新出现威胁的定期培训对所有用户都至关重要。理想情况下，培训应针对特定受众进行定制。请务必覆盖所有员工，包括管理团队、顾问以及有权访问网络的任何其他人。考虑定期测试培训的有效性，例如发送类似网络钓鱼的电子邮件并检查谁报告了这些电子邮件以及谁成为了受害者。
• 合规成本 - 受 HIPAA、GDPR 或 PCI-DSS 等监管要求约束的组织可能会产生与合规相关的成本，从报告和审计准备到雇用数据保护官 (DPO) 。
• 事件响应——网络安全预算的目标当然是避免数据泄露和其他事件。但组织需要为网络攻击成功的可能性做好准备。成本可能包括法证调查、法律费用、合规处罚以及公共关系工作和身份盗窃监控等补偿措施。
• 网络安全保险 - 许多组织购买网络安全保险以减轻数据泄露的财务影响。如下所述，请务必考虑这笔钱是否最好花在网络安全控制上。
• 意外费用和意外成本 - 一些组织在其网络安全预算中包含一些意外费用的缓冲。例如，经常会发现严重的漏洞，有些漏洞需要付出巨大的努力才能缓解。例如，Log4j 中发现了一个漏洞，使恶意行为者能够在易受攻击的系统上运行几乎任何他们想要的代码。 Log4j 是一个开源软件库，被 Microsoft、Apple、Cloudflare 等供应商广泛使用。因此，组织仍在努力识别易受攻击的系统，测试和安装补丁以及其他缓解措施，并检查这些修复是否已正确实施。

应将多少 IT 预算用于网络安全？

平均而言，组织将 11.6% 的 IT 预算分配给网络安全。然而，大约三分之一的人表示这一比例低于 6%。获得可靠数字的部分问题在于，不同的组织对于哪些内容属于“网络安全预算”、哪些不属于“网络安全预算”有不同的标准。例如，传统上，为新员工购买笔记本电脑是从常规 IT 预算中支出的。但该机器需要配备各种与安全相关的软件，例如防病毒和监控工具，这些软件不包含在操作系统中。因此，不同的组织可能采用不同的方式对“新笔记本电脑”等行项目的预算进行分类也就不足为奇了。 ”

虽然对于将多少 IT 预算用于网络安全这一问题没有一刀切的答案，但以下是一些可能影响这一百分比的关键因素：

• 组织规模和复杂性——一般来说，IT 和网络安全总成本随着组织规模和复杂性的增加而增加。但较小的公司可能会将更大比例的 IT 预算分配给网络安全，因为他们认识到有限的 IT 人员可能会让他们更容易受到攻击。
• 行业 - IT 预算中的安全分配因行业而异：技术、消费品和服务分配超过 15%，而法律、制造、医疗保健和零售等行业的组织投入不到 10% 。
• 合规性要求 - 虽然某些合规性要求（例如 HIPPA 和 FERPA）取决于行业，但其他要求则适用范围更广，因此值得单独指出这一因素。例如，PCI-DSS 适用于任何接受信用卡付款的组织，而 GDPR 等现代数据隐私法规适用于各个行业和国家。因此，几乎每个组织都需要将合规性纳入其网络安全预算。
• 安全成熟度 - 与刚刚起步的组织相比，拥有成熟安全计划的组织可能能够在网络安全上投入更少的预算。这可能有助于解释为什么医疗保健组织尽管处于高度监管的行业，但其预算百分比却处于较低水平；这些条例已经实行很长时间了。
• 风险概况 - 更容易成为网络攻击目标的组织可能需要将更高比例的预算分配给网络安全。例如，拥有大量有价值的个人数据（如 Equifax 和 Twitter）、是供应链关键要素（如 Solar Winds）或提供基本服务（如 Colonial Pipeline）的组织。
• 技术足迹 - IT 生态系统的规模和性质极大地影响组织的网络安全策略。特别是，网络安全预算会有所不同，具体取决于您使用的本地系统和云资源。
• 使用第三方供应商：尤其是在服务器和数据存储容量方面，组织经常聘请第三方供应商来管理 IT 任务。这样做时，公司必须确保供应商采取足够的安全措施。外包和尽职调查需要时间和资源，这会增加成本。例如，仅在网络安全方面，就需要供应商风险评估等措施。
• 以前的安全事件 - 过去遭受过一次（或多次）数据泄露的组织可能会在网络安全方面投入更多的 IT 预算。所经历的攻击类型可以考虑到特定的行项目中；例如，遭受网络钓鱼攻击的组织可能会重点关注员工培训和电子邮件过滤软件等措施。

如何证明网络安全预算的合理性

向利益相关者证明网络安全预算的合理性可能具有挑战性。事实上，高达 36% 的首席执行官和 CISO 表示，他们的董事会只有在发生违规或其他事件后才会关注网络安全威胁。如果您想证明网络安全预算的合理性，那么您已经知道摆脱这种保守模式至关重要。所以，你可以做什么？

关键是要关注一个核心信息：网络安全风险就是业务风险。

研究表明，在董事会将网络安全视为业务风险的组织中，更倾向于主动投资、关注技术风险和批准网络安全预算。

以下是一些有效的策略来传达这一信息。

量化不作为的成本。

当风险未知或无法量化时，很难说服人们采取行动——尤其是那些掌握预算的人。为了为您的案例奠定基础，首先要考虑以下事实：2023 年数据泄露的全球平均成本为 445 万美元，三年内增加了 15%。

小型组织的领导团队可能会说这一统计数据不相关，因此请随身携带此统计数据：数据泄露对员工少于 500 人的组织的平均影响为 331 万美元。

为了说明为什么违规行为会造成如此严重的经济损失，我们先从停机成本开始。指出 40% 的企业表示，一小时的停机成本为 100 万至 500 万美元以上，在最坏的情况下，损失可能达到每分钟数百万美元。

然后继续讨论这些额外的可能的直接和间接成本：

• 知识产权和其他关键业务信息的丢失
• 补救和取证费用，可能包括昂贵的外部专业知识
• 勒索软件勒索付款
• 监管和合规罚款 - 请务必查看您的组织所受到的特定指令的处罚
• 法律和公共关系费用
• 受影响方的通知、信用监控和身份盗窃缓解费用
• 损害公司信誉、品牌和声誉
• 客户流失
• 保费增加，甚至失去保单资格

解释为什么网络安全保险不能替代网络弹性。

一些领导团队可能希望将网络风险保险作为组织网络安全预算的中心。虽然持有网络风险政策确实转移了与违规或其他事件相关的大部分财务风险，但您有强有力的论据来解释为什么它绝不是取代其他网络安全预算项目的灵丹妙药。

首先用以下事实说明投资网络风险保险的价值不断下降：

• 政策利率飞涨。不久前，网络风险保险保单的价格常常被认为被低估，因为很多公司都想在市场上立足。但近年来，随着网络攻击的频率和复杂程度不断增加，许多提供商最终不得不支付巨额索赔，并且他们正在提高费率来进行补偿。一项研究发现，2022 年直接保费增加了 50%，而另一篇文章则认为增幅为 80%。一些组织报告每年为其保单支付高达 100 万美元的费用。
• 购买保险会增加遭受攻击的风险。一项研究发现，购买网络保险的组织比没有购买保险的组织更容易受到勒索软件攻击，而且遭受勒索软件攻击的可能性高出 70%受到多次攻击。
• 网络风险保险通常有重大的除外责任。 对于任何保险保单，细则都非常重要。网络风险保险保单通常有一系列排除条款，目前法院正在就其适用情况进行辩论。一些最常见的排除包括以下内容：

• 先前行为条款免除保险公司对保单签发之前发生的活动支付索赔的责任。由于恶意活动通常数月甚至数年都未被发现，因此这是一个需要牢记的重要排除因素。
• 如果事故是由于组织未能确保所需的控制措施到位而导致的，则未能维持标准排除条款使保险公司可以拒绝支付索赔。
• 战争行为条款不包括国家支持的网络安全攻击造成的损失。该条款引发了诉讼和庭外和解，使得有关排除范围的核心问题充其量也不清楚。但伦敦劳合社现在要求所有独立的网络攻击保单都包含一项条款，排除因国家支持的网络攻击或战争（无论是否宣战）而造成的损失的责任。
• 对合规处罚的限制可能会让保险公司承担巨额罚款和其他费用，即使保单涵盖了事故造成的其他方面的损害。

然后，提供更具成本效益的方法。请注意，许多保险公司现在要求组织实施特定类型的安全控制措施，以获得网络风险保险单的资格或降低其成本，并解释核心原因：实施可靠的网络安全控制措施可以降低遭受破坏的风险首先，有助于减少发生的事件造成的损失。指出这些所需的控制措施如何映射到网络安全预算中的项目。

现在您已准备好提出合乎逻辑的结论：不要将大量网络安全预算花在昂贵的包含大量排除项的保险上，而是重新分配这笔钱来预防事件并快速从攻击中恢复。无论如何，这些投资很可能是获得保单资格所必需的，并且通过实施全面的策略，您很可能根本不需要购买保险。

介绍您的组织当前的风险以及缓解风险的策略。

提供业务风险的可见性是增强缓解风险紧迫感的有效方法，这可以刺激领导团队批准网络安全预算。因此，请尽可能深入了解您当前的风险状况。寻找能够提高风险可见性的工具，例如配置错误的设置、过多的访问权限和威胁活动。此外，如果您的组织受任何法规或行业标准的约束，请突出显示您无法满足适用要求并证明合规性的任何方式。

一项特别清晰且可量化的衡量标准是 Active Directory 中攻击路径的数量，攻击者可能会利用这些路径来完全控制您的域。通过快速、免费的 AD 风险评估，组织通常会发现数千甚至数百万条攻击路径以及有关如何关闭它们的详细信息。

将您的风险评估与详细计划结合起来，以显示您的网络安全预算将如何减轻这些风险。如前所述，请务必解释降低 IT 风险如何直接转化为降低业务风险。例如，描述您提出的投资如何通过减少数据泄露和勒索软件感染的机会以及降低前面详述的事件响应成本来防止经济损失。尽可能量化这些节省。

这种方法为管理层提供了令人信服的证据来为网络安全预算提供资金。事实上，研究表明，业务风险管理效率较高的组织比效率较低的组织优先考虑网络安全预算。简而言之，提供可见性并且很可能采取行动。

讲故事，并根据不同的受众量身定制故事。

当您介绍网络安全预算时，请记住，人类对数字和故事都有很好的反应。因此，除了具体数据外，还应分享因网络安全投资不足而遭受安全漏洞的组织的真实示例，并尽力量化他们所遭受的损失。只要有可能，请根据当前的受众调整您的叙述，选择与他们的经历产生共鸣的故事，例如他们在职业生涯中担任的角色或他们工作过的部门。

另一方面，还要寻找能够说明网络安全投资如何为组织提供竞争优势或其他商业利益的故事。例如，客户和合作伙伴都倾向于与承诺安全的公司开展业务。事实上，风险评估或特定的安全控制甚至可以在合同中强制执行，因此值得探索实现某些网络安全里程碑是否将为您的组织提供更广泛的商业机会。

确定您最关键的资产以集中您的战略。

您的网络安全预算应优先考虑保护组织最高价值的资产，即第 0 层。这些资产包括关键服务器和特权帐户。由于它们提供对关键数据的访问，并且是控制 IT 生态系统的垫脚石，因此第 0 层资产是威胁行为者的首要目标。

在 Active Directory 环境中，第 0 层资产包括域控制器 (DC)，它存储重要的身份信息并提供业务流程运行所需的重要身份验证和授权服务。事实上，通常 90% 或更多的业务流程都依赖于 Active Directory 和 Entra ID（以前称为 Azure AD）。第 0 层还包括对环境具有管理控制权的所有帐户，例如域管理员和企业管理员等高特权组的成员。请记住，这不仅包括分配给人类的用户帐户，还包括服务帐户和计算机帐户。

重要的是，第 0 层还包括所有可以获得提升权限的帐户。请注意，开源工具 BloodHound 将使用隐藏权限、嵌套组成员资格和 AD 架构中固有的安全漏洞的组合，清楚地列出对手从普通用户转变为高权限管理员所需采取的确切步骤。因此，主动识别这些攻击路径、及时缓解它们并监控您尚未解决的任何攻击路径至关重要。

CISO 表示，他们最关心的安全问题是与客户和合作伙伴互动的数字渠道的增长，因此专注于保护客户、合作伙伴和员工的身份可能会与领导团队的优先事项产生共鸣。降低凭证泄露的风险有助于防止攻击者在组织中获得立足点并横向移动以损害您的一级资产。

将您的思维从网络安全扩展到网络弹性。

不要狭隘地关注网络安全，而应拓宽您对网络弹性的思考。毕竟，您的核心目标不仅仅是避免网络安全事件。相反，它是为了尽可能保持 IT 系统（进而保持业务）正常运行，并在发生中断时快速恢复正常运行。破坏不仅是由蓄意攻击造成的，而且也是由故意攻击造成的。它们也可能是由非恶意事件引起的，例如 IT 管理员的错误、断电和设备故障。

因此，真正有效的网络安全预算应涵盖网络弹性的所有四个支柱：

• 预期 - 为尽可能多类型的逆境做好计划，包括网络攻击、自然灾害、断电等结构性故障、系统意外高负载等压力、管理员过度劳累所犯的错误以及员工或员工的恶意活动承包商。
• 承受——采取措施确保基本功能在逆境中能够继续运行。这需要确定这些基本功能以及所有支持流程、系统、服务和基础设施。然后采取措施，尽量减少这些功能因您所发现的逆境类型而中断的风险。
• 恢复——确保您能够在逆境期间和之后恢复基本功能。
• 适应 - 您的业务需求、IT 生态系统和网络威胁形势都在不断变化，因此请务必定期评估您的关键业务功能及其支持能力的清单，以及您的缓解、响应和应对措施。恢复策略。

启用快速 Active Directory 恢复。

网络弹性的第三个支柱值得进一步讨论。通常，备份和恢复策略仅限于考虑数据，例如电子邮件内容、数据库和文档。如果这些数据被删除或损坏（无论是意外还是故意攻击的一部分），能够恢复这些数据当然很重要。但请注意，恢复支柱侧重于恢复“功能”而不是“数据”。这是因为，即使您恢复所有数据库、电子邮件和电子表格，如果 Active Directory 未启动并运行以提供对它们的访问，它们也毫无用处。

Active Directory 既是一个数据库，又是一组重要服务，因此简单的数据备份和恢复无法使其在灾难后恢复活力。相反，Active Directory 灾难恢复就是让您的域控制器重新工作，以便它们可以提供身份验证和授权等基本服务。简而言之，如果没有至少一个可运行的 DC，您的本地或混合 Microsoft 生态系统就无法运行。

DC 的恢复需要跨多个阶段的众多步骤进行细致的协调：准备过程、实际执行恢复、将 DC 与其复制伙伴同步并使其再次可用等等。如果灾难导致一个 AD 域中的所有 DC 瘫痪，那就够复杂的了；如果您的整个 Active Directory 林都受到影响，则恢复过程会更加漫长且更加复杂。请记住，Active Directory 崩溃的每一秒，您的业务都会崩溃。

这就是为什么投资专用的 Active Directory 备份和恢复解决方案至关重要。借助正确的解决方案，您可以显着减少 AD 停机时间，从而导致业务停机和财务损失。现实生活经验的报告包括一个组织将 AD 恢复时间从 6 天大幅削减，手动流程仅需 1 小时 15 分钟，而另一个组织则更换 AD 恢复工具并将 AD 恢复时间从 1-2 天减少到仅 1-4 小时— 通过从勒索软件攻击中更快地恢复，三年内可节省 1,970 万美元。当最高管理层审查您的网络安全预算时，这些数字肯定会引起他们的共鸣。

2023 年网络安全支出将是多少？

最后，让我们探讨网络安全预算的前景以及未来几年可能影响网络安全预算的主要趋势。一项研究显示，十分之九的组织的网络安全预算从 2022 年到 2023 年有所增加，并且预计从 2023 年到 2024 年还将增加。2022 年到 2023 年的增幅为 11%，预计未来平均增幅将达到 19%。 2023年至2024年预算周期。毫不奇怪，大多数首席执行官和首席信息安全官表示，他们可以将更多预算用于生产和有效利用——从两倍到三到五倍。

然而，另一份报告发现，由于全球不稳定和通胀压力等因素，网络安全支出的增长开始逐渐减少。报告指出，许多 CISO 甚至表示，作为整体预算紧缩的一部分，他们批准的 2023 年预算将被削减。在确实增加网络安全预算的组织中，80% 的组织表示预算增加是由安全事件、重大行业中断或其他极端情况引起的，这反映了上面讨论的反动思维倾向。

与网络安全支出相关的其他主要趋势包括：

• 勒索软件 - 勒索软件攻击持续猛增，从 2022 年到 2023 年，其频率几乎翻倍。因此，组织需要在其网络安全预算中纳入有效的勒索软件检测、预防和恢复解决方案。
• 云安全 - 随着组织将更多数据和工作负载迁移到云，云安全解决方案的支出将会增加。
• 物联网安全 - 同样，当组织采用物联网设备时，他们需要分配网络安全预算来了解和减轻其漏洞并监控周围的活动。
• 人工智能 (AI) 和机器学习 (ML) - 这些快速发展的技术正在被对手积极利用，他们现在可以用比以往更少的技术技能发起有效的攻击，因此组织需要调整其网络安全策略以降低风险。与此同时，人工智能和机器学习还可以改进威胁检测和响应解决方案，IT 团队将把这些解决方案纳入其网络安全预算请求中。
• 监管变化 - 各级政府正在颁布新的数据保护和数据隐私法规，并且正在修订现有的法规，提出更严格的要求和更严厉的处罚。组织将调整其网络安全预算以帮助确保合规性。
• 零信任安全模型——世界各地的组织正在采用零信任方法来实现网络安全。这种安全模型认为，任何用户或服务都不应被隐式信任，组织必须积极寻找可疑活动。零信任与网络弹性思维齐头并进，因为实施零信任模型可能会导致遭受轻微损害的有限黑客攻击或导致重要业务流程急速停止的重大事件。

结论

制定可靠的网络安全预算并获得批准并不是一个简单的过程。为了帮助确保成功，请务必获取有关当前 IT 风险状况的硬数据，并清楚地阐明这些 IT 风险如何直接转化为业务风险。将您的网络安全预算集中在影响最大的地方：您的第 0 层资产，尤其是 Active Directory 和 Entra ID，因为它们管理您的身份并控制对重要系统和数据的访问。最后，将您的思维从网络安全扩展到网络弹性，并将有效的 Active Directory 灾难恢复作为网络安全预算的核心部分。