本来就没钱，你还掉进成本陷阱里？

许多CISO都难以理解，安全供应商为什么要在他们的产品上设计出复杂的计费结构。网络安全顾问、欧盟网络安全署（ENISA）咨询小组成员Brain Honan表示：“当下很多产品的计费结构都非常复杂。一些解决方案的基础版本看起来很有吸引力，但一旦运用至更高级的功能，就会要求额外收费。这并不罕见，但问题在于，高级功能的收费标准会变得很复杂。”

安全信息和事件管理（SIEM）和安全运营中心（SOC）解决方案就是最典型的例子。这些工具的初始购买成本相对较低，但随着存储的数据量、追踪的事件、分析的流量和监控的端点在不断增加，相关定价也会出现跳跃式飞升。

信息安全论坛（ISF）的分析师Paul Watts对此表示赞同：“安全产品和服务的这些额外开销，可能还包括了许可、维护和支持成本。比如当下的CISO们承担了越来越多的安全职能，像SOC和基础设施等，CISO们会发现自己在维护和支持成本上投入了过多的精力和时间，而实际上这些成本应该归属于CIO/CTO，特别是当预算被严格分配时。”

Grand Canyon Education公司的Mike Manrod建议道：“在决定购买任何网络安全服务或与第三方合作之前，CISO应该询问并仔细评估所有潜在的成本，最好是以最低的价格成交。特别是当产品只是一个全新的增加项，或更多只涉及知识产权而不是实物产品时，二者之间应该有更大的谈判空间。”

Manrod表示，对于服务来说，最终的破解方法是坚持每一款新产品都用大量的专业服务来实现。比如安排组织中最优秀的员工负责对接，并让对面安排专业的服务工程师进行指导，第三方服务工程师应该站在支持该产品和解决问题的立场上。这样，只要组织安排了合适的员工，这些员工就会成为专家，一旦流程顺利，就能培训出多名后备人员，并创造一种文档和持续的安全员工文化。“你可以想象，通过这种做法，在过去的六年里，我为自己的组织节省了多少钱。”

另一方面，可以在新型安全产品上与之协商更合理的价格。“比如当一些做浏览器隔离的供应商报价荒谬时，我们就会耐心和他们说：如果我们的CapEx小时数和你们的收费相等，那我们就干脆建立自己的GitHub项目，并免费提供给其他人。这对供应商来说显然是一个非常严峻的现实考验，定价因此就能变得更加合理。”

CREST英国委员会成员Dave Allan表示，安全产品与服务的复杂收费结构只是潜在成本的难题之一，还有一个要考虑的因素是有效运行它们的内部成本，这点常常会被忽视。以SIEM为例，SIEM虽然是一个有效的安全工具，但为了合规，组织常常需要管理大量的数据存储，因此就会投入大量的时间与资源。“其他还有员工培训、维护、增加用户和处理误报等环节，所有这类成本可能都不包括在初始成本的结算中。”

渗透测试服务和开源解决方案也是典型的例子。使用渗透测试时，同样需要考虑内部所需的时间和资源，任何潜在停机时间对业务的影响，以及分析报告所需的时间和任何所需的安全措施成本。而虽然开源解决方案经常被吹捧为“商业工具中最具成本效益”的替代方案，但它们并不一定会为安全团队节省成本。“实施、管理、集成和支持解决方案的持续成本，往往会体现在招聘具备所需技能的员工或与外部专业人士的合作上。”

服务重叠、功能重复也会增加大量的安全预算。云服务提供商Nasstar的CISO Nick Trueman表示：“为这些重复的安全功能买单，从财务角度来说是不划算的，这会加重预算压力。同时，这也可能导致集成难题，即协调多个相似功会导致复杂性和操作性的增加。”

CISO应该全面审查并识别当前所有的安全供应商，以及他们所提供的服务，同时评估这些服务的有效性，看是否符合企业的安全要求，如果发现有重复的功能，可以考虑将服务整合到单一的供应商之下，或者与供应商协商以消除冗余。

关于冗余问题，CISO们经常会为无法实现预期效益的工具买单，这严重影响了安全预算。Qualys的CIO Paul Baird表示，CISO们可能会遇到这样的情况，就是他们投资的安全工具或技术尽管在初期看上去很有潜力，但几年后会发现，这些工具未能提供预期的价值或投资回报（ROI）。

这涉及几个原因，比如与现有系统的集成不足、用户接受程度有限，或者这些工具未能有效地解决组织特定的安全需求。这类成本会增加安全预算，导致资源会从更有效的安全措施上转移，最终损害组织整体的安全态势。Baird说：“我见过CISO们在预算中找到一些项目，这些工具要么被束之高阁，要么无法充分发挥其潜力。因此，为了跟上威胁的更新速度，我们不得不疲于奔命，这使得安全部门很难领先于各类风险趋势。”

CISO们会有一种“深究支出”的购买习惯，即在未经证实使用案例、未检查现有解决方案是否能够解决风险的情况下，就更新工具或购买新产品。ReliaQuest的CISO Rick Holland对此表示，这会导致出现大量冗余且不必要的安全控制，并使得安全运营复杂化。而企业需要调和所有的投资，以确保它们与组织的威胁模型相关，同时尽可能降低风险。

“例如，如果组织所处的行业网站可用性对创收影响不大，那么就要考虑，组织是否需要续订DDoS缓解服务？DDoS攻击的可能性和影响是否足够低，以至于有限的资源可以投向其他方向？”

Honan在审查安全工具的经验中发现，组织常常会不知道，所需的功能已经包含在组织曾购买的原始产品中了。比如，许多现代操作系统都内置了安全功能，像磁盘加密等。“所以，可以投资一个产品工程师来审查组织的配置，确保组织已正确地实施了解决方案，这可以避免CISO购买重复的工具。”

某些CISO可能会遇到这样的成本陷阱——供应商锁定。底层逻辑是这样的：为使解决方案有效运行，所投入的资金、时间和资源最终可能会大大高于最初的预期，这就导致了CISO不愿转向替代产品或平台，因为他们会觉得这对投资而言是一种损失，同时迁移成本会很高。

Honan说：“当一个安全功能或流程已经外包给第三方时，即使有更划算的解决方案可用，CISO们也不愿再更换，因此就导致了更高的持续成本。”

Watts表示，CISO在实施一项跨领域、以中心为主的安全措施时，如果默认“措施有效，将会被整合到业务预算中”，那么隐性成本也会悄悄增加。“这会变成一项持久的常规业务活动，此时若想将运行成本重新分配给整个企业，又有谁愿意配合呢？因此这项成本就会一直挂在安全部门的预算下。这会让CISO感到烦恼，特别是这项预算如果与中央安全成本的描述不相符。”

组织在业务优先级上的错配可能会导致成本增加。当高层和其他部门的战略目标与安全部门的安全优先事项不一致时，通常会出现这种错配。

Baird表示：“这会引发预算分配方面的争议。CISO会和其他部门发生争执，以证明其预算要求的合理性，不然就会妥协。而妥协的后果是无法充分满足组织的安全需求，这会导致在安全事件或违规行为发生时，组织又要面临额外的支出。当然，组织可能会为了应对当前威胁而被动地分配资源，这通常会带来额外费用。这种被动的方式可能会让预算变得紧张，且无法提供全面长期的安全策略。”

Manrod表示，有时公司和安全负责人在这方面都缺乏远见，比如为了季度利益去走最简单的路线，这样的做法虽然一年内可能不会有任何后果，但五年后可能就会带来灾难性的结局。“因此，如果想解决这个问题，组织就必须倾向于更长久的思考。”

在推动安全计划时，最关键的因素是得到高层和其他部门的支持，它为安全部门持续开展工作提供了空间。“安全部门能保证一定成功吗？能保证绝不被黑客攻击或绝没有数据泄露吗？根本不可能。因此，其他部门和安全部门的目标应该是一致的，尽可能地降低风险，同时为组织带来更多的收入。所以，CISO需要将安全优先事项与组织的战略目标保持一致，并定期评估安全投资绩效，以确保合理的资源分配。这样才能让组织更好地运营，同时安全部门也能更好地运作下去。”

对于影响网络安全预算的成本陷阱有哪些？国内安全专家如此建议。

知乎相关专家“ji ant”表示，网络安全作为甲方的成本支出项，在预算初期和最后实际支出之间存在着一定差异，主要包括政策因素，技术因素和人员因素。

政策因素来说，从周期上看，网络安全的预算从申请到落地，中间存在一定的时间间隔，所以如果周期可控、规模适合，那么成本预算受政策影响就会很小。因为短期政策变动的可能性虽然存在，但对项目总体成本影响不会太大。而如果项目整体跨越一定周期，那就要考虑政策变化可能。因为一旦涉及重点项目，就必须考虑项目实施后的验收需要满足的政策合规性，这部分会随着政策的变化，存在成本变化的可能性和不可预知性。

技术因素来说，网络安全中涉及的产品不仅有硬件、软件，同时还有服务。硬件通常属于标准产品，价格变化最大的可能性在于供货链的成本价格变化，这会导致后续总体项目的成本存在变化。服务类项目，主要看所需要技术人员的总体水平，这点会影响整体成本支出，因为涉及技术人员的水平，会影响成本总体支出。

人员因素来说，网络安全最后可能出现坑的地方，就是人员部分。随着网络安全项目实施，从运营到运维一体，都要考虑整体周期的情况，即人员配比、现场支持、配套跟进、迭代更新，这都会增加成本支出的不可预测性。

另一位知乎相关专家“安全随谈”表示，在别人看来重复的安全服务是会加大支出的成本，但通过不同的安全服务、人员交叉测试，会把安全问题发现覆盖得更全。同时也可以把漏洞影响给公司造成损失的比例，作为衡量支出的一部分因素。在安全的角度，“安全随谈”觉得只能做到相对安全，也就是当攻击成本大于获利成本时，系统就是相对安全的；相对于防护成本也是一样的，当防护成本大于系统所能带来的效益时，就过度防护了。

当然这上面也肯定会有铺张浪费的情况，比如一个没有任何价值的门户网站，均是静态页面，没有任何利益，那么只要做好安全防护就可以了，不需要全面安全测试。其次，在评估成本时，我们更多考虑的是覆盖外网系统，优先提高外网系统的安全性。

“另外，我觉得还有一个最大的成本输出， 那就是内网的各种安全审计、基线核查和漏扫系统。对于中小公司而言，这部分基本上是没有必要的成本，往往只是为了满足要求，真正能用上的很少，出现问题时也不能进行防护，还需要人工分析和追踪。要知道，这种一定程度上后知后觉的防护方式，如果不是在配备了足够多专业人员的前提下，是真的没什么必要。至于漏扫系统等，其实很多时候也都不怎么能发现安全问题。”

建议方面，“安全随谈”表示，可以在完善各个环节的安全体系建设时，评估当前公司各个方面的安全性：哪些是需要迫切解决的安全问题，哪些是严重但不紧急的安全问题，哪些是不严重但又存在较大安全风险的问题等，并对此做出汇总和分类。因为只有根据现状逐步建设，才不会造成太多的成本浪费。“要明白固若金汤的安全壁垒非一日之功，当然，还需要企业内部各方的支持，才能构建更完善更稳定的安全体系。”

某金融企业安全专家覃阳青表示，他认为影响网络安全预算的成本陷阱还是非常多的，因此大致总结了几个比较重要的因素：

（1）没有充分识别安全需求。需求识别和分析不充分，项目的目标不明确，就无法定位到关键领域需求，造成关键需求未实现或重复投资，以及预算评估不准确；

（2）依赖单一或有限的供应商。太过依赖有限的供应商，其实就是依赖有限的安全解决方案或产品，可能会忽视了其他解决方案与企业特性的适配性，解决方案的先进性以及产品能力的可扩展性等问题，造成依赖性和可落地性风险；

（3）缺少充分的测试验证。厂商在推广自身产品时，更多地介绍自身产品特点，并期望通过引导甲方人员思维往自身产品方向靠拢；或者厂商销售人员为了拿下项目，做了一些不负责任的承诺，导致引入产品后发现未能实际满足需求，或承诺的能力未实现；

（4）过度/盲目地追捧新技术。新技术的应用必须经历市场多年的打磨与验证，才会趋向成熟，而新技术在理论上有很大程度可解决当前很多无法解决的问题。盲目和过度地追捧新技术，则会增加产品运营和运维等成本；

（5）未全面考虑未来的发展。缺少定期安全评估，无法发现现有的威胁，可能关注不到未来几年的发展规划，对未来安全能力补充和技术发展所需的预算投入评估不到位，未来预算的灵活性将受到限制。