在網(wǎng)絡(luò)安全方面，業(yè)界一直在試圖理解影響企業(yè)安全風(fēng)險(xiǎn)真正成本的復(fù)雜因素。作為一名首席信息安全官（CISO），我每天都要面對(duì)這些多方面的困境，跟業(yè)界其他人士一樣試圖確定保護(hù)公司富有價(jià)值資產(chǎn)的最佳安全投資。從現(xiàn)實(shí)角度來(lái)說(shuō)，我如何才能預(yù)測(cè)未來(lái)五到十年的網(wǎng)絡(luò)安全格局，甚至是未來(lái)一周的網(wǎng)絡(luò)安全格局呢？

　　首席信息安全官需要對(duì)網(wǎng)絡(luò)安全威脅方面有更多洞察力，我們的工作就是確保我們所在組織機(jī)構(gòu)的安全。此外，我們還要向高級(jí)管理層演示確保網(wǎng)絡(luò)安全以及高效網(wǎng)絡(luò)安全投資的重要性。為了實(shí)現(xiàn)這一點(diǎn)，我們需要某種框架，某種定制化戰(zhàn)略和建議來(lái)分配我們的安全支出。

　　為了滿足這些需求，瞻博網(wǎng)絡(luò)委任蘭德公司的經(jīng)濟(jì)學(xué)家和安全專(zhuān)家開(kāi)展了一項(xiàng)研究，對(duì)影響組織機(jī)構(gòu)網(wǎng)絡(luò)風(fēng)險(xiǎn)成本的主要因素進(jìn)行了探索。去年，我們與蘭德公司一道開(kāi)展了一項(xiàng)研究，對(duì)網(wǎng)絡(luò)攻擊者的經(jīng)濟(jì)現(xiàn)實(shí)進(jìn)行了調(diào)查，發(fā)現(xiàn)網(wǎng)絡(luò)黑市已經(jīng)達(dá)到了前所未有的成熟度�，F(xiàn)在我們對(duì)威脅格局有了更加清晰的了解，于是我們反過(guò)來(lái)對(duì)防御者的經(jīng)濟(jì)現(xiàn)實(shí)進(jìn)行了分析。

　　研究結(jié)果有助于我們對(duì)網(wǎng)絡(luò)安全成本的動(dòng)態(tài)進(jìn)行更好理解并掌握防御方面的經(jīng)濟(jì)驅(qū)動(dòng)因素和挑戰(zhàn)。蘭德公司的報(bào)告顯示，很多公司在投資方面很可能沒(méi)有采用最優(yōu)的經(jīng)濟(jì)戰(zhàn)略，在安全方面投資較少，在防御機(jī)制方面投資較多，并且沒(méi)有感到網(wǎng)絡(luò)更加安全。由此可見(jiàn)，攻擊者的經(jīng)濟(jì)演算是清晰的，而防御方面則面臨著一個(gè)更加模糊不清、混沌的環(huán)境。

　　為了跟上最新網(wǎng)絡(luò)威脅的步伐并對(duì)未來(lái)的形勢(shì)進(jìn)行預(yù)測(cè)，很多首席信息安全官可謂是夜不能眠。不過(guò)，通過(guò)往后退一小步，重新專(zhuān)注于對(duì)風(fēng)險(xiǎn)進(jìn)行管理，而不是試圖對(duì)威脅進(jìn)行管理，這將有助于提供一個(gè)更加清晰的未來(lái)路徑。確定計(jì)劃并不容易，決定如何在企業(yè)范圍內(nèi)對(duì)安全投資進(jìn)行合理準(zhǔn)確的分配也絕非易事--我對(duì)此深有體會(huì)。幸運(yùn)的是，現(xiàn)在我可以說(shuō)，終于有東西可以幫助我們開(kāi)始這方面的對(duì)話了。

　　蘭德公司根據(jù)其研究結(jié)果開(kāi)發(fā)出了一個(gè)史無(wú)前例的啟發(fā)式模型，可以作為一個(gè)學(xué)習(xí)工具，更好地理解影響安全風(fēng)險(xiǎn)管理成本的主要因素，如何決定最佳投資，并且提供了對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行整體管理所需的知識(shí)。

　　為了讓人們能夠更好地理解這一模型，瞻博網(wǎng)絡(luò)對(duì)這一啟發(fā)式模型進(jìn)行了闡釋?zhuān)�打造了一個(gè)交互工具來(lái)講解模型的關(guān)鍵因素并提供定向投資指導(dǎo)。這為首席信息安全官提供了一個(gè)出發(fā)點(diǎn)來(lái)定向理解為保護(hù)組織機(jī)構(gòu)可以做出的一系列決定并確定應(yīng)該關(guān)注的領(lǐng)域和投資的方向。

　　蘭德公司的模型顯示，在未來(lái)十年，各類(lèi)企業(yè)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行管理的成本將增加38%�，F(xiàn)在是時(shí)候?qū)Π踩�風(fēng)險(xiǎn)進(jìn)行更好管理了，并且要系統(tǒng)性地確定安全投資應(yīng)該用在什么地方，從而創(chuàng)造一個(gè)更加安全的網(wǎng)絡(luò)。

　　關(guān)于作者

瞻博網(wǎng)絡(luò)首席信息安全官 Sherry Ryan