在網絡安全方面，業(yè)界一直在試圖理解影響企業(yè)安全風險真正成本的復雜因素。作為一名首席信息安全官（CISO），我每天都要面對這些多方面的困境，跟業(yè)界其他人士一樣試圖確定保護公司富有價值資產的最佳安全投資。從現(xiàn)實角度來說，我如何才能預測未來五到十年的網絡安全格局，甚至是未來一周的網絡安全格局呢？

　　首席信息安全官需要對網絡安全威脅方面有更多洞察力，我們的工作就是確保我們所在組織機構的安全。此外，我們還要向高級管理層演示確保網絡安全以及高效網絡安全投資的重要性。為了實現(xiàn)這一點，我們需要某種框架，某種定制化戰(zhàn)略和建議來分配我們的安全支出。

　　為了滿足這些需求，瞻博網絡委任蘭德公司的經濟學家和安全專家開展了一項研究，對影響組織機構網絡風險成本的主要因素進行了探索。去年，我們與蘭德公司一道開展了一項研究，對網絡攻擊者的經濟現(xiàn)實進行了調查，發(fā)現(xiàn)網絡黑市已經達到了前所未有的成熟度。現(xiàn)在我們對威脅格局有了更加清晰的了解，于是我們反過來對防御者的經濟現(xiàn)實進行了分析。

　　研究結果有助于我們對網絡安全成本的動態(tài)進行更好理解并掌握防御方面的經濟驅動因素和挑戰(zhàn)。蘭德公司的報告顯示，很多公司在投資方面很可能沒有采用最優(yōu)的經濟戰(zhàn)略，在安全方面投資較少，在防御機制方面投資較多，并且沒有感到網絡更加安全。由此可見，攻擊者的經濟演算是清晰的，而防御方面則面臨著一個更加模糊不清、混沌的環(huán)境。

　　為了跟上最新網絡威脅的步伐并對未來的形勢進行預測，很多首席信息安全官可謂是夜不能眠。不過，通過往后退一小步，重新專注于對風險進行管理，而不是試圖對威脅進行管理，這將有助于提供一個更加清晰的未來路徑。確定計劃并不容易，決定如何在企業(yè)范圍內對安全投資進行合理準確的分配也絕非易事--我對此深有體會。幸運的是，現(xiàn)在我可以說，終于有東西可以幫助我們開始這方面的對話了。

　　蘭德公司根據(jù)其研究結果開發(fā)出了一個史無前例的啟發(fā)式模型，可以作為一個學習工具，更好地理解影響安全風險管理成本的主要因素，如何決定最佳投資，并且提供了對網絡安全風險進行整體管理所需的知識。

　　為了讓人們能夠更好地理解這一模型，瞻博網絡對這一啟發(fā)式模型進行了闡釋，打造了一個交互工具來講解模型的關鍵因素并提供定向投資指導。這為首席信息安全官提供了一個出發(fā)點來定向理解為保護組織機構可以做出的一系列決定并確定應該關注的領域和投資的方向。

　　蘭德公司的模型顯示，在未來十年，各類企業(yè)對網絡安全風險進行管理的成本將增加38%。現(xiàn)在是時候對安全風險進行更好管理了，并且要系統(tǒng)性地確定安全投資應該用在什么地方，從而創(chuàng)造一個更加安全的網絡。

　　關于作者

瞻博網絡首席信息安全官 Sherry Ryan