資訊專欄INFORMATION COLUMN
摘要:計算結果根據計算公式緩解率安全措施的花銷安全措施的花銷,在和緩解率基本相等的情況下,的投資回報率要遠高于。對于中小企業來說,是投資回報率比較高的選擇。
任何企業對投資都有回報的要求,回報可能是直接的「利潤」,達到短期、長期的目標,或者通過投資減少損失。因此每個項目的決策者在每筆投資前都要衡量 ROI,證明該投資能達到的效果和收益,以便在項目結束時可以考核和衡量項目是否成功。
同時通過 ROI 的分析為下一筆預算請求,提供支持性的證據。不過信息安全投資的 ROI 分析,對每個決策者都是很艱難的事情。因為安全投資對大多數企業來說,并不能帶來非常直接的收益和利潤。
本文主要目的就是和決策者進行討論,希望通過一些簡單的工具和最佳實踐,簡化 ROI 評估,為決策者在進行信息安全投資時,提供一些決策依據。當然現在信息系統多種多樣,各種軟件和系統差異性非常大,單一通過簡單的工具無法覆蓋所有的可能性,但筆者相信這是一個非常有益的探索。
ROI:在任何企業或者個人投資,都是通過項目結束后對投資的效果和收益進行評估投資效果,在金融上來講叫做投資回報率(ROI)。ROI 通常是通過如下的公式來計算的: ROI = (收入- 投資總額) / 投資總額×100%。
舉個例子,張三負責投資項目,他和老板申請了2000元的啟動資金,張三和老板約定收入五五分成,項目結束后總共收入10000元,老板得到5000元,投資回報率計算如下 (5000 - 2000) / 2000 = 150%
安全投資回報率(ROSI):ROI 適用于所有投資,安全投資也不例外,安全投資決策者也需要知道信息安全投資的底線在哪里,哪些地方進行安全投資是收益最高的,哪些安全產品是投資回報率最高的。在信息安全投資領域,ROSI 能給決策者提供定量的指標:
是否對信息安全投資過度,造成浪費
信息安全缺乏是否會對企業收益造成影響
安全投資到什么程度就夠了
什么安全產品或者方案對企業有利
安全投資的一些困惑:傳統的投資回報率計算方式并不十分適合信息安全投資,安全投資并不能帶來利潤,它通常是防止公司財產損失,換句話說就是投資安全不要期望有利潤回報。因此計算信息安全投資回報率應該計算通過安全投資避免了多少損失。
安全成本效益示意圖
因此計算 ROSI 首先要能夠評估一項安全投資能避免什么樣潛在的安全風險(風險評估),然后根據定量的方法將這些風險帶來的損失,轉換成可以衡量的貨幣價值。
任何評估都是將大的任務分成可以度量的小單元,風險評估也是如此,安全風險可以分成以下幾個部分:
單一預期損失(SLE):就是一項網絡攻擊發生時預期會造成的損失,這里單指這項攻擊發生一次產生的損失。網絡威脅的特殊性,在計算損失時相對比較復雜,比如一臺筆記本丟了,不管要計算筆記本的價值,還應該加上購買成本,IT 支持,生產力的損失,聲譽,知識產權損失等等。
網絡攻擊事件的總成本應包括直接損失的成本(網站停機時間、硬件更換、數據丟失更換等)和間接損失成本(調查時間、聲譽損失、對圖像的影響等)
關于如何計算網絡攻擊對企業的具體損失,沒有統一的標準,具體的計算取決于企業的經營目標、文化價值觀和現有的安全措施等。還是用被偷的筆記本來說,對普通公司普通員工沒有什么機密在里面,損失也就是買機器的4000塊錢,但對于保密單位的電腦就可能損失一萬塊,甚至如果是知識產權,核心機密損失就無可估量。雖然計算損失的方式依賴的條件多種多樣,但是統一的計算方式還是非常重要的。
網絡威脅在一年中發生的概率(ARO):就是某種網絡威脅在一年中可能發生的概率和次數,這種評估也是根據具體的網絡環境和安全保護措施,也是根據經驗得出的一個估計得值。
例如洪水發生的概率是根據當地的地質條件和降水情況而定的。安全威脅發生的概率也是根據企業的成熟度,人員的安全意識和技能以及安全防護工具的完備性決定的決定的,比如軟件提供商通過嚴格的安全檢驗和測試,漏洞很少,那么漏洞攻擊發生的概率就小很多。再比如企業在每臺機器裝上最新反病毒軟件,那么被病毒感染的幾率就小很多。
每年網絡攻擊造成的損失(ALE):就是指特定的網絡攻擊在一年里可能給公司或者組織造成的潛在損失,計算公式:ALE = ARO * SLE
ROSI 主要是綜合定量預估的風險損失和部署安全措施的花銷。在最后比較ALE和實際通過部署安全措施挽回的損失,根據 ROI,ROSI 的計算公式如下:ROSI = (減少的損失 - 安全措施的花銷) / 安全措施的花銷。
使用有效的安全措施可以有效的減低 ALE:安全措施越得力,ALE 降低的越多,我們實際的收益就越高,實際的收益就是不使用安全措施的 ALE 和使用安全措施以后的 ALE(用 mALE 表示)之差。ROSI 公式可以改為: ROSI = (ALE - mALE - 安全措施的花銷) / 安全措施的花銷
還可以通過緩解率來計算,緩解率就是實施某個安全措施后減少攻擊的比例,ROSI 公式可以表示為:ROSI = (ALE * 緩解率 - 安全措施的花銷) / 安全措施的花銷
舉個例子:A 公司正在考慮投資一個防病毒解決方案。每年該公司遭受5個病毒攻擊(ARO = 5)。該組織估計,在數據和生產力損失的成本每攻擊約15000元(SLE = 15000)。實施防病毒解決方案預計將減少80%的攻擊(緩解率= 80%),實施成本25000(每年授權費1500 + 10000培訓、安裝、維護等)。
該解決方案的安全投資回報,可以通過計算如下:(5 15000) 0.8 - 25000 / 25000 = 140%
根據 ROSI 公式計算,這個反病毒解決方案是一個收益率非常不錯的解決方案。
總結: ROSI 的計算是基于3個變量:估計潛在損失(ALE),估計風險緩解,和解決方案的實施成本。如果解決方案的成本比較容易預測,所有間接成本都考慮進來,其他兩個變量也預估的比較正確,這樣 ROSI 就比較好算了。
根據 Gartner 的分析,80%的攻擊都是發生在應用層,應用層安全防護是當前的熱點。目前應用安全主要有 WAF 和 RASP 兩種解決方案,WAF 是比較成熟的解決方案,RASP 是最近兩年出現的新技術,首先對兩種技術的特點做簡單的介紹,然后從 ROSI 的角度對兩種解決方案進行評估。
WAF 設置在 Web 應用程序的前方,提前截獲發往 Web 應用程序的所有用戶請求,并根據預定義規則對其進行評估,查看其輸入內容是否可能攻擊應用程序。
要實現這個過程需要進行非常繁瑣的配置,而且通常 WAF 會設置「失效開放」開關以避免在高負荷情況下造成大量的誤殺以及對性能的過大影響 WAF 轉入「失效開放」狀態后會放行所有通信流量,不再進行監測,當然也不再為 Web 應用程序提供保護,而這正是 Web 應用程序最需要保護的時候。為使 WAF 在高負荷情況下也能正常工作,需要深入了解 Web 應用程序的哪些輸入中存在漏洞,這樣才能為這些輸入字段采取合適的保護措施。
RASP 技術的實現方式則完全不同,它將框架與底層代碼庫集成在一起,從源代碼級別為應用程序中易受攻擊的區域提供保護。當客戶端發出一個函數調用,而調用中的參數可能會傷害 Web 應用程序時, RASP 會在運行時截取該調用,然后根據具體配置,對該次調用進行記錄或阻止。這種保護方法與 WAF 有著本質的區別。
首先考慮成本
根據 WAF 的特點一個企業一般最少需要一臺,根據網上價格:1000M 大概在20萬左右,一臺機器估計能用5年。WAF 配置復雜,專業的管理員大概一年費用在10萬(兼職)。 加上每年的服務費,使用 WAF 最低一年20萬人民幣。
RASP 現在公開報價的 HP 和 OneRASP 一個探針大概一個月800月,一個中型企業大概有20臺服務器折后大概在10萬元左右,而 RASP 沒有復雜的配置由IT管理員兼任就可以,RASP 成本大概是10萬元每年。
能減少的損失
WAF 和 RASP 都可以抵御 Web 網絡攻擊,RASP 具備 WAF 沒有的特點,除了 Web 應用程序還可以保護應用程序,不可繞過,沒有防御盲點等。所以兩者的 ALE 和緩解率基本相同,RASP 略高。
ROSI計算結果
根據 ROSI 計算公式: ROSI = (ALE * 緩解率 - 安全措施的花銷) / 安全措施的花銷, 在ALE和緩解率基本相等的情況下,RASP 的投資回報率要遠高于 WAF。企業安全決策者在選擇應用安全防護時不妨考慮一下 RASP,尤其是在安全方面預算有限的企業。RASP 雖然產品化時間較短,但這幾年成長速度非常快,在國外 Waratek 和 HP 比較有名,國內現在有 OneRASP。
當然在預算比較充裕的情況下,最理想的選擇是將 WAF 和 RASP 結合起來使用。對于中小企業來說,RASP 是投資回報率比較高的選擇。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11153.html
摘要:特定的應用特點與特定的部署模型相關,企業開始根據應用工作負載級別進行公有云和私有云的權衡。私有云環境實現云經濟需要大的不同的使用基礎,高標準化的費用,一個普遍的退單系統,積極的容量規劃和整合實踐。 對于企業而言,云服務的自主權、敏捷性和生產力是他們選擇的主要標準,通過運維私有云迎合他們的需求可以獲得很高的效率。技術管理團隊應該致力于將私有云價值較大化來服務于市場,Forreste在此介紹了私...
摘要:以年輕人為例,他們使用社交媒體的頻率最高,也是對投資期限和回報率最為敏感的人群。此外,也不利于網絡表情包的傳播。在社交網絡中,社會資本回報率的梯度,往往可以主導你在不同人群中的市場份額。否則,就會出現社會資本不平等。 本文作者 Eugene Wei 是 Amazon 戰略部門的第一位分析師,后來還擔任過 Flipboard, Hulu, Oculus 的產品負責人。 原文標題是 ...
摘要:新的消費者體驗在技術發生變化的同時,零售行業和其他面向消費者的行業也在不斷發展。除了這些角色之外,新的消費者體驗還將創造新的工作類型。但鋰離子電池的維修率非常低,并且提供遠程管理。安全問題面向消費者體驗的另一個重要因素是安全性。施耐德電氣IT部門邊緣計算副總裁Jamie Bourassa表示,零售企業和其他面向消費者的組織必須在傳統IT的舒適區之外提供新的應用程序、可靠性和安全性。零售行業的...
摘要:據預測,至年,中國數據中心的市場規模將接近億元。整體上,我國產業呈現出明顯的東熱西冷格局,據工信部統計,年北上廣深等城市的數據中心上架率已到達,而部分西部地區上架率長期在以下。數據量和計算量呈指數爆發的今天,作為當今世界信息技術的前沿性、基礎性產業,數據產業已被提升至國家戰略層面,成為政府和企業炙手可熱的投資熱點之一。據了解,2017年,全球IDC市場規模為534.7億美元,同比增長18.3...
閱讀 4933·2021-11-25 09:43
閱讀 1185·2021-11-24 09:38
閱讀 1891·2021-09-30 09:54
閱讀 2799·2021-09-23 11:21
閱讀 2366·2021-09-10 10:51
閱讀 2367·2021-09-03 10:45
閱讀 1163·2019-08-30 15:52
閱讀 1765·2019-08-30 14:13
