2023年，自斯诺登事件以来全球CISO首次面临预算增速放缓甚至缩减。一方面，网络安全威胁和企业数字化转型业务安全保障需求不断增长;另一方面，CISO需要“平地抠饼”、降本增效，根据IANS Research最新公布的研究报告，伴随全球经济衰退预期和通胀压力的持续，2022-2023年预算周期的网络安全预算增速同比下降了65%。

与预算紧缩和人员短缺作斗争，已经成为当下CISO面临的主要挑战。而充分认识和规避网络安全支出中的“成本陷阱”，是CISO应对该挑战最有效的方法。

网络安全投资往往暗藏成本陷阱，这些陷阱一开始可能并不明显，但会随着时间的推移悄悄消耗网络安全部门的宝贵预算。本文，我们将揭示七个网络安全成本陷阱，即便是经验丰富的CISO也未必能完全躲过这些陷阱：

安全产品和服务的收费结构往往很复杂。基础版本的价格可能相对合理，但更高级的功能可能需要额外付费。

在购买任何安全产品或服务之前，应仔细评估所有可能的附加成本。

应利用谈判策略来降低产品和服务的价格。

考虑内部运行成本，例如员工培训、维护和管理大量数据。

使用开源解决方案时，也需要考虑实施、管理和集成的成本。

避免购买提供重复功能的服务。

评估现有安全提供商的有效性，并根据业务需求进行调整。

在购买新工具或服务之前，首先评估现有解决方案是否已满足需求。

避免购买与组织的威胁模型不符的投资。

避免因初期投资而使自己陷入某个供应商的锁定，导致后期难以更换产品或平台。

确保安全投资与企业的战略目标和业务优先级保持一致。

避免由于优先级不一致导致的预算分配争议和由此产生的意外成本。

CISO应该时刻警惕上述成本陷阱，通过有效的策略和计划，确保安全投资的合理性和效益。

以下，我们详细介绍如何避免掉入网络安全的“成本陷阱”：

许多CISO迷失在错综复杂的网络安全产品计费结构中。“现在许多产品都有非常复杂的计费结构，而基础版本的解决方案可能看起来相对有吸引力，但更高级的功能，通常是CISO所需的功能，一般会额外收费”欧洲联盟网络安全局(ENISA)顾问组成员Brain Honan指出。

这在安全信息和事件管理(SIEM)或安全运营中心(SOC)解决方案中相当常见，其中工具或平台的初始购买相对较便宜，但随着存储的数据量、跟踪的事件、分析的流量或监视的终端数量的增加，相关价格可能会大幅上升。

信息安全论坛(ISF)的杰出分析师Paul Watts指出，安全产品和服务的额外费用也可能包括许可、维护和支持成本，此外CISO承担了很多本应由CTO/CIO承担的成本："我听说过CISO负责更多的安全功能，如SOC和基础设施，发现他们承担了本应由CIO/CTO承担的支持和维护成本，特别是如果预算线相当紧密地结合在一起。"

在决定购买任何网络安全服务或与第三方合作之前，CISO应询问并仔细评估相关的所有潜在额外成本。“这是为了优化供应商谈判策略，为产品和服务争取最低的合理价格，”Grand Canyon Education的CISO Mike Manrod说。特别是当购买新产品，建立全新的合作关系，或涉及知识产权而非实物产品的成本场景时，通常有很大的谈判空间。

“关于服务，最重要的窍门是坚持要求厂商为每个新产品的实施都提供充分的专业服务，让企业安全团队中最优秀的人员亲自操作，由厂商的专业服务工程师远程指导。” Manrod说：“如果你选择了正确的内部人员，他们将成为专家，然后让他们培训一个备份人员，并创建文档和持续知识传递的文化。过去的6年中，这种方法为我们节省了很多钱。”

Manrod表示，另一个考虑因素可以帮助谈判更合理的新安全产品价格。“例如，当一些远程浏览器隔离供应商报价过高时，我会告诉供应商这个报价足够我们自行开发一个功能类似的开源项目。“

安全产品和服务复杂的成本结构只是网络安全隐性成本的一部分。另一件需要考虑的事情是有效运行安全产品的内部成本，这一点经常被忽视。以SIEM为例，CREST英国理事会成员Dave Allan指出，SIEM显然是一个有效的安全工具，但出于合规目的，企业需要管理和保留大量数据，这意味着需要投入大量的存储资源和时间。“考虑员工培训、维护、添加用户和处理误报等因素也很重要——所有这些因素可能不会包含在初始成本分析中。”Allan说道。

渗透测试服务和开源解决方案也是如此。在使用渗透测试服务时，企业还必须考虑内部所需的时间和资源、任何潜在停机对业务造成的成本、分析报告所需的时间以及实施所需安全措施的成本。

开源解决方案虽然经常被看作是商业安全工具的经济高效替代品，但也不一定能为网络安全团队节省成本。“实施、管理、集成和支持解决方案会产生持续成本，例如招聘相关专业人才或聘请外部专家时产生意想不到的成本。”

重复功能和重叠服务是另一种常见的网络安全预算超支原因。云服务提供商Nasstar的首席信息安全官Nick Trueman表示：“为重复的安全功能付费往往导致预算紧张。还可能导致集成方面的问题，协调和集成提供类似功能的多个厂商的产品会导致复杂性和互操作性问题。”

CISO应进行全面审查当前所有安全提供商提供的服务。“评估其有效性以及是否符合业务的安全要求，如果发现重复功能，请考虑将服务整合到单个提供商下或与提供商协商以消除冗余。

CISO往往会为无法带来预期收益的冗余或无效工具付费，从而严重影响安全预算和覆盖计划。Qualys首席技术安全官Paul Baird表示，CISO经常会遇到这样的情况：他们投资的安全工具或技术无法兑现最初的承诺，或提供预期价值及投资回报(ROI)。

发生这种情况的原因有多种，包括与现有系统集成不足、用户采用率不高或工具无法有效满足企业的特定安全需求。此类投资可能会导致安全预算紧张，并占用更有效的安全措施的资源，最终损害企业的整体网络安全态势。

在购买新产品之前确定现有解决方案是否可用。

ReliaQuest首席信息安全官Rick Holland表示，CISO有过度采购的历史，他们更新工具并购买新工具，而不验证用例或检查现有解决方案是否已经能满足需求。这导致工具蔓延和大量冗余且可能不必要的安全控制，从而使安全运营变得复杂。企业需要协调所有安全投资，以确保与企业的威胁模型相关并最大限度地降低风险。

例如，如果企业所处的行业不属于网站可用性对于创收至关重要的垂直行业，是否仍然有必要续订基于云的分布式拒绝服务(DDoS)缓解服务?

根据Honan在组织中审查安全工具的经验，企业往往会为同一个功能购买两到三个产品，仅仅是因为企业不知道他们购买的原始产品中已经提供了所需的所有功能。例如，许多现代操作系统都有内置的安全功能，例如磁盘加密，如果实施这些功能，可以消除对第三方解决方案的要求。

降低此类成本的关键是招聘一名产品工程师来审查安全配置并正确实施解决方案，这可以帮助CISO省去购买新工具以及与集成和管理该工具的相关成本。

一些CISO可能会陷入的另一个成本陷阱是供应商锁定。为了使解决方案有效发挥作用而投入的金钱、时间和资源最终可能会大大高于最初的预期。这导致很多CISO不愿意迁移到替代产品或平台，因为他们可能觉得这样做投资会损失，或者迁移成本过高。

Honan 表示：“当安全功能或流程外包给第三方或云服务时，情况尤其如此，即便成本不断升高，企业仍然不愿意迁移到成本效益更好的解决方案。”

安全投资与企业战略和业务优先级不一致可能导致CISO无法获得足够的预算实施有效的长期战略，而当企业高管和各部门主管的战略目标和观点与CISO的网络安全优先事项不一致时，通常会导致“意外成本”。

“当出现这种不一致时，可能会导致预算分配方面的争议，”Baird指出：“CISO在与其他部门竞争预算时需要证明其预算请求的合理性，而CISO的任何妥协可能会导致企业安全需求无法得到充分满足，从而导致企业在响应安全事件或数据泄露时的意外支出。”

“企业可能会被动地分配资源来解决眼前的威胁，这通常会在未来产生意外成本。这种被动投入的方法可能会导致安全预算紧张，无法提供全面且更具成本效益的长期安全策略。”

Manrod表示，有时企业和安全领导者在这方面都是短视的，在一个季度内采取最简单的安全措施，这可能在一年内产生中性结果，但在五年内可能会产生灾难性结果。“真正解决这个问题需要做长远规划。”

因此，CISO需要将其安全优先级与企业的战略目标保持一致，并定期评估安全投资的绩效，以确保资源得到有效分配，并且安全覆盖计划有效且具有成本效益。

当然，最重要的是，CISO需要在企业中有足够长的任期，并得到其他高管的认同和支持。