227
在安全層麵,企業如何獲得更好的投資回報率 ROI?
前言
任何企業對投資都有回報的要求,回報可能是直接的「利潤」,達到短期、長期的目標,或者通過投資減少損失。因此每個項目的決策者在每筆投資前都要衡量 ROI,證明該投資能達到的效果和收益,以便在項目結束時可以考核和衡量項目是否成功。
同時通過 ROI 的分析為下一筆預算請求,提供支持性的證據。不過信息安全投資的 ROI 分析,對每個決策者都是很艱難的事情。因為安全投資對大多數企業來說,並不能帶來非常直接的收益和利潤。
本文主要目的就是和決策者進行討論,希望通過一些簡單的工具和最佳實踐,簡化 ROI 評估,為決策者在進行信息安全投資時,提供一些決策依據。當然現在信息係統多種多樣,各種軟件和係統差異性非常大,單一通過簡單的工具無法覆蓋所有的可能性,但筆者相信這是一個非常有益的探索。
基本概念介紹
ROI:在任何企業或者個人投資,都是通過項目結束後對投資的效果和收益進行評估投資效果,在金融上來講叫做投資回報率(ROI)。ROI 通常是通過如下的公式來計算的: ROI = (收入- 投資總額) / 投資總額×100%。
舉個例子,張三負責投資項目,他和老板申請了2000元的啟動資金,張三和老板約定收入五五分成,項目結束後總共收入10000元,老板得到5000元,投資回報率計算如下 (5000 - 2000) / 2000 = 150%
安全投資回報率(ROSI):ROI 適用於所有投資,安全投資也不例外,安全投資決策者也需要知道信息安全投資的底線在哪裏,哪些地方進行安全投資是收益最高的,哪些安全產品是投資回報率最高的。在信息安全投資領域,ROSI 能給決策者提供定量的指標:
- 是否對信息安全投資過度,造成浪費
- 信息安全缺乏是否會對企業收益造成影響
- 安全投資到什麼程度就夠了
- 什麼安全產品或者方案對企業有利
安全投資的一些困惑:傳統的投資回報率計算方式並不十分適合信息安全投資,安全投資並不能帶來利潤,它通常是防止公司財產損失,換句話說就是投資安全不要期望有利潤回報。因此計算信息安全投資回報率應該計算通過安全投資避免了多少損失。
安全成本效益示意圖
ROSI 計算方法論
因此計算 ROSI 首先要能夠評估一項安全投資能避免什麼樣潛在的安全風險(風險評估),然後根據定量的方法將這些風險帶來的損失,轉換成可以衡量的貨幣價值。
風險評估的基本概念
任何評估都是將大的任務分成可以度量的小單元,風險評估也是如此,安全風險可以分成以下幾個部分:
-
單一預期損失(SLE):就是一項網絡攻擊發生時預期會造成的損失,這裏單指這項攻擊發生一次產生的損失。網絡威脅的特殊性,在計算損失時相對比較複雜,比如一台筆記本丟了,不管要計算筆記本的價值,還應該加上購買成本,IT 支持,生產力的損失,聲譽,知識產權損失等等。
網絡攻擊事件的總成本應包括直接損失的成本(網站停機時間、硬件更換、數據丟失更換等)和間接損失成本(調查時間、聲譽損失、對圖像的影響等)
關於如何計算網絡攻擊對企業的具體損失,沒有統一的標準,具體的計算取決於企業的經營目標、文化價值觀和現有的安全措施等。還是用被偷的筆記本來說,對普通公司普通員工沒有什麼機密在裏麵,損失也就是買機器的4000塊錢,但對於保密單位的電腦就可能損失一萬塊,甚至如果是知識產權,核心機密損失就無可估量。雖然計算損失的方式依賴的條件多種多樣,但是統一的計算方式還是非常重要的。
網絡威脅在一年中發生的概率(ARO):就是某種網絡威脅在一年中可能發生的概率和次數,這種評估也是根據具體的網絡環境和安全保護措施,也是根據經驗得出的一個估計得值。
例如洪水發生的概率是根據當地的地質條件和降水情況而定的。安全威脅發生的概率也是根據企業的成熟度,人員的安全意識和技能以及安全防護工具的完備性決定的決定的,比如軟件提供商通過嚴格的安全檢驗和測試,漏洞很少,那麼漏洞攻擊發生的概率就小很多。再比如企業在每台機器裝上最新反病毒軟件,那麼被病毒感染的幾率就小很多。
- 每年網絡攻擊造成的損失(ALE):就是指特定的網絡攻擊在一年裏可能給公司或者組織造成的潛在損失,計算公式:ALE = ARO * SLE
ROSI 計算
ROSI 主要是綜合定量預估的風險損失和部署安全措施的花銷。在最後比較ALE和實際通過部署安全措施挽回的損失,根據 ROI,ROSI 的計算公式如下:ROSI = (減少的損失 - 安全措施的花銷) / 安全措施的花銷。
使用有效的安全措施可以有效的減低 ALE:安全措施越得力,ALE 降低的越多,我們實際的收益就越高,實際的收益就是不使用安全措施的 ALE 和使用安全措施以後的 ALE(用 mALE 表示)之差。ROSI 公式可以改為: ROSI = (ALE - mALE - 安全措施的花銷) / 安全措施的花銷
還可以通過緩解率來計算,緩解率就是實施某個安全措施後減少攻擊的比例,ROSI 公式可以表示為:ROSI = (ALE * 緩解率 - 安全措施的花銷) / 安全措施的花銷
舉個例子:A 公司正在考慮投資一個防病毒解決方案。每年該公司遭受5個病毒攻擊(ARO = 5)。該組織估計,在數據和生產力損失的成本每攻擊約15000元(SLE = 15000)。實施防病毒解決方案預計將減少80%的攻擊(緩解率= 80%),實施成本25000(每年授權費1500 + 10000培訓、安裝、維護等)。
該解決方案的安全投資回報,可以通過計算如下:(5 * 15000)* 0.8 - 25000 / 25000 = 140%
根據 ROSI 公式計算,這個反病毒解決方案是一個收益率非常不錯的解決方案。
總結: ROSI 的計算是基於3個變量:估計潛在損失(ALE),估計風險緩解,和解決方案的實施成本。如果解決方案的成本比較容易預測,所有間接成本都考慮進來,其他兩個變量也預估的比較正確,這樣 ROSI 就比較好算了。
對 WAF(Web應用防火牆)和 RASP(運行時應用安全自我防護)進行 ROSI 分析
根據 Gartner 的分析,80%的攻擊都是發生在應用層,應用層安全防護是當前的熱點。目前應用安全主要有 WAF 和 RASP 兩種解決方案,WAF 是比較成熟的解決方案,RASP 是最近兩年出現的新技術,首先對兩種技術的特點做簡單的介紹,然後從 ROSI 的角度對兩種解決方案進行評估。
-
WAF 設置在 Web 應用程序的前方,提前截獲發往 Web 應用程序的所有用戶請求,並根據預定義規則對其進行評估,查看其輸入內容是否可能攻擊應用程序。
要實現這個過程需要進行非常繁瑣的配置,而且通常 WAF 會設置「失效開放」開關以避免在高負荷情況下造成大量的誤殺以及對性能的過大影響 WAF 轉入「失效開放」狀態後會放行所有通信流量,不再進行監測,當然也不再為 Web 應用程序提供保護,而這正是 Web 應用程序最需要保護的時候。為使 WAF 在高負荷情況下也能正常工作,需要深入了解 Web 應用程序的哪些輸入中存在漏洞,這樣才能為這些輸入字段采取合適的保護措施。
RASP 技術的實現方式則完全不同,它將框架與底層代碼庫集成在一起,從源代碼級別為應用程序中易受攻擊的區域提供保護。當客戶端發出一個函數調用,而調用中的參數可能會傷害 Web 應用程序時, RASP 會在運行時截取該調用,然後根據具體配置,對該次調用進行記錄或阻止。這種保護方法與 WAF 有著本質的區別。
首先考慮成本
根據 WAF 的特點一個企業一般最少需要一台,根據網上價格:1000M 大概在20萬左右,一台機器估計能用5年。WAF 配置複雜,專業的管理員大概一年費用在10萬(兼職)。 加上每年的服務費,使用 WAF 最低一年20萬人民幣。
RASP 現在公開報價的 HP 和 OneRASP 一個探針大概一個月800月,一個中型企業大概有20台服務器折後大概在10萬元左右,而 RASP 沒有複雜的配置由IT管理員兼任就可以,RASP 成本大概是10萬元每年。
能減少的損失
WAF 和 RASP 都可以抵禦 Web 網絡攻擊,RASP 具備 WAF 沒有的特點,除了 Web 應用程序還可以保護應用程序,不可繞過,沒有防禦盲點等。所以兩者的 ALE 和緩解率基本相同,RASP 略高。
ROSI計算結果
根據 ROSI 計算公式: ROSI = (ALE * 緩解率 - 安全措施的花銷) / 安全措施的花銷, 在ALE和緩解率基本相等的情況下,RASP 的投資回報率要遠高於 WAF。企業安全決策者在選擇應用安全防護時不妨考慮一下 RASP,尤其是在安全方麵預算有限的企業。RASP 雖然產品化時間較短,但這幾年成長速度非常快,在國外 Waratek 和 HP 比較有名,國內現在有 OneRASP。
當然在預算比較充裕的情況下,最理想的選擇是將 WAF 和 RASP 結合起來使用。對於中小企業來說,RASP 是投資回報率比較高的選擇。
最後更新:2017-04-01 13:44:33