兰德公司企业网络安全防御经济性研究分析

金 晶

兰德公司企业网络安全防御经济性研究分析

金 晶

伴随网络安全重大事件的频发，全球各类机构组织对网络安全重视程度与日俱增，开始持续加大对网络安全产品的投入和专业人才的储备。据相关研究机构估计，全球网络安全开支每年接近700亿美元，且每年都在以10%-15%的速度增长。但总体而言，各类机构和组织目前对自身网络安全状况并不满意，网络安全的维护者认为自身的先发优势并不足以领先网络攻击者，导致开支巨大却难以成功。如何科学衡量网络安全的维护成本及其实际效用成为产业界难题。造成这种现象的原因是组织没有建立一种科学的计算方法来权衡网络安全工具和资源需要花费的成本和发生数据泄露给组织造成的损失。实际上，首席信息安全官需要了解：哪些因素会影响组织全面控制网络安全风险所需的成本，以及在保护组织免受侵扰时应当采取的各种决策。

有鉴于此，美国著名智库兰德公司近来率先开展了对网络安全维护经济性研究，并于近期先后独立和联合发布了两份相关的研究报告《网络捍卫者的困境——如何实现网络安全》以及《网络安全防御的经济性：针对不断升级的网络风险构建安全投资模型》，对网络安全维护工作的成本因素进行了梳理，并编制了一个启发性模型，以此预示未来十年网络安全成本的基本走势，并为组织和公共决策者如何以成本效益较好的方式来促进网络安全提出了一系列启示和建议。

企业网络安全经济性研究设计与发现

为了明晰影响网络安全基本要素的目的，兰德公司考察了网络安全领域的最新产品，评估了软件行业安全软件制造或破坏之间的博弈，并征询了一些主要机构信息安全官的意见，由此提出了以下预期假设：

第一，网络安全维护工作的未来目标应该是使网络安全开支以及网络攻击引发损失最小化。但这很难测定。网络安全开支可以测定，但对安全措施所节约的成本只能是猜测。

第二，网络攻击者对成本-效益问题也很敏感，知道如何应对市场信号。他们会权衡渗透一个系统的难度与所获好处之间的关系。系统越难渗透，攻击者付出的艰辛程度就越大，有时甚至会付诸东流。反过来，系统越难攻克，有能力发动攻击的攻击者人数就越少。

第三，网络攻击虽各不相同，但基本上包括两个重要阶段。一是渗透用户端系统，如终端用户电脑；二是利用这一渗透转向整个网络，从而破坏目标。防止攻击者渗入终端系统取决于许多因素，但关键是终端系统本身的软件质量。要防止用被渗透的终端系统来破坏网络，就关系到反应敏捷的系统检测软件或服务。

第四，许多安全改进措施会招来黑客的反制。这些反制措施效用各不相同，但要关注两种措施与反制措施之间的博弈。一是组织内部对攻击活动识别工具的投资与攻击者用来渗透系统的技术之间的竞赛；二是努力减少软件中存在的缺陷与攻击者用来发现和利用这些缺陷的技术之间的竞赛。

通过对大量信息安全官的调查，兰德公司的研究得出了三类结论：一是预料之中的结论；二是证实了预期假设的结论；三是意料之外的结论。

预料之中的结论包括：①网络安全状况与组织类型、规模等密切相关，小型组织往往没有很好的解决方案；②知识产权的重要性对于各类组织不尽相同，主要取决于组织的使命和任务；③网络安全投入需要强制推行，尤其需要总裁的介入；④大量信息安全官不清楚所在机构网络安全投资是否足够；⑤信息安全官觉得攻击者占据着上风，而且会继续占据上风。

证实预期假设的结论包括：①用户即使不知道需要什么，也清楚不存在通用应对之法，但仍希望现存的工具能解决问题；②需要加大网络安全投入时，大多数的信息安全官都选择以人为本的方案；③信息安全官要求掌握网络攻击者的动机和方法等具体信息，但对于如何利用这些信息并没有达成共识；④有关网络保险的提议往往被视为麻烦大于好处，仅适合于特殊的场合且回报不大；⑤主动防御概念具有多重含义，尚没有标准定义；⑥大多数信息安全官缺乏明确的激励愿景；⑦信息安全官对云计算的看法往往过于乐观，而大多数人只是谨慎的追随者；⑧信息安全官可能会不太重视服务性安全建议；⑨信息安全官通常不会从某个供应商处集中购买安全产品和服务，但也不能确定多样化就是最好的选择。

而出乎意料之外的结果则包括：①信息安全官最担心的是网络攻击对机构及自身声誉的影响超过直接损失；②无法以统一的方式来理解和评述网络渗透引起的组织风险，未来很长时期也不会有统一的理解和评估方式。

1964年，上海美术电影制片厂制作的彩色动画长片《大闹天宫》，成为中国动画界的镇山之宝。1986年，央视播出真人版电视剧，一经播出轰动全国，创造了89.4%的收视率神话，至今重播次数已超过3000次。《大话西游》、《大圣归来》、《西游降魔》等电影的上映更是屡次刷新各类纪录，孙悟空已成为中国文化IP史上的丰碑。

网络安全经济性评价的难点

通过调查和评估，兰德公司发现和揭示了评估网络安全经济性的一些难点。

首先，措施与反措施之间的博弈日趋激烈。各类机构和组织开始明白，自己既要降低网络攻击的可能性，也要降低网络攻击的影响力，于是就转向数据损失预防（DLP）项目，更广泛地利用虚拟专用网（VPNs）。但随着各项新技术都遇到了新的反制技术后，就形成了一个决策难点：难以区别哪些技术真正管用，而哪些技术只是白白浪费成本而已。

其次，如果网络和软件体系是静态的，那么网络安全的捍卫者最终会占得上风。但创新却是信息产业的灵魂和活力所在。“有围墙的”软件系统通常要比开放系统更难攻击。但过去20年的经历却表明对开放性软件和网络系统的依赖度在不断加大。软件的安全和坚固能阻止攻击者找到立足点。但攻击者一旦获得立足点，就需要另外的措施来阻止他们把立足点转化为攻击点。

再者，软件漏洞是软件设计或执行上的天然缺陷。这些漏洞可能被攻击者用来发起意料不到的攻击行动。这些漏洞有时在发行前就发现了；有时卖家在客户买走产品后才发现，于是就提供补丁；有时被与卖家无关的研究者发现了，他们或者通知卖家，或者把信息卖给政府或供应商，或者卖给网络罪犯。

最后，软件设计发展趋势表明，攻击会在网络内被发现和击败，而不是在进入网络前就被阻。物联网、移动互联网等产生了一种新型的网络关系，使得组织很难确定和捍卫网络保护边界，就是说，网络安全工作必须基于这样的假设，即攻击者已经存在于网络之内，网络安全管理必须基于系统层面，而不能首先着眼于防止攻击者进入系统。

影响网络安全风险控制的关键因素

据此，兰德公司编制了一种启发式的经济模型，能够形象地呈现出影响组织在防御网络安全风险中所需成本的主要因素和对策。

该模型根据组织规模（数百人、数千人、数万人和数十万人）、风险值、勤奋度，并结合各类网络安全成本因素（网络攻击的损失、培训用户的直接成本、购买和使用工具的直接成本、限制使用自编设计/智能装置有关的间接成本以及隔离敏感子网络的间接成本），对未来十年网络安全成本最小化进行了预见。

在此基础上，模型确认了影响网络安全风险控制的五大关键因素：

第一，“通用”策略并不存在。大部分组织的网络安全投资很可能没有采取体现经济性的战略，而这些组织的投资规模、所涉信息类型以及网络安全维护人员的尽职程度都不尽相同。如图1所示，网络安全工具随着组织规模的加大而持续增多，一般的网络安全工具和培训给中小型组织带来的收益最多，而大型组织和高价值目标的实现需要引进全方位策略和针对性的网络安全工具，因为它们更容易成为高级网络攻击者瞄准的目标。

图1 ：组织网络安全工具使用预测

第二，大部分网络安全工具的使用寿命会衰减、价值大打折扣。网络攻击者在不断提升自身的破解能力，这最终会使得组织不得不加大投资筹码，引进更先进的网络安全防护技术来抵御入侵。未来十年，现有网络安全防护技术的抗攻击者能力将下滑65%。组织必须在引进新型网络防护工具之前对其展开细致的评估，从而选择那些不易被网络攻击者破解的工具（如表1所示），并专注于提高整个组织的网络安全管理、自动化和策略实施效力，不断对类似系统进行评估及持续引进新的解决方案。

表1 ：网络安全防御手段的反制性评估

第三，人力投资可逐渐降低组织网络安全成本。以人为本的网络安全投资能够为组织带来巨大收益，其中包括引进安全管理和流程自动化技术、面向员工的高级安全培训以及外聘专业网络安全维护人员。研究显示，相比于在网络安全方面不太活跃的组织，积极开展网络安全工作的组织在第一年的实践中就能降低19%的安全风险控制成本，而在第十年则能降低28%的成本。因此，组织应该积极加大培训投入，大力发展安全团队。考虑到网络安全专业人员不足的问题，如果无法为组织招聘新员工，一种解决方法是将专门的安全职能外包给第三方专家，利用托管服务可以带来诸多好处。

表2 ：网络安全人力投资对攻击损失的影响

第四，物联网会影响组织维护自身网络安全所需的总成本。但至今尚不确定给组织带来的成本是增加还是减少，如能使用科学合理的安全技术和管理方法，那么组织的安全防护花费从长远来看将会下降。模型研究表明，如果物联网的发展重蹈早期个人电脑的覆辙，那么组织引入物联网在未来十年因遭遇入侵而引发的损失将增加30%。因此，组织仍应当尽早思考如何将物联网设备融入组织现有的安全体系和网络，应当确保自身的安全基础设施能够应对新设备和接入所带来的带宽增加，应当确定添加何种安全控制以管理这些新加入组织环境的设备。就像管理员工自带设备一样，组织应该确保有合适的工具来迅速配置和管理进入组织网络的物联网接入，其中就包括确立和执行到位的权限管理，以此来确保新增物联网设备不会带来新的攻击风险。图2和图3分别表示物联网智能设备接入对网络攻击的影响，以及为此采取防护工具的效果。

第五，消除软件漏洞可大大降低成本。模型显示，当前软件和应用程序中存在的漏洞是导致组织网络安全成本增加的一个关键问题。如果软件漏洞发生率减半，则组织的网络安全维护总成本会降低25%。据预测，随着物联网设备的增加和普及，新漏洞的数量还会增加。让人乐观的是，整个行业都在下大力气提升软件的品质，开发者可以使用免费工具在软件发售前把漏洞识别出来。随着制作这类工具的软件商越来越多，在最终成品中发现的漏洞数量有可能下降。

相关启示建议

根据上述经济性分析，现代企业必须采取以下的一系列综合措施来应对日益加剧的网络威胁：

第一，像管理组织业务一样管理组织的安全。组织应当提升安全管理力——对决策的风险和成效进行量化。兰德模型提供了数个可操作性见解可供借鉴，能够帮助评估自身安全态势和支出。信息安全官也应当努力寻找计算投资回报率的计量手段，组织应当衡量安全计划的生命周期和有效性。

第二，带着反制意识评估网络安全工具。组织应当优先投资那些能够通过集中式管理和分布式执行平台自动完成安全任务的工具。自动化应该成为业务的重要领域并积极考虑投资自动化工具。原因在于，内置自动化的工具更不易被网络攻击者采取反制措施，因而更容易长时间保持效力和价值；自动化对运营的要求较低，可以降低组织的相关成本；自动化能减少安全员工花费在系统配置和测试上的时间，从而可以把更多精力投入到类似规避复杂攻击和提升防御准备等工作之中；最后，集中式系统还有助于提升其他安全投资的回报，因为可以使之更易于管理和执行。

第三，系统提升安全水平不仅仅是信息安全官的责任，全行业都应行动起来。信息技术行业和政府应当采取措施改变目前的安全态势，使防御者处于更有利的地位，这包括培养新一代的开发者，让他们更好地保护自己的创新，组织的安全支出也会大大降低；带着反制意识发展技术，安全行业创新组织应当继续发展能够应对攻击者反制措施的安全技术，并不断提升网络的可视性和可控性。

最后需要指出的是，对网络安全的悲观预期恰恰是网络安全的希望所在。对于组织而言，应该知道什么需要加以保护，需要多大程度的保护，从哪里开始努力保护组织，并切实考虑攻击者采取反制措施的可能性。而对于信息安全官来说，虽然他们对由政府来改进企业网络安全兴趣不高，但仍应当认识到政府在这方面所能起到的作用，因此，企业可以和政府积极合作，包括共同建立网络安全信息库并分享相关安全措施。

（作者单位：中国工商银行数据中心）