研究报告显示:雇员规模为2000人的企业每年在事件分类上花费1600万美元
网络安全实际上的标准操作一直都是检测和响应:检测出威胁,然后要么阻止其侵入,要么清除其存在。过去20年间,整个安全产业都是在此基础模型上演进;大多数公司企业在该方法的实现上投资巨大。这种方法可以被描述为“检测保安全”。
最近几年,一种完全不同的网络安全范例出现了,那就是隔离:根本不检测威胁,直接将应用与威胁隔离开来。这种隔离是怎么办到的呢?将应用放到安全容器中执行,让恶意软件无计可施。如果某应用被感染,那就把恶意软件连同容器一起弃用,再重新加载一个干净版本的应用到容器中。这样一来,因为恶意软件做不了恶,所以就没有必要再花费时间和金钱去检测威胁。这就是所谓的隔离模型。
隔离技术提供商的难题是潜在客户已经在检测模型上投入很多,让潜在客户切换成隔离模型,无异于让他们此前的投资打水漂。隔离技术早期开拓者兼行业领袖Bromium公司选择证明没有必要再继续耗费人力去运营“检测保安全”模型及其支持技术。
Bromium委托独立市场研究公司 Vanson Bourne 对500位CISO(美国200;英国200;德国100)进行调查访问,试图了解和展现“检测保安全”模型的运营成本。接受调研的CISO来自雇员规模在1000到5000人的企业,被调研企业的平均雇员规模为2000人。
此项研究的基本结论是:拥有2000名员工的公司采用“检测保安全”模型每年需要花费1670万美元。报告中并未给出采用隔离模型的平均花费是多少,但读者可以认为应该会少很多。
传统安全模型的总成本包括人力成本和技术成本,人力成本包含威胁分类、计算机重装和紧急修复的人力开销,技术成本则在35万美元左右。也就是说,抛弃35万美元的技术成本可以节约1600万美元的人力成本。事实上,如果该报告中测算出的人力成本真的有这么高,那还真有可能可以毫不犹豫地抛弃“检测保安全”模型。然而,这些数字真的可信吗?
报告中的所有成本测算都基于被调查对象的回答。比如说,报告中称,“企业平均每个月紧急修复5次,每次需要13个小时部署。全年就是780个小时。乘以网络安全人员39.24美元的平均时薪,企业每年在紧急修复上的花费就是3万多美元。
但因为是紧急修复,还必须加上1.9万美元的加班费或外包费。换句话说,如果切换到隔离模型,企业每年可省下近5万美元的紧急修复工时开销。
机器重装的开销来自于“检测保安全”模型未能防护住的主机的重建。报告中称,“企业平均每个月重装51台设备,每台花费4个小时重装,也就是每年重装机器要花费2448小时。乘以网络安全人员近40美元的时薪,每年重装机器都要花费近10万美元的工时费。”
所有这些开销看起来都像是“检测保安全”模型的实际成本。这就意味着,选用隔离模型可以省下15万美元的人工费和35万美元的技术购置费,能节省将近50万美元。不仅如此,报告中还称,如果不再需要安全团队进行事件分类,雇员规模在2000人的公司能省下1600万美元的巨资。
这是为什么呢?报告宣称,“安全运营中心(SOC)平均每周要分拣796个警报,每个警报的处理耗时平均为10小时,一年仅在事件警报分拣处理上就要耗费413,920个工时。乘以网络安全人员40美元的平均时薪,那每年在安全事件分类上就要支出1600多万美元。”
算起来似乎是那么回事儿。但从另一个角度去看,每周796个安全警报,每个警报花10小时分拣,那每周就是7960个小时的事件分类工时,得47个员工整周昼夜不停24小时连轴转才干得完。老实说,真的有2000人规模的公司会做这种程度的事件分类工作吗?直言“企业每年花费1600万美元进行事件分类”是不妥当的,具有误导性。
Bromium的CEO说:“应用隔离是新安全栈的最后一道防线,是控制检测型解决方案不断上升的人力开支的唯一办法。应用隔离容许恶意软件完全执行,因为应用是与硬件隔离开的,威胁无处可去,也偷不到什么东西。采用隔离方法就再也不用重镜像和重装,因为机器不受影响。隔离方法还能大幅减少误报,因为SOC团队只会接到真正的威胁警报。紧急修复也不再需要,因为应用已经被放到隔离的容器中保护起来了。而因为SOC团队能够分析完整的杀伤链,事件分类事件也大幅减少了。”
这么说确实没毛病,但是检测型安全方法平均要花1600万美元在事件分类上的说法不敢苟同。不过,隔离模型的确给出了一个节省安全成本的新思路。
领取专属 10元无门槛券
私享最新 技术干货