前言
任何企業對投資都有回報的要求,回報可能是直接的「利潤」,達到短期、長期的目標,或者通過投資減少損失。因此每個專案的決策者在每筆投資前都要衡量 roi,證明該投資能達到的效果和收益,以便在專案結束時可以考核和衡量專案是否成功。
同時通過 roi 的分析為下一筆預算請求,提供支援性的證據。不過資訊保安投資的 roi 分析,對每個決策者都是很艱難的事情。因為安全投資對大多數企業來說,並不能帶來非常直接的收益和利潤。
本文主要目的就是和決策者進行討論,希望通過一些簡單的工具和最佳實踐,簡化 roi 評估,為決策者在進行資訊保安投資時,提供一些決策依據。當然現在資訊系統多種多樣,各種軟體和系統差異性非常大,單一通過簡單的工具無法覆蓋所有的可能性,但筆者相信這是乙個非常有益的探索。
基本概念介紹
roi:在任何企業或者個人投資,都是通過專案結束後對投資的效果和收益進行評估投資效果,在金融上來講叫做投資回報率(roi)。roi 通常是通過如下的公式來計算的: roi = (收入- 投資總額) / 投資總額×100%。
舉個例子,張三負責投資專案,他和老闆申請了2000元的啟動資金,張三和老闆約定收入五五分成,專案結束後總共收入10000元,老闆得到5000元,投資回報率計算如下 (5000 - 2000) / 2000 = 150%
安全投資回報率(rosi):roi 適用於所有投資,安全投資也不例外,安全投資決策者也需要知道資訊保安投資的底線在**,哪些地方進行安全投資是收益最高的,哪些安全產品是投資回報率最高的。在資訊保安投資領域,rosi 能給決策者提供定量的指標:
安全投資的一些困惑:傳統的投資回報率計算方式並不十分適合資訊保安投資,安全投資並不能帶來利潤,它通常是防止公司財產損失,換句話說就是投資安全不要期望有利潤回報。因此計算資訊保安投資回報率應該計算通過安全投資避免了多少損失。
安全成本效益示意圖
rosi 計算方**
因此計算 rosi 首先要能夠評估一項安全投資能避免什麼樣潛在的安全風險(風險評估),然後根據定量的方法將這些風險帶來的損失,轉換成可以衡量的貨幣價值。
風險評估的基本概念
任何評估都是將大的任務分成可以度量的小單元,風險評估也是如此,安全風險可以分成以下幾個部分:
例如洪水發生的概率是根據當地的地質條件和降水情況而定的。安全威脅發生的概率也是根據企業的成熟度,人員的安全意識和技能以及安全防護工具的完備性決定的決定的,比如軟體提供商通過嚴格的安全檢驗和測試,漏洞很少,那麼漏洞攻擊發生的概率就小很多。再比如企業在每台機器裝上最新反病毒軟體,那麼被病毒感染的機率就小很多。
rosi 計算
rosi 主要是綜合定量預估的風險損失和部署安全措施的花銷。在最後比較ale和實際通過部署安全措施挽回的損失,根據 roi,rosi 的計算公式如下:rosi = (減少的損失 - 安全措施的花銷) / 安全措施的花銷。
使用有效的安全措施可以有效的減低 ale:安全措施越得力,ale 降低的越多,我們實際的收益就越高,實際的收益就是不使用安全措施的 ale 和使用安全措施以後的 ale(用 male 表示)之差。rosi 公式可以改為: rosi = (ale - male - 安全措施的花銷) / 安全措施的花銷
還可以通過緩解率來計算,緩解率就是實施某個安全措施後減少攻擊的比例,rosi 公式可以表示為:rosi = (ale * 緩解率 - 安全措施的花銷) / 安全措施的花銷
舉個例子:a 公司正在考慮投資乙個防病毒解決方案。每年該公司遭受5個病毒攻擊(aro = 5)。該組織估計,在資料和生產力損失的成本每攻擊約15000元(sle = 15000)。實施防病毒解決方案預計將減少80%的攻擊(緩解率= 80%),實施成本25000(每年授權費1500 + 10000培訓、安裝、維護等)。
該解決方案的安全投資回報,可以通過計算如下:(5 * 15000)* 0.8 - 25000 / 25000 = 140%
根據 rosi 公式計算,這個反病毒解決方案是乙個收益率非常不錯的解決方案。
總結: rosi 的計算是基於3個變數:估計潛在損失(ale),估計風險緩解,和解決方案的實施成本。如果解決方案的成本比較容易**,所有間接成本都考慮進來,其他兩個變數也預估的比較正確,這樣 rosi 就比較好算了。
對 waf(web應用防火牆)和 rasp(執行時應用安全自我防護)進行 rosi 分析
根據 gartner 的分析,80%的攻擊都是發生在應用層,應用層安全防護是當前的熱點。目前應用安全主要有 waf 和 rasp 兩種解決方案,waf 是比較成熟的解決方案,rasp 是最近兩年出現的新技術,首先對兩種技術的特點做簡單的介紹,然後從 rosi 的角度對兩種解決方案進行評估。
首先考慮成本
根據 waf 的特點乙個企業一般最少需要一台,根據網上**:1000m 大概在20萬左右,一台機器估計能用5年。waf 配置複雜,專業的管理員大概一年費用在10萬(兼職)。 加上每年的服務費,使用 waf 最低一年20萬人民幣。
rasp 現在公開**的 hp 和 onerasp 乙個探針大概乙個月800月,乙個中型企業大概有20臺伺服器折後大概在10萬元左右,而 rasp 沒有複雜的配置由it管理員兼任就可以,rasp 成本大概是10萬元每年。
能減少的損失
waf 和 rasp 都可以抵禦 web 網路攻擊,rasp 具備 waf 沒有的特點,除了 web 應用程式還可以保護應用程式,不可繞過,沒有防禦盲點等。所以兩者的 ale 和緩解率基本相同,rasp 略高。
rosi計算結果
根據 rosi 計算公式: rosi = (ale * 緩解率 - 安全措施的花銷) / 安全措施的花銷, 在ale和緩解率基本相等的情況下,rasp 的投資回報率要遠高於 waf。企業安全決策者在選擇應用安全防護時不妨考慮一下 rasp,尤其是在安全方面預算有限的企業。rasp 雖然產品化時間較短,但這幾年成長速度非常快,在國外 waratek 和 hp 比較有名,國內現在有 onerasp。
當然在預算比較充裕的情況下,最理想的選擇是將 waf 和 rasp 結合起來使用。對於中小企業來說,rasp 是投資回報率比較高的選擇。
在安全層面,企業如何獲得更好的投資回報率 ROI?
前言 任何企業對投資都有回報的要求,回報可能是直接的 利潤 達到短期 長期的目標,或者通過投資減少損失。因此每個專案的決策者在每筆投資前都要衡量 roi,證明該投資能達到的效果和收益,以便在專案結束時可以考核和衡量專案是否成功。同時通過 roi 的分析為下一筆預算請求,提供支援性的證據。不過資訊保安...
如何確保API在企業的安全使用(二)
本文講的是 如何確保api在企業的安全使用 二 api安全問題以及如何避免它們 除了諸多優點外,應用程式設計介面也存在安全問題,正如最近的安全洩露事故所顯示的。安全問題通常不在於api背後的概念,而在於它的編碼方式。很多應用開發人員在編寫或使用api時沒有考慮安全因素,使得應用和資料處於危險之中。當...
不投簡歷 如何獲得月薪2萬的工作
先把方法說出來 創造你的產品,發布你的產品。2008年,我在高中時期出版一本安全圖書之後,一家安全公司的產品總監找到我,提供了月薪6k的工作,一段時間之後月薪提到稅後2萬。儘管我並非一開始的月薪就是2萬,但到今天為止,我從未投過簡歷。現在我在蘇州創業 最近都在面試 應聘者,希望這篇文章能幫助應聘者獲...