网络犯罪成本攀升 应用层安全需更多预算

有报告指出网络犯罪成本的重要性。一些专家建议应该重新分配预算资源，多一些用到应用层安全上去。

研究报告旨在量化与“网络犯罪以及从网络攻击中恢复”相关的财务损失，预算不足让企业难以应对叠高的成本。

[[151896]]

Ponemon的报告《2015年网络犯罪成本研究》(由HP赞助，调查设计58家美国组织以及全球7个国家的252家组织)，确定了数据泄漏事故的平均成本以及从中恢复所需要的成本。报告发现这些成本仍旧在持续攀升。

卡帕斯基实验室发布报告《损失控制：安全漏洞的成本》，该报告调查了26个国家的5500家公司，并确定从网络攻击事件中恢复所需要付出的代价。

研究结果并不十分匹配。Ponemon发现企业平均花费46天并少于200万美元以从每次网络攻击中恢复过来。不过，卡帕斯基实验室则称企业真正恢复起来要平均花费551000万美元，小企业也要花费38000美元，且当企业信誉受损、又包括培训和基础设施升级时，所花费成本将直线上涨。

Ponemon的研究主要在整体网络犯罪成本层面，揭示了以年计的话平均每个公司每年要花费1500万美元。组织规模和成本之间呈正向关系，然而值得注意的是，较小的公司的成本要高于大型组织。

缓解上升的成本

两项研究均认为最常见的攻击类型是通过恶意代码进行的，同时卡帕斯基发现第三方提供商的故障要对数据泄漏事故成本负绝大部分责任。数据泄漏成本也呈现出不同形式，包括关键业务信息访问失败造成的损失、律师/顾问费用等。

Trustwave Holdings公司Web应用安全副总裁Marc Shinbrood说，咨询并不会满足每个企业所特有的需求。

“当务之急是公司要确保积极的安全测试。很多公司引进咨询公司做安全调查，或者照看其他组织来寻求安全的方向，”Shinbrood说道。“然而更重要的是，企业应该测试自己的环境，寻求自身业务发展趋势，然后采取适当的措施。试想一下，当你想买一辆车时，只是照着邻居的车子去买，那么你又怎能确保这辆车子会适合你的需求呢?”

两项研究报告都强调了网络攻击及恢复成本的上涨。专家也认为对于IT专业人士来说最困难的工作之一即是获取预算资源。所以，恰当地分配资源可能是解决之道。

卡帕斯基实验室北美区的总经理Chris Doggett表示，任何预算考量首先都要将所有组织需要的基本技术考虑在内。

“预防网络攻击，有效的端点保护必须结合几种不同的安全技术，如恶意软件检测、Web安全控制、利用保护、先进的防火墙功能以及主机入侵防御。首要的是应该先选择一个合适的端点安全解决方案，能够最大程度满足企业主要的选择标准，”Doggett说道。“只有在满足这个需要后，企业才能够投入额外的预算到其他层的安全上去。”

应用层安全需更多投入

Ponemon研究机构创始人Larry Ponemon说，当你了解到不同网络层安全是如何分配资源的时候，就会发现一层显然得到了太多的资源，事实上根本用不上这么多。

“就好像在传统安全预算中，最大的占比为使能技术“网络安全技术”所占，即传统的边界控制，诸如防火墙、IPS及其他类似的等等，”Ponemon说道，“但当你审视如今的威胁或潜在的攻击可能时，会发现通常在应用层的威胁要远多于网络层。”

Ponemon指出，调查数据显示公司正在将预算资源从网络安全层缓慢转向应用层。根据报告显示，应用层的预算支出从2013年的15%增长到2015年的20%，而网络安全支出则由40%下降到36%。

BeyondTrust技术副总裁Morey Haber表示，组织往往过于关注需要保护的数据量，而在访问管理方面关注不够。

“固有的观念是存储的数据在增加，因而我们保护数据的安全工具和系统也需要随之增加。殊不知防护设备的叠加并不是解决问题的办法，我们应当转变观念，控制访问特权，建立按需访问的体系，”Haboer这样说道。“控制访问能够减少噪音，并在最终用户和应用程序访问时具备更高效的监测。”

Ponemon研究也计算了技术可以为处于泄漏事故中的公司节省的钱财，这些技术可以是安全情报系统、GRC工具或者访问控制工具。不过，同样根据该报告，GRC工具或访问控制工具无法提供与加密技术、边界控制和防火墙技术相媲美的投资回报(ROI)。

NetlQ身份认证解决方案策略师Travis Greene表示，这种ROI数据可以帮助企业高管重新看待通用安全支出。

“我们往往将安全视作保险，并非真正有所帮助，不过是一项必要的开销。报告提供了一些关于安全花费ROI的信息，揭示在考虑到网络犯罪增长的情况下，泄漏事故成本的普适性，”Greene说道。“因此，我认为在IT安全上缺少投资和预算的做法是不成熟的，重新将安全预算资源从网络安全分配给数据访问安全是一个明智的举措，毕竟我们要时刻关注网络罪犯所热衷的方向。”

Doggett也警醒大家，关于安全漏洞的不断报道可能会让IT专业人士在面对危险时变得麻木。

“我们切不可自满。随着网络犯罪的成熟和黑市体系的完善，网络攻击造成的负面影响将持续扩大。企业仍旧需要继续关注、改进并完善安全投资。”