在安全層面，企業如何獲得更好的投資回報率 ROI？

前言

任何企業對投資都有回報的要求，回報可能是直接的「利潤」，達到短期、長期的目標，或者通過投資減少損失。因此每個專案的決策者在每筆投資前都要衡量 roi，證明該投資能達到的效果和收益，以便在專案結束時可以考核和衡量專案是否成功。

同時通過 roi 的分析為下一筆預算請求，提供支援性的證據。不過資訊保安投資的 roi 分析，對每個決策者都是很艱難的事情。因為安全投資對大多數企業來說，並不能帶來非常直接的收益和利潤。

本文主要目的就是和決策者進行討論，希望通過一些簡單的工具和最佳實踐，簡化 roi 評估，為決策者在進行資訊保安投資時，提供一些決策依據。當然現在資訊系統多種多樣，各種軟體和系統差異性非常大，單一通過簡單的工具無法覆蓋所有的可能性，但筆者相信這是乙個非常有益的探索。

基本概念介紹

roi：在任何企業或者個人投資，都是通過專案結束後對投資的效果和收益進行評估投資效果，在金融上來講叫做投資回報率（roi）。roi 通常是通過如下的公式來計算的： roi = （收入- 投資總額） / 投資總額×100%。

舉個例子，張三負責投資專案，他和老闆申請了2000元的啟動資金，張三和老闆約定收入五五分成，專案結束後總共收入10000元，老闆得到5000元，投資回報率計算如下（5000 - 2000） / 2000 = 150%

安全投資回報率（rosi）：roi 適用於所有投資，安全投資也不例外，安全投資決策者也需要知道資訊保安投資的底線在**，哪些地方進行安全投資是收益最高的，哪些安全產品是投資回報率最高的。在資訊保安投資領域，rosi 能給決策者提供定量的指標：

安全投資的一些困惑：傳統的投資回報率計算方式並不十分適合資訊保安投資，安全投資並不能帶來利潤，它通常是防止公司財產損失，換句話說就是投資安全不要期望有利潤回報。因此計算資訊保安投資回報率應該計算通過安全投資避免了多少損失。

安全成本效益示意圖

rosi 計算方**

因此計算 rosi 首先要能夠評估一項安全投資能避免什麼樣潛在的安全風險（風險評估），然後根據定量的方法將這些風險帶來的損失，轉換成可以衡量的貨幣價值。

風險評估的基本概念

任何評估都是將大的任務分成可以度量的小單元，風險評估也是如此，安全風險可以分成以下幾個部分：

網路攻擊事件的總成本應包括直接損失的成本（**停機時間、硬體更換、資料丟失更換等）和間接損失成本（調查時間、聲譽損失、對影象的影響等）

關於如何計算網路攻擊對企業的具體損失，沒有統一的標準，具體的計算取決於企業的經營目標、文化價值觀和現有的安全措施等。還是用被偷的筆記本來說，對普通公司普通員工沒有什麼機密在裡面，損失也就是買機器的4000塊錢，但對於保密單位的電腦就可能損失一萬塊，甚至如果是智財權，核心機密損失就無可估量。雖然計算損失的方式依賴的條件多種多樣，但是統一的計算方式還是非常重要的。

例如洪水發生的概率是根據當地的地質條件和降水情況而定的。安全威脅發生的概率也是根據企業的成熟度，人員的安全意識和技能以及安全防護工具的完備性決定的決定的，比如軟體提供商通過嚴格的安全檢驗和測試，漏洞很少，那麼漏洞攻擊發生的概率就小很多。再比如企業在每台機器裝上最新反病毒軟體，那麼被病毒感染的機率就小很多。

rosi 計算

rosi 主要是綜合定量預估的風險損失和部署安全措施的花銷。在最後比較ale和實際通過部署安全措施挽回的損失，根據 roi，rosi 的計算公式如下：rosi = （減少的損失 - 安全措施的花銷） / 安全措施的花銷。

使用有效的安全措施可以有效的減低 ale：安全措施越得力，ale 降低的越多，我們實際的收益就越高，實際的收益就是不使用安全措施的 ale 和使用安全措施以後的 ale（用 male 表示）之差。rosi 公式可以改為： rosi = （ale - male - 安全措施的花銷） / 安全措施的花銷

還可以通過緩解率來計算，緩解率就是實施某個安全措施後減少攻擊的比例，rosi 公式可以表示為：rosi = （ale * 緩解率 - 安全措施的花銷） / 安全措施的花銷

舉個例子：a 公司正在考慮投資乙個防病毒解決方案。每年該公司遭受5個病毒攻擊（aro = 5）。該組織估計，在資料和生產力損失的成本每攻擊約15000元（sle = 15000）。實施防病毒解決方案預計將減少80%的攻擊（緩解率= 80%），實施成本25000（每年授權費1500 + 10000培訓、安裝、維護等）。

該解決方案的安全投資回報，可以通過計算如下：（5 15000） 0.8 - 25000 / 25000 = 140%

根據 rosi 公式計算，這個反病毒解決方案是乙個收益率非常不錯的解決方案。

總結: rosi 的計算是基於3個變數：估計潛在損失（ale），估計風險緩解，和解決方案的實施成本。如果解決方案的成本比較容易**,所有間接成本都考慮進來,其他兩個變數也預估的比較正確，這樣 rosi 就比較好算了。

對 waf（web應用防火牆）和 rasp（執行時應用安全自我防護）進行 rosi 分析

根據 gartner 的分析，80%的攻擊都是發生在應用層，應用層安全防護是當前的熱點。目前應用安全主要有 waf 和 rasp 兩種解決方案，waf 是比較成熟的解決方案，rasp 是最近兩年出現的新技術，首先對兩種技術的特點做簡單的介紹，然後從 rosi 的角度對兩種解決方案進行評估。

要實現這個過程需要進行非常繁瑣的配置，而且通常 waf 會設定「失效開放」開關以避免在高負荷情況下造成大量的誤殺以及對效能的過大影響 waf 轉入「失效開放」狀態後會放行所有通訊流量，不再進行監測，當然也不再為 web 應用程式提供保護，而這正是 web 應用程式最需要保護的時候。為使 waf 在高負荷情況下也能正常工作，需要深入了解 web 應用程式的哪些輸入中存在漏洞，這樣才能為這些輸入字段採取合適的保護措施。

首先考慮成本

根據 waf 的特點乙個企業一般最少需要一台，根據網上**：1000m 大概在20萬左右，一台機器估計能用5年。waf 配置複雜，專業的管理員大概一年費用在10萬（兼職）。加上每年的服務費，使用 waf 最低一年20萬人民幣。

rasp 現在公開**的 hp 和 onerasp 乙個探針大概乙個月800月，乙個中型企業大概有20臺伺服器折後大概在10萬元左右，而 rasp 沒有複雜的配置由it管理員兼任就可以，rasp 成本大概是10萬元每年。

能減少的損失

waf 和 rasp 都可以抵禦 web 網路攻擊，rasp 具備 waf 沒有的特點，除了 web 應用程式還可以保護應用程式，不可繞過，沒有防禦盲點等。所以兩者的 ale 和緩解率基本相同，rasp 略高。

rosi計算結果

根據 rosi 計算公式： rosi = （ale * 緩解率 - 安全措施的花銷） / 安全措施的花銷，在ale和緩解率基本相等的情況下，rasp 的投資回報率要遠高於 waf。企業安全決策者在選擇應用安全防護時不妨考慮一下 rasp，尤其是在安全方面預算有限的企業。rasp 雖然產品化時間較短，但這幾年成長速度非常快，在國外 waratek 和 hp 比較有名，國內現在有 onerasp。

當然在預算比較充裕的情況下，最理想的選擇是將 waf 和 rasp 結合起來使用。對於中小企業來說，rasp 是投資回報率比較高的選擇。

在安全層面，企業如何獲得更好的投資回報率 ROI？

在安全層面，企業如何獲得更好的投資回報率 ROI？

如何確保API在企業的安全使用（二）

不投簡歷如何獲得月薪2萬的工作

在安全層面，企業如何獲得更好的投資回報率 ROI？

在安全層面，企業如何獲得更好的投資回報率 ROI？

如何確保API在企業的安全使用（二）

不投簡歷 如何獲得月薪2萬的工作

相關推薦

不投簡歷如何獲得月薪2萬的工作