避免信息安全开支失控的五个错误

关键要点

强大的网络威胁情报 (CTI) 能够提升信息安全计划的多个方面。未来一年，CISO 可能需要证明其安全投资的有效性。不正确的威胁情报会导致资源浪费，导致不必要的支出。必须实施风险管理程序，以便有效利用CTI。在威胁情报收集时，须明确需求，以满足业务目标。

信用：DC Studio / Shutterstock

强大的网络威胁情报CTI能力可以在多个方面帮助提升网络安全计划。当组织选择与其技术环境和业务背景相关的高质量威胁情报来源时，这些外部来源不仅可以加快威胁检测的速度，还可以帮助领导者更好地理解风险暴露，并优先考虑未来的安全投资。

随着CISO和信息安全高管越来越依赖CTI来实现他们的投资目标，最近的研究表明，三分之二的组织会将其整体安全预算的11至30用于威胁情报能力。这意味着，80的网络安全团队每年在外部供应商的威胁情报产品上花费超过250000美元。

然而，这笔开支中有多少是值得的？尽管大多数分析师仍预计2025年安全支出将会上升，但有迹象表明，CISO将在新的一年中被要求证明和紧缩支出的效率。根据最近IANS的研究，超过三分之一的CISO在2024年面临预算持平或下降，与2022年的招聘模式相比，人员增长也减半。

CTI可以为威胁检测、事件响应、漏洞管理和更广泛的风险管理带来巨大的价值，但它也可能是一口“财务黑洞”。威胁情报的分散使用方式使得评估CTI的财务效率和责任变得非常困难。组织不仅可能浪费资源在差劲的情报和不充分的分析上，还可能对优质情报的使用不当，导致未能改变安全结果。

尽管追踪CTI的投资回报率没有简单的答案，但许多威胁情报专家表示，CISO们可以通过避免一些常见的情报支出浪费来源来尽量提高计划的效率。以下是五个应避免的错误，以期最大化程序的效率。

CISO要真正从全面的CTI程序中获得价值，需要建立一个坚实的风险管理程序及其基础设施，以适当分析和背景化他们接收的数据。

“CTI真正需要属于您的风险管理范畴，如果您没有风险管理程序，请将其视为优先事项，”Qualys威胁研究部的网络威胁总监Ken Dunham表示。“这应该归结为：您尝试保护哪些核心事务？您的皇冠上的珍珠或高价值资产在哪里？”

没有风险管理来设定这些优先事项，组织将无法为情报收集设定合适的要求，从而收集到与其最有价值资产相关的情报来源。

此外，CTI在用于背景化关于组织基础设施内活动的安全分析时最有价值。这意味着，组织需要理顺他们的分析程序及数据科学和数据管理，以真正挖掘他们所引入的外部情报的价值。

“从战略上讲，平衡降低总拥有成本TCO与安全价值及实现价值的时间，同时与所有重要的内部数据源和工具进行整合，是一个困难的方程式，”Ontinue威胁响应首席Balazs Greksza解释道。“安全问题并非大数据问题；实际上，这是一个‘在正确的时间提供正确的信息和情报’的问题，以得出正确的结论。”

这意味着CISO需要仔细思考内部数据和外部情报将如何互相背景化的所有用例。Greksza表示