网络安全是少数几个成功通常平静的业务职能之一。从外表看,甚至可能看起来平淡无奇。然而,内部却反映了一系列看似平凡的流程和控制,发挥其设计目的:阻止技术事故升级为商业危机。用一个陈旧的比喻来说,当通勤顺利时,没人会想到车里的安全带。但当他们需要时,计算就会改变。
这看似一个奇怪的起点,但这种动态正是网络安全长期存在的一个问题的核心:当它有效时,表面上几乎没有变化。组织中的每个人都能完成自己的工作,这一天看起来和往常一样。但当它失败时呢?每个人都能注意到,哪怕只是因为差距明显,成本也迅速积累。
虽然防止颠覆的需求不可否认,但在竞争的商业优先事项中为此付出的成本辩护并不总是简单易事。业务的其他部分,尤其是利润中心,通常可以指向可见的变化:销售额提升或上市时间缩短。安保很少有这样的奢华。相反,它被要求基于本不该发生的情况来为自己辩护。在预算拉锯战中,这一区分具有实际分量。
如果你觉得这些担忧被夸大了,请考虑:IANS和Artico的一项研究发现,“2025年平均年度安全预算增长率暴跌至4%——这是五年来最低水平,且从2024年的8%大幅下降。” 值得注意的是,研究还发现,“面临预算停滞或减少的CISO人数多于预算增长者,凸显了获取足够网络安全资源的挑战日益加深。”
数学不算?
当你问“当什么都没出错时,如何证明安全的价值?”时,你试图通过指出未发生的灾难来为开支辩护。这种框架让你陷入防御姿态,更不用说它忽视了安全部门日常的大部分工作,最终掩盖了其真实价值。
这也可能助长一种幸存者偏差——一家靠着精简安全预算维持运营的公司高管,往往会告诉他们迄今为止的开支是足够的。然而,几年你的企业没有受到伤害,对下一年的情况几乎没有说明。此外,安全常常伴随着统计学家所说的“肥尾风险”——即一切正常,突然变得异常,损害甚至可能危及生存的风险。随着许多威胁不断演变和监管要求的收紧,这种可能性不会随着时间而改善;如果说有什么变化,那就是更糟。
俗话说,“错误的问题没有正确答案”,所以也许可以重新开始,决定价值应如何被理解。衡量未发生的事情也意味着你只能谈论有限的节省——而非安全运营带来的增长和机遇。在竞争者无法安全环境中继续安全运营的能力是一种竞争优势,但很少被衡量或讨论。
一个值得关注的问题是,“安全让我们做了哪些原本做不到的事情?”这并不是用某种抽象的含义来理解,而是要以非常字面、操作性的方式理解。这样,你就不用证明一个负面的事实,而是能展示一个积极的现实。事实上,安全最终促成或改变的是组织的日常现实和未来前景。
理论与现实的结合
现实的安全现实往往严峻,尤其是在资源长期紧张且被过度针对的小型组织中。由于安全专业知识不易获得,维持全天候内部覆盖往往难以实现。例如,安全监控实际上可能意味着日志被收集并发出警报,但有限的关注和资源导致后续跟踪延迟,甚至根本没有。
这些限制可能带来非常实际的后果。攻击者在公司网络中隐匿的时间越长,就越能深入潜入,窃取王冠上的宝石、寻找备份,或以其他方式找出最能造成伤害的因素。
IBM发布的《2025年数据泄露成本》报告不仅列出了泄露的平均费用(444万美元),还展示了具体安全措施能削减这一金额的程度。专门的安全投资回报率和网络风险量化框架确实存在,但拆解它们是另一个话题。这里关注的是更难衡量的东西。
这也是像托管检测与响应(MDR)这样的服务开始变得合理的背景。其形式可能有所不同,但该服务本质上是主动的——它将检测、响应、威胁研究与情报以及修复相结合,持续运营,使即使是小型组织也能获得过去大型企业专属的覆盖范围。其中之一,这意味着有人一直在观察,可以判断异常信号是无害还是指向恶意活动。
这种变化可能以微小方式显现,但却可能产生重大影响。即使是像试图盗用凭证这样的微妙事件,也能在演变成勒索软件攻击之前被扼杀。此外,拥有此类保障也越来越成为网络保险公司对组织的期望。
结论
狭隘的成本规避论点忽视了服务,甚至整个安全部门所做的事情。安全开支可能不会带来高度可见且令人满意的回报时刻。而无形的因素则非常强大——而且会叠加。安全与每个组织的核心战略目标和需求相呼应,至少因为它有助于不间断的运营、客户信任和合规性。从这个角度看,安全才是急需的结果,而不仅仅是产品或服务。
对于那些不走短路的人来说,安全投资能带来多倍的回报。安全让组织能够成长,因为他们买的是能力——能够大规模运营、进入新市场并提升利润。他们为业务腾出空间。对于有前瞻性的组织来说,这应该是最吸引人的选择。
所以,当公司里的每个人都能正常生活时,值得问问为什么。可能是安全系统正在发挥作用——并且值得应得。