研究报告显示：雇员规模为2000人的企业每年在事件分类上花费1600万美。

 

网络安全实际上的标准操作一直都是检测和响应：检测出威胁，然后要么阻止其侵入，要么清除其存在。过去20年间，整个安全产业都是在此基础模型上演进；大多数公司企业在该方法的实现上投资巨大。这种方法可以被描述为“检测保安全”。

最近几年，一种完全不同的网络安全范例出现了，那就是隔离：根本不检测威胁，直接将应用与威胁隔离开来。这种隔离是怎么办到的呢?将应用放到安全容器中执行，让恶意软件无计可施。如果某应用被感染，那就把恶意软件连同容器一起弃用，再重新加载一个干净版本的应用到容器中。这样一来，因为恶意软件做不了恶，所以就没有必要再花费时间和金钱去检测威胁。这就是所谓的隔离模型。

隔离技术提供商的难题是潜在客户已经在检测模型上投入很多，让潜在客户切换成隔离模型，无异于让他们此前的投资打水漂。隔离技术早期开拓者兼行业领袖Bromium公司选择证明没有必要再继续耗费人力去运营“检测保安全”模型及其支持技术。

Bromium委托独立市场研究公司 Vanson Bourne 对500位CISO(美国200；英国200；德国100)进行调查访问，试图了解和展现“检测保安全”模型的运营成本。接受调研的CISO来自雇员规模在1000到5000人的企业，被调研企业的平均雇员规模为2000人。

此项研究的基本结论是：拥有2000名员工的公司采用“检测保安全”模型每年需要花费1670万美元。报告中并未给出采用隔离模型的平均花费是多少，但读者可以认为应该会少很多。

传统安全模型的总成本包括人力成本和技术成本，人力成本包含威胁分类、计算机重装和紧急修复的人力开销，技术成本则在35万美元左右。也就是说，抛弃35万美元的技术成本可以节约1600万美元的人力成本。事实上，如果该报告中测算出的人力成本真的有这么高，那还真有可能可以毫不犹豫地抛弃“检测保安全”模型。然而，这些数字真的可信吗？

报告中的所有成本测算都基于被调查对象的回答。比如说，报告中称，“企业平均每个月紧急修复5次，每次需要13个小时部署。全年就是780个小时。乘以网络安全人员39.24美元的平均时薪，企业每年在紧急修复上的花费就是3万多美元。

但因为是紧急修复，还必须加上1.9万美元的加班费或外包费。换句话说，如果切换到隔离模型，企业每年可省下近5万美元的紧急修复工时开销。

机器重装的开销来自于“检测保安全”模型未能防护住的主机的重建。报告中称，“企业平均每个月重装51台设备，每台花费4个小时重装，也就是每年重装机器要花费2448小时。乘以网络安全人员近40美元的时薪，每年重装机器都要花费近10万美元的工时费。”

所有这些开销看起来都像是“检测保安全”模型的实际成本。这就意味着，选用隔离模型可以省下15万美元的人工费和35万美元的技术购置费，能节省将近50万美元。不仅如此，报告中还称，如果不再需要安全团队进行事件分类，雇员规模在2000人的公司能省下1600万美元的巨资。

这是为什么呢？报告宣称，“安全运营中心(SOC)平均每周要分拣796个警报，每个警报的处理耗时平均为10小时，一年仅在事件警报分拣处理上就要耗费413,920个工时。乘以网络安全人员40美元的平均时薪，那每年在安全事件分类上就要支出1600多万美元。”

算起来似乎是那么回事儿。但从另一个角度去看，每周796个安全警报，每个警报花10小时分拣，那每周就是7960个小时的事件分类工时，得47个员工整周昼夜不停24小时连轴转才干得完。老实说，真的有2000人规模的公司会做这种程度的事件分类工作吗?直言“企业每年花费1600万美元进行事件分类”是不妥当的，具有误导性。

Bromium的CEO说：“应用隔离是新安全栈的最后一道防线，是控制检测型解决方案不断上升的人力开支的唯一办法。应用隔离容许恶意软件完全执行，因为应用是与硬件隔离开的，威胁无处可去，也偷不到什么东西。采用隔离方法就再也不用重镜像和重装，因为机器不受影响。隔离方法还能大幅减少误报，因为SOC团队只会接到真正的威胁警报。紧急修复也不再需要，因为应用已经被放到隔离的容器中保护起来了。而因为SOC团队能够分析完整的杀伤链，事件分类事件也大幅减少了。”

这么说确实没毛病，但是检测型安全方法平均要花1600万美元在事件分类上的说法不敢苟同。不过，隔离模型的确给出了一个节省安全成本的新思路。

(责任编辑：安博涛)