摘要：計(jì)算結(jié)果根據(jù)計(jì)算公式緩解率安全措施的花銷安全措施的花銷，在和緩解率基本相等的情況下，的投資回報(bào)率要遠(yuǎn)高于。對(duì)于中小企業(yè)來(lái)說(shuō)，是投資回報(bào)率比較高的選擇。

前言

任何企業(yè)對(duì)投資都有回報(bào)的要求，回報(bào)可能是直接的「利潤(rùn)」，達(dá)到短期、長(zhǎng)期的目標(biāo)，或者通過(guò)投資減少損失。因此每個(gè)項(xiàng)目的決策者在每筆投資前都要衡量 ROI，證明該投資能達(dá)到的效果和收益，以便在項(xiàng)目結(jié)束時(shí)可以考核和衡量項(xiàng)目是否成功。

同時(shí)通過(guò) ROI 的分析為下一筆預(yù)算請(qǐng)求，提供支持性的證據(jù)。不過(guò)信息安全投資的 ROI 分析，對(duì)每個(gè)決策者都是很艱難的事情。因?yàn)榘踩顿Y對(duì)大多數(shù)企業(yè)來(lái)說(shuō)，并不能帶來(lái)非常直接的收益和利潤(rùn)。

本文主要目的就是和決策者進(jìn)行討論，希望通過(guò)一些簡(jiǎn)單的工具和最佳實(shí)踐，簡(jiǎn)化 ROI 評(píng)估，為決策者在進(jìn)行信息安全投資時(shí)，提供一些決策依據(jù)。當(dāng)然現(xiàn)在信息系統(tǒng)多種多樣，各種軟件和系統(tǒng)差異性非常大，單一通過(guò)簡(jiǎn)單的工具無(wú)法覆蓋所有的可能性，但筆者相信這是一個(gè)非常有益的探索。

基本概念介紹

ROI：在任何企業(yè)或者個(gè)人投資，都是通過(guò)項(xiàng)目結(jié)束后對(duì)投資的效果和收益進(jìn)行評(píng)估投資效果，在金融上來(lái)講叫做投資回報(bào)率（ROI）。ROI 通常是通過(guò)如下的公式來(lái)計(jì)算的： ROI = （收入- 投資總額） / 投資總額×100%。

舉個(gè)例子，張三負(fù)責(zé)投資項(xiàng)目，他和老板申請(qǐng)了2000元的啟動(dòng)資金，張三和老板約定收入五五分成，項(xiàng)目結(jié)束后總共收入10000元，老板得到5000元，投資回報(bào)率計(jì)算如下 （5000 - 2000） / 2000 = 150%

安全投資回報(bào)率（ROSI）：ROI 適用于所有投資，安全投資也不例外，安全投資決策者也需要知道信息安全投資的底線在哪里，哪些地方進(jìn)行安全投資是收益最高的，哪些安全產(chǎn)品是投資回報(bào)率最高的。在信息安全投資領(lǐng)域，ROSI 能給決策者提供定量的指標(biāo)：

是否對(duì)信息安全投資過(guò)度，造成浪費(fèi)

信息安全缺乏是否會(huì)對(duì)企業(yè)收益造成影響

安全投資到什么程度就夠了

什么安全產(chǎn)品或者方案對(duì)企業(yè)有利

安全投資的一些困惑：傳統(tǒng)的投資回報(bào)率計(jì)算方式并不十分適合信息安全投資，安全投資并不能帶來(lái)利潤(rùn)，它通常是防止公司財(cái)產(chǎn)損失，換句話說(shuō)就是投資安全不要期望有利潤(rùn)回報(bào)。因此計(jì)算信息安全投資回報(bào)率應(yīng)該計(jì)算通過(guò)安全投資避免了多少損失。

安全成本效益示意圖

ROSI 計(jì)算方法論

因此計(jì)算 ROSI 首先要能夠評(píng)估一項(xiàng)安全投資能避免什么樣潛在的安全風(fēng)險(xiǎn)（風(fēng)險(xiǎn)評(píng)估），然后根據(jù)定量的方法將這些風(fēng)險(xiǎn)帶來(lái)的損失，轉(zhuǎn)換成可以衡量的貨幣價(jià)值。

風(fēng)險(xiǎn)評(píng)估的基本概念

任何評(píng)估都是將大的任務(wù)分成可以度量的小單元，風(fēng)險(xiǎn)評(píng)估也是如此，安全風(fēng)險(xiǎn)可以分成以下幾個(gè)部分：

單一預(yù)期損失（SLE）：就是一項(xiàng)網(wǎng)絡(luò)攻擊發(fā)生時(shí)預(yù)期會(huì)造成的損失，這里單指這項(xiàng)攻擊發(fā)生一次產(chǎn)生的損失。網(wǎng)絡(luò)威脅的特殊性，在計(jì)算損失時(shí)相對(duì)比較復(fù)雜，比如一臺(tái)筆記本丟了，不管要計(jì)算筆記本的價(jià)值，還應(yīng)該加上購(gòu)買成本，IT 支持，生產(chǎn)力的損失，聲譽(yù)，知識(shí)產(chǎn)權(quán)損失等等。

網(wǎng)絡(luò)攻擊事件的總成本應(yīng)包括直接損失的成本（網(wǎng)站停機(jī)時(shí)間、硬件更換、數(shù)據(jù)丟失更換等）和間接損失成本（調(diào)查時(shí)間、聲譽(yù)損失、對(duì)圖像的影響等）

關(guān)于如何計(jì)算網(wǎng)絡(luò)攻擊對(duì)企業(yè)的具體損失，沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)，具體的計(jì)算取決于企業(yè)的經(jīng)營(yíng)目標(biāo)、文化價(jià)值觀和現(xiàn)有的安全措施等。還是用被偷的筆記本來(lái)說(shuō)，對(duì)普通公司普通員工沒(méi)有什么機(jī)密在里面，損失也就是買機(jī)器的4000塊錢，但對(duì)于保密單位的電腦就可能損失一萬(wàn)塊，甚至如果是知識(shí)產(chǎn)權(quán)，核心機(jī)密損失就無(wú)可估量。雖然計(jì)算損失的方式依賴的條件多種多樣，但是統(tǒng)一的計(jì)算方式還是非常重要的。

網(wǎng)絡(luò)威脅在一年中發(fā)生的概率（ARO）：就是某種網(wǎng)絡(luò)威脅在一年中可能發(fā)生的概率和次數(shù)，這種評(píng)估也是根據(jù)具體的網(wǎng)絡(luò)環(huán)境和安全保護(hù)措施，也是根據(jù)經(jīng)驗(yàn)得出的一個(gè)估計(jì)得值。

例如洪水發(fā)生的概率是根據(jù)當(dāng)?shù)氐牡刭|(zhì)條件和降水情況而定的。安全威脅發(fā)生的概率也是根據(jù)企業(yè)的成熟度，人員的安全意識(shí)和技能以及安全防護(hù)工具的完備性決定的決定的，比如軟件提供商通過(guò)嚴(yán)格的安全檢驗(yàn)和測(cè)試，漏洞很少，那么漏洞攻擊發(fā)生的概率就小很多。再比如企業(yè)在每臺(tái)機(jī)器裝上最新反病毒軟件，那么被病毒感染的幾率就小很多。

每年網(wǎng)絡(luò)攻擊造成的損失（ALE）：就是指特定的網(wǎng)絡(luò)攻擊在一年里可能給公司或者組織造成的潛在損失，計(jì)算公式：ALE = ARO * SLE

ROSI 計(jì)算

ROSI 主要是綜合定量預(yù)估的風(fēng)險(xiǎn)損失和部署安全措施的花銷。在最后比較ALE和實(shí)際通過(guò)部署安全措施挽回的損失，根據(jù) ROI，ROSI 的計(jì)算公式如下：ROSI = （減少的損失 - 安全措施的花銷） / 安全措施的花銷。

使用有效的安全措施可以有效的減低 ALE：安全措施越得力，ALE 降低的越多，我們實(shí)際的收益就越高，實(shí)際的收益就是不使用安全措施的 ALE 和使用安全措施以后的 ALE（用 mALE 表示）之差。ROSI 公式可以改為： ROSI = （ALE - mALE - 安全措施的花銷） / 安全措施的花銷

還可以通過(guò)緩解率來(lái)計(jì)算，緩解率就是實(shí)施某個(gè)安全措施后減少攻擊的比例，ROSI 公式可以表示為：ROSI = （ALE * 緩解率 - 安全措施的花銷） / 安全措施的花銷

舉個(gè)例子：A 公司正在考慮投資一個(gè)防病毒解決方案。每年該公司遭受5個(gè)病毒攻擊（ARO = 5）。該組織估計(jì)，在數(shù)據(jù)和生產(chǎn)力損失的成本每攻擊約15000元（SLE = 15000）。實(shí)施防病毒解決方案預(yù)計(jì)將減少80%的攻擊（緩解率= 80%），實(shí)施成本25000（每年授權(quán)費(fèi)1500 + 10000培訓(xùn)、安裝、維護(hù)等）。

該解決方案的安全投資回報(bào)，可以通過(guò)計(jì)算如下：（5 15000） 0.8 - 25000 / 25000 = 140%
根據(jù) ROSI 公式計(jì)算，這個(gè)反病毒解決方案是一個(gè)收益率非常不錯(cuò)的解決方案。

總結(jié): ROSI 的計(jì)算是基于3個(gè)變量：估計(jì)潛在損失（ALE），估計(jì)風(fēng)險(xiǎn)緩解，和解決方案的實(shí)施成本。如果解決方案的成本比較容易預(yù)測(cè),所有間接成本都考慮進(jìn)來(lái),其他兩個(gè)變量也預(yù)估的比較正確，這樣 ROSI 就比較好算了。

對(duì) WAF（Web應(yīng)用防火墻）和 RASP（運(yùn)行時(shí)應(yīng)用安全自我防護(hù)）進(jìn)行 ROSI 分析

根據(jù) Gartner 的分析，80%的攻擊都是發(fā)生在應(yīng)用層，應(yīng)用層安全防護(hù)是當(dāng)前的熱點(diǎn)。目前應(yīng)用安全主要有 WAF 和 RASP 兩種解決方案，WAF 是比較成熟的解決方案，RASP 是最近兩年出現(xiàn)的新技術(shù)，首先對(duì)兩種技術(shù)的特點(diǎn)做簡(jiǎn)單的介紹，然后從 ROSI 的角度對(duì)兩種解決方案進(jìn)行評(píng)估。

WAF 設(shè)置在 Web 應(yīng)用程序的前方，提前截獲發(fā)往 Web 應(yīng)用程序的所有用戶請(qǐng)求，并根據(jù)預(yù)定義規(guī)則對(duì)其進(jìn)行評(píng)估，查看其輸入內(nèi)容是否可能攻擊應(yīng)用程序。

要實(shí)現(xiàn)這個(gè)過(guò)程需要進(jìn)行非常繁瑣的配置，而且通常 WAF 會(huì)設(shè)置「失效開放」開關(guān)以避免在高負(fù)荷情況下造成大量的誤殺以及對(duì)性能的過(guò)大影響 WAF 轉(zhuǎn)入「失效開放」?fàn)顟B(tài)后會(huì)放行所有通信流量，不再進(jìn)行監(jiān)測(cè)，當(dāng)然也不再為 Web 應(yīng)用程序提供保護(hù)，而這正是 Web 應(yīng)用程序最需要保護(hù)的時(shí)候。為使 WAF 在高負(fù)荷情況下也能正常工作，需要深入了解 Web 應(yīng)用程序的哪些輸入中存在漏洞，這樣才能為這些輸入字段采取合適的保護(hù)措施。

RASP 技術(shù)的實(shí)現(xiàn)方式則完全不同，它將框架與底層代碼庫(kù)集成在一起，從源代碼級(jí)別為應(yīng)用程序中易受攻擊的區(qū)域提供保護(hù)。當(dāng)客戶端發(fā)出一個(gè)函數(shù)調(diào)用，而調(diào)用中的參數(shù)可能會(huì)傷害 Web 應(yīng)用程序時(shí)， RASP 會(huì)在運(yùn)行時(shí)截取該調(diào)用，然后根據(jù)具體配置，對(duì)該次調(diào)用進(jìn)行記錄或阻止。這種保護(hù)方法與 WAF 有著本質(zhì)的區(qū)別。

首先考慮成本

根據(jù) WAF 的特點(diǎn)一個(gè)企業(yè)一般最少需要一臺(tái)，根據(jù)網(wǎng)上價(jià)格：1000M 大概在20萬(wàn)左右，一臺(tái)機(jī)器估計(jì)能用5年。WAF 配置復(fù)雜，專業(yè)的管理員大概一年費(fèi)用在10萬(wàn)（兼職）。 加上每年的服務(wù)費(fèi)，使用 WAF 最低一年20萬(wàn)人民幣。

RASP 現(xiàn)在公開報(bào)價(jià)的 HP 和 OneRASP 一個(gè)探針大概一個(gè)月800月，一個(gè)中型企業(yè)大概有20臺(tái)服務(wù)器折后大概在10萬(wàn)元左右，而 RASP 沒(méi)有復(fù)雜的配置由IT管理員兼任就可以，RASP 成本大概是10萬(wàn)元每年。

能減少的損失

WAF 和 RASP 都可以抵御 Web 網(wǎng)絡(luò)攻擊，RASP 具備 WAF 沒(méi)有的特點(diǎn)，除了 Web 應(yīng)用程序還可以保護(hù)應(yīng)用程序，不可繞過(guò)，沒(méi)有防御盲點(diǎn)等。所以兩者的 ALE 和緩解率基本相同，RASP 略高。

ROSI計(jì)算結(jié)果

根據(jù) ROSI 計(jì)算公式： ROSI = （ALE * 緩解率 - 安全措施的花銷） / 安全措施的花銷， 在ALE和緩解率基本相等的情況下，RASP 的投資回報(bào)率要遠(yuǎn)高于 WAF。企業(yè)安全決策者在選擇應(yīng)用安全防護(hù)時(shí)不妨考慮一下 RASP，尤其是在安全方面預(yù)算有限的企業(yè)。RASP 雖然產(chǎn)品化時(shí)間較短，但這幾年成長(zhǎng)速度非?？欤趪?guó)外 Waratek 和 HP 比較有名，國(guó)內(nèi)現(xiàn)在有 OneRASP。

當(dāng)然在預(yù)算比較充裕的情況下，最理想的選擇是將 WAF 和 RASP 結(jié)合起來(lái)使用。對(duì)于中小企業(yè)來(lái)說(shuō)，RASP 是投資回報(bào)率比較高的選擇。