超越复苏：金钱万能

在第2b部分：超越恢复：探索问题中，我深入研究了需要解决的安全方面的核心问题，强调了经常被忽视，但对安全趋势至关重要的因素。

想象一下，我带着100万美元的预算向首席财务官寻求恢复解决方案。他们说，尽管我们尽了最大努力，并投入了现有的安全开支，但仍无法防止违规行为。因此，当我们最终不可避免地受到攻击时，我们需要将损失降至最低。

无论是否公开提出，我的首席财务官都可能会有一些疑问。一个严厉的质疑者可能会想，如果我们仍然需要恢复解决方案，我们到底要用每年已经分配给安全方面的500万美元做什么。

这可能只会让人怀疑我们维护企业安全的能力，以及我们对现有投资的处理方式，这绝不是一件好事。

评估安全漏洞的可能性

然后他们可能会问，遭受如此严重的打击，产生重大影响的可能性有多大。你可能会给出一个大概的答案，即10%。

那么，当某件事发生的可能性为10%（他们可能认为你早就应该阻止这件事），且无法保证这笔新支出会产生更好的效果时，你会感到惊讶吗？当首席财务官认为，将这笔钱投资于营销会为企业带来更具体的回报时，你会感到惊讶吗？

我不会。我从业务的角度出发看问题时，一点也不会感到惊讶——无论多少安全恐慌和愤怒都无法改变这一点。

现在想象一下，我要求他们为相同的解决方案提供相同的100万美元，但告诉他们，目标是通过减少与每个事件相关的停机时间来降低特定事件的成本。

这意味着我可以投入更少的资源来管理可能导致这些问题的风险，从而腾出时间来修复上游的流程问题，这将减少企业逐年引入和承担的风险。

这反过来意味着我可以减少运营管理风险所需的资源，因为我承担的风险越来越少。如果我们通过解决根源问题，每年可以减少50万美元的支出，那么我每年的安全支出就从目前的500万美元减少到450万美元，然后是400万美元，然后是350万美元。

这也就是说，我现在要求的不是无形风险，而是100万美元的投资，这将在未来三年内带来300万美元的总节省（50万美元+100万美元+150万美元）。回报显而易见。我甚至还没有提到风险降低，实际上风险降低会比第一种情况更大，因为我们将减少可能出错的情况。这意味着事故发生的可能性更小，而且事故发生时，风险也会更小。

因此，通过开展更积极的工作，我将论点从我们可能由于违规而减少公司盈利，转变为我们将通过提高效率来增加公司盈利。

将财务逻辑应用于其他解决方案

同样的财务逻辑也适用于其他安全解决方案。例如，对漏洞扫描平台的投资可以作为一种机制，通过这种机制，我们可以问自己是什么原因导致漏洞，而不是找到并修复它指出的CVE。然后追查不断引入漏洞的原因（或者在缺少补丁的情况下，我们无法自动部署补丁），这样一来，需要干预的问题数量就会随着时间推移而减少。

我们不会仅仅“修复”单个漏洞，而是将每个漏洞视为一条线索，以找出导致积累这些漏洞的原因。这就是我们在上一期航空业案例中看到的事件数量随时间下降的开始。

恢复工作的不同之处在于，它为我们提供了安全网，可以依靠它来释放资源，使其不再用于解决紧急问题，从而可以将其分配给这些主动努力。这一点至关重要，因为根据我的经验，我们目前无法做到这一点，这是我们克服当前安全死亡螺旋的最大障碍。

这就是为什么恢复能力能够极大推动和加速我们企业对攻击的敏感性，同时提高利润。这还不是我们在情况恶化时开始指望它来拯救我们之前的情况。围绕这一点，可以构建一些非常有趣的财务模型，以获得来自企业的支持，而这些支持远远超出了谈论风险的范围。

当然，恢复解决方案越有效、越有保障、越可靠，您就越能减少不利影响，并且可以重新分配更多的资源来降低风险，增加长期利润。这是一个巨大的战略力量倍增器。

让我们再深入一些。到目前为止，我们一直在谈论通过针对根本原因的更具战略性的方法来减少安全工作量和成本，但当您追求质量管理方法而不是风险管理方法时，结果会更多。

解决根本原因

之前我们讨论过，几乎所有安全问题都是质量问题。我们没有提到的是，并非所有质量问题都是安全问题（例如，坏代码可能只是速度慢或不稳定，但不会被恶意分子利用）。但它们通常具有相同的根本原因。

请允许我分享一个具体的例子。想象一下，您的安全团队不堪重负，试图控制每年引入的数千个漏洞，而这些漏洞大部分都是工程部门的不良做法造成的。

您可以通过对开发人员进行培训、更好的筛选、采用更好的实践/流程等来解决问题的根本原因。结果是产生的漏洞数量显著减少，这样就已经在降低安全运营支出方面产生了投资回报。

我曾经遇到过这种情况，并且取得了巨大成功。但这并不是全部。通过解决导致代码和计算实例漏洞的质量问题，应用程序也变得更加稳定、更快，并且更容易根据客户请求进行改进（这也会增加利润）。

结果是，解决问题花费的时间和资源更少，整个企业中使用内部系统的人员的工作效率更高，维持平台正常运行而的工程师不再离职（节省了一大笔招聘费用，并避免了一些对业务产生实际影响的重大短缺）。

最后，客户使用产品的体验更好，从而提高了保留/续约率，甚至提高了员工士气。

接下来是最重要的一点。云计算成本下降了30%，这个数字足以支付整个安全功能的费用。

您可以查看一些将狼重新引入蒙大拿州黄石国家公园的视频。虽然最初的意图是控制麋鹿的数量，但它们的出现改变了一切，从现有的物种、植被类型，甚至河流的流向，以无人能预测的方式大规模恢复了生态系统的平衡。安全作为一项质量功能，实现了非常相似的目标，但只有当您释放足够资源时才能实现。您的安全网越好，就能取得越多的进展（而不是疲于奔波，光忙着救火）。

而恰巧的是，Hitachi Vantara拥有世界上最快的恢复解决方案。

阅读我们的解决方案简介：世界上最快的勒索软件恢复opens in a new tab

来自不可变快照opens in a new tab。

所有这些积极影响都会产生商业价值。我鼓励每一位安全专业人士做两件事。首先，不要仅仅思考管理风险。要思考如何通过解决导致问题的IT和业务流程来降低成本。其次，思考我们的根源/质量导向方法还能为企业带来哪些其他好处。每种好处都会有一个财务模型，该模型能为企业带来价值，并帮助我们获得支持，提升我们的地位，推动我们的计划向前发展。

在下一篇文章中，我们将探讨存储和恢复功能如何帮助我们克服最棘手的障碍：遗留系统和技术债务。

阅读第2a部分：超越恢复：探索问题

其他资源

• 网络研讨会：做好准备，无惧勒索软件攻击
• 洞察文章：在人工智能和混合云时代构建牢不可破的数据基础设施
  
• 博客文章：将NIST的网络安全框架付诸实践