漏洞分诊的隐性成本

你已部署漏洞扫描器并运行开放式漏洞悬赏项目。恭喜：你正在采用现代安全实践。报告纷至沓来，你为有效发现支付奖金。表面看来，这是一场胜利。

但深入挖掘，这种持续的信息洪流背后存在隐性成本。真正的开支不是奖金支票，而是你的团队通过分诊区分信号与噪音所消耗的时间和人才。为构建更高效模式的商业案例，请尝试回答以下三个问题。

1. 分诊的真实人力成本是多少？

你的安全团队每周花多少小时对外部报告的漏洞进行分诊、验证和复现？这些工程师的全负荷小时成本是多少？

分诊不是简单一瞥。它涉及验证报告、尝试复现问题、检查重复项并将发现路由到正确团队。这是由专业（且昂贵）工程师执行的高技能工作。

假设你有两名安全工程师，每人每周花10小时进行分诊。即每周20小时。工程师的“全负荷成本”不仅是工资，还包括福利、税费、设备和间接费用，通常将15万美元年薪转化为接近125美元/小时的真实成本。

20小时/周 * 125美元/小时 = 每周2500美元

这意味着每年在人工过滤上花费13万美元。这笔开支不产生新功能或防御措施，仅是勉强维持运营。

你的漏洞悬赏提交中，被关闭为重复、超出范围或不适用的百分比是多少？这种“噪音”如何影响真正关键漏洞的平均修复时间（MTTR）？

财务成本只是故事的一部分。更大的问题是噪音。在开放式漏洞悬赏项目中，超过90%的提交是重复、超出范围、信息性或完全误报的情况很常见。人工智能让情况变得更糟，使研究人员能够提交看似精心制作但最终不可操作的报告。你的团队被迫筛选99个干扰项才能找到一个重要的报告。

这会导致警报疲劳。当你的团队习惯于看到噪音时，他们快速响应真实紧急威胁的能力会逐渐削弱。花在关闭重复报告上的时间，本可用于修补关键远程代码执行漏洞。这会增加你的MTTR，使组织暴露更长时间。安全工具产生的噪音正在削弱你的安全态势。

如果你能收回当前用于漏洞分诊的所有时间，你的团队可以完全执行哪些主动、高价值的安全计划？这些项目的估计商业价值或风险降低是多少？

关键的是，工程师花在分诊上的时间，也是他们无法用于创造真正长期价值工作的时间。

他们本可以做什么？

这是主动的、战略性的工作，能预防漏洞而不仅仅是响应它们。分诊的隐性成本是停滞。你支付高薪让最熟练的安全人才充当人工过滤器，而不是安全架构师。

当你汇总时，隐性成本惊人：直接财务消耗、对真实威胁响应变慢，以及陷入被动循环的战略安全计划。

这是更智能方法的商业案例。提供渗透测试即服务（PTaaS）的平台（如Synack）从根本上解决了这个问题。

在Synack，我们使用名为Sara的AI赋能分诊能力，通过经过审查的可信研究人员社区提供可扩展的人机回环验证。让我们处理100%的分诊工作。到达你团队的报告已经过验证、复现且唯一。

通过消除噪音，你不仅节省13万美元的人力成本。你还赋能团队忽略噪音，专注于重要事项：更快修复漏洞，为未来构建更安全的基础。

Katie Bowen是Synack全球收入高级副总裁。