漏洞分诊的隐性成本

你已经设置了漏洞扫描器并运行了一个开放的漏洞赏金计划。恭喜：你正在采用现代安全实践。报告源源不断地涌入，你为有效的发现支付奖金。表面上，这看起来是一场胜利。

但深入挖掘一下，这种持续不断的信息流存在隐性成本。真正的开销不是赏金支票，而是你的团队仅仅为了通过分诊从噪音中分离出信号而消耗的时间和人才。为了建立一个更高效模型的商业案例，试着回答以下三个问题。

1. 分诊的真实人力成本是多少？

你的安全团队每周花多少小时对外部报告的漏洞进行分诊、验证和复现？这些工程师的完全加载小时成本是多少？

分诊不是快速浏览。它涉及验证报告、尝试复现问题、检查重复项并将发现路由到正确的团队。这是由专业（且昂贵）的工程师执行的高技能工作。

假设你有两名安全工程师，每人每周花10小时进行分诊。那就是每周20小时。工程师的“完全加载成本”不仅仅是他们的工资；它包括福利、税收、设备和间接费用，通常使得15万美元的年薪接近125美元/小时的真实成本。

20小时/周 * 125美元/小时 = 每周2500美元

这相当于每年花费13万美元在人工过滤上。这笔开支没有产生任何新功能或防御措施；它只是让你勉强维持。

你的入站漏洞赏金提交中有多少百分比被标记为重复、超出范围或不适用，这种“噪音”如何影响真正关键漏洞的平均修复时间（MTTR）？

财务成本只是故事的一部分。更大的问题是噪音。在开放的漏洞赏金计划中，超过90%的提交是重复、超出范围、信息性的或完全是误报，这很常见。人工智能让情况变得更糟，它允许研究人员提交看似精心制作但最终无法操作的报告。你的团队被迫筛选99个无关紧要的报告，才能找到一个重要的报告。

这会造成警报疲劳。当你的团队习惯于看到噪音时，这会削弱他们对真正紧急威胁做出快速反应的能力。花在关闭重复报告上的时间就是没有用于修补关键远程代码执行（RCE）漏洞的时间。这会增加你的MTTR，使你的组织暴露在风险中的时间更长。来自安全工具的噪音正在破坏你的安全状况。

如果你能收回目前花在漏洞分诊上的所有时间，你的团队可以完全执行哪些主动的、高价值的安全计划，这些项目的估计商业价值或风险降低程度如何？

关键的是，你的工程师花在分诊上的时间，就是他们没有花在创造真正长期价值的工作上的时间。

他们本可以做什么？

这是主动的、战略性的工作，可以预防漏洞，而不仅仅是对其做出反应。分诊的隐性成本是停滞不前。你支付高薪让你最有技能的安全人才充当人工过滤器，而不是安全架构师。

当你把这些加起来时，隐性成本是惊人的：直接的财务消耗、对真实威胁响应速度变慢，以及陷入被动循环的战略安全计划。

这就是更智能方法的商业案例。提供渗透测试即服务（PTaaS）的平台，如Synack，从根本上解决了这个问题。

在Synack，我们使用名为Sara的AI辅助分诊能力，它通过经过审查、可信的研究人员社区提供可扩展的、人在回路（HITL）的验证。让我们处理100%的分诊工作。到达你团队的报告已经过验证、复现且是唯一的。

通过消除噪音，你不仅节省了13万美元的人力成本。你还授权你的团队忽略噪音，专注于重要的事情：更快地修复漏洞，并为未来构建更安全的基础。

Katie Bowen 是 Synack 的全球收入高级副总裁。