漏洞分诊的隐藏成本

你已经设置了漏洞扫描器并运行开放的漏洞赏金计划。恭喜：你正在拥抱现代安全实践。报告源源不断，你为有效的发现支付奖金。表面上看起来是成功的。

但深入挖掘，这种持续的信息洪流存在隐藏成本。真正的开销不是赏金支票，而是你的团队仅仅为了通过分诊区分信号与噪声所消耗的时间和人才。为了建立更高效模式的商业案例，请尝试回答以下三个问题。

1. 分诊的真实人力成本是多少？

你的安全团队每周花多少小时对外部报告的漏洞进行分诊、验证和复现？这些工程师的完全加载小时成本是多少？

分诊不是快速浏览。它涉及验证报告、尝试复现问题、检查重复项并将发现路由到正确的团队。这是由专业（且昂贵）的工程师执行的高技能工作。

假设你有两名安全工程师，每人每周花10小时进行分诊。那就是每周20小时。工程师的“完全加载成本”不仅仅是他们的工资；还包括福利、税收、设备和间接费用，通常使15万美元的年薪接近125美元/小时的真实成本。

20小时/周 * 125美元/小时 = 每周2500美元

每年花费在手动过滤上的费用为13万美元。这笔开支不会产生任何新功能或防御；只是让你勉强维持。

你的入站漏洞赏金提交中有多少百分比被关闭为重复、超出范围或不适用？这种“噪声”如何影响真正关键漏洞的平均修复时间（MTTR）？

财务成本只是故事的一部分。更大的问题是噪声。在开放的漏洞赏金计划中，超过90%的提交是重复、超出范围、信息性或完全误报的情况很常见。人工智能通过允许研究人员提交看似精心制作但最终不可操作的报告，使情况变得更糟。你的团队被迫筛选99个无关紧要的报告，才能找到一个重要的报告。

这会产生警报疲劳。当你的团队习惯于看到噪声时，会削弱他们对真正紧急威胁快速反应的能力。花在关闭重复报告上的时间不是用于修补关键RCE的时间。这会增加你的MTTR，使你的组织暴露更长时间。来自安全工具的噪声正在削弱你的安全态势。

如果你能收回目前花在漏洞分诊上的所有时间，你的团队可以完全执行哪些主动、高价值的安全计划？这些项目的估计业务价值或风险降低是多少？

关键的是，你的工程师花在分诊上的时间，就是他们没有花在创造真正长期价值的工作上的时间。

他们本可以做什么？

这是预防漏洞而不仅仅是应对漏洞的主动、战略性工作。分诊的隐藏成本是停滞。你支付给你最有技能的安全人才，让他们成为人类过滤器而不是安全架构师。

当你把这些加起来时，隐藏成本是惊人的：直接的财务流失、对真实威胁响应速度变慢，以及陷入被动循环的战略安全计划。

这就是更智能方法的商业案例。提供渗透测试即服务（PTaaS）的平台，如Synack，从根本上解决了这个问题。

在Synack，我们使用名为Sara的AI增强分诊能力，提供来自经过审查、可信的研究人员社区的可扩展、人在回路（HITL）验证。让我们处理100%的分诊。到达你团队的报告已经经过验证、复现且是唯一的。

通过消除噪声，你不仅节省了13万美元的人力成本。你还使你的团队能够忽略噪声，专注于重要的事情：更快地修复漏洞，为未来构建更安全的基础。

Katie Bowen是Synack的全球收入高级副总裁。