安全預算不斷增加，但是，錢去哪兒了?近期調查研究深入解析未來一年的CISO支出。

企業2022年網絡安全支出預計保持穩定，因為研究表明，幾乎所有首席信息安全官(CISO)都將在新的一年迎來預算增長或持平，只有一小部分安全主管的預算會下降。

信息安全媒體CSO的《2021年安全重點研究》發現，44%的安全主管預期自己的預算在未來12個月內將有所增長，而41%的受訪安全主管見證了自身2021年預算同比增長。54%的受訪安全主管預期自己未來12個月的預算將與去年保持一致。僅2%的受訪者預計預算會減少，相較于6%的受訪者見證了2021年安全開支相比2020年縮水，這一數字可謂小得多了。

安全預算同比增長

關于來年安全預算的趨勢，其他調查研究的結果大同小異。

普華永道《2022年全球數字信任洞察》報告顯示，“投資繼續涌入網絡安全領域”，69%的受訪企業預計其2022年的網絡支出將會增加。有些人甚至預計支出會激增，26%的受訪企業表示來年的網絡支出將激增10%或更多。

與此同時，科技市場研究與咨詢公司Gartner估計，2022年信息安全和風險管理的支出總額將達到1720億美元，高于2021年的1550億美元和前一年的1370億美元。

盡管資金狀態平穩，CISO的手頭也不會太充裕。安全主管和執行顧問表示，安全部門必須持續證明所花安全開支帶來了價值，培育了自身運營，并最終改善了企業的安全狀況。

普華永道網絡與隱私創新研究所負責人Joe Nocera稱：“企業知道風險每天都在增加，因此，持續向網絡安全砸錢。我們從業務主管那里了解到的是，他們愿意不惜一切代價避免因為黑客事件而登上新聞頭條，但不想多花一分不必要的錢，而且想要確保錢都花在了正確的地方。這就需要CEO和CISO通力合作了。CISO需要知道正確的防護級別是什么樣的。”

Nocera補充道：“網絡投資越來越不在于購買技術供應商的最新產品，而更多地在于首先了解業務防護最薄弱的地方，然后根據攻擊發生的概率以及業務損失的嚴重程度來確定安全投資的優先級。”

推動預算的幾個趨勢

EPAM Systems首席信息安全官Sam Rehman表示，2022年的網絡安全預算反映了執行團隊的其他成員和董事會對企業網絡安全計劃的興趣不斷增加。

普華永道的報告表明，“企業明白風險在不斷增加。超過50%的受訪者預計，相比2021年，明年可上報安全事件的數量將迎來激增。”

Rehman表示，攻擊增多只是許多企業增加安全支出的因素之一。他認為，高管同時也看到了數據泄露事件的重大影響。以及在匿名加密貨幣時代，攻擊貨幣化如此簡單，以致于攻擊者一直很有動力主動出擊。

Rehman稱：“這三個因素激化了網絡安全攻防戰。”

決定安全開支的因素

相對應的，企業領導現在想要知道自家公司正處在良好防護狀態下，而且自己足以響應攻擊：防護和彈性兩手都要硬。他們逐漸明白，沒有100%防御這樣的事情，但強大的防御可以贏得時間，可以在造成重大(甚至任何)損害之前，有時間進行檢測、響應和恢復。

Nocera補充道：“為了保護自身及客戶免遭網絡攻擊侵害，大多數企業都會大幅增加其網絡安全開支預算。”

與此同時，安全主管表示，除了高級管理層的同事和董事會成員之外，他們還感受到來自外部實體的成果交付壓力。他們會聽到來自客戶、業務合作伙伴和監管機構說：安全也是我們的首要考慮。

作為KLC咨詢公司總裁的Kyle H. Lai同時也是三個中型公司的虛擬CISO，他指出，美國總統拜登于2021年5月簽署的強化美國網絡安全行政令，也是影響安全預算的一個因素。他還提到了美國聯邦政府和各州政府陸續頒布的多項消費者數據隱私法案和其他立法舉措，認為這些立法是影響CISO需要多少錢和怎么花錢的因素。

Lai表示：“對許多公司而言，這些[監管和立法]動作非常重要，因為他們必須滿足這些要求，尤其是與聯邦政府和國防部合作的公司。”

調查結果支持上述觀察所得。

CSO的《安全重點研究》表明，49%的受訪安全主管將最佳實踐作為其安全支出的決定性因素，49%的受訪者還將合規、監管或強制要求作為決定性因素：這兩個類別并列安全開支決定因素列表榜首。

其次是需要解決不斷變化的勞動力或業務動態(尤其是混合勞動力和遠程辦公)所帶來的逐漸演變的風險(41%);解決遷移到云端等數字化轉型帶來的風險(38%);響應部門內部發生的安全事件(35%);以及對其他部門發生的安全事件做出響應(25%)。

這些因素與未來幾個月CISO預計將資金投入哪些方面有關。

安全開支重點

CSO的調查顯示，支出分布在多個領域，其中20%投入本地基礎設施和硬件，19%用于技術人員，16%用來購買和維護本地工具與軟件——所有這些都為向企業交付安全服務奠定了基礎。

除此之外，還有基于云的安全解決方案(10%)、咨詢服務(7%)、基于云的安全監測服務(7%)、安全意識培訓(7%)、外包評估服務(6%)和外部事件響應服務(5%)。

Gartner最近對信息安全和風險管理支出做出了預測，進一步詳細說明了資金的流向：2022年將有近770億美元流入安全服務，令安全服務成為迄今為止最大的支出類別;300億美元用于基礎設施保護;190億美元投入網絡安全設備;170億美元用于身份與訪問管理。

安全預算分配

將獲得大量預算的其他領域還包括應用安全(66億美元)、綜合風險管理(64億美元)、數據安全(40億美元)、軟件(27億美元)和云安全(14億美元)。

Gartner新興技術和趨勢高級總監分析師Shawn Eftink表示，CISO支出可分為四大塊。

第一大塊用來支持與位置無關的安全，主要是創建網絡安全計劃，將身份視為需要保護的事實邊界。

第二大塊用于支持安全部門的發展。Eftink表示，隨著董事會引入更多具有網絡安全經驗的董事，安全部門正面臨越來越嚴格的審查;這些董事會成員希望看到安全部門的效能提升和明顯成熟，而降低安全產品的復雜性是實現這些期望的關鍵。

第三塊預算面向不斷發展的技術：漏洞和攻擊模擬工具等逐漸成熟的新興技術，以及保護企業不斷延伸的云環境所需的那些技術。

第四塊預算用于外包，也就是幫助提高安全運營效率和應對內部人員配備挑戰的開支。

新投入零信任和增加云數據保護開支

其他安全主管的觀察所得與之類似。他們表示，CISO計劃投資訪問與身份管理軟件、基于角色的訪問控制(RBAC)、用戶行為分析和微分隔等身份驗證技術，從而支持不斷走向成熟的零信任架構。在云安全解決方案上投錢也是CISO的打算之一。他們預備購買自動化和分析攻擊，從而更高效地處理海量安全數據，也計劃引入托管安全服務提供商(MSSP)，增強自家員工的工作。

Nocera稱：“身份與訪問管理、第三方風險管理、實時情報和零信任都是安全投資的重點領域。”

預算花在刀刃上

普華永道第24期《年度全球CEO調查》中，受訪CEO將網絡威脅票選為商業前景的第二大風險，僅次于疫情和其他健康危機。北美和西歐的CEO則將網絡威脅列為第一大風險。

但與此同時，專家表示，CEO不愿意給CISO許諾無限資金支持。安全主管的2022年預算反映出了這一現實。

專家認為，這么做也是情有可原的。

Eftink分享了這一行的普遍想法：“開支并不一定等同于安全。”

事實上，CISO可以預期自己將不得不繼續提高效率，在預算持平或微量增加的條件下產出更高安全效能。要做到這一點，他們將不得不繼續安全左移，從一開始就將安全嵌入到驅動業務的運營流程和數字產品中，并將安全融入公司的架構中。

Eftink表示：“必須轉變思維：應當嵌入安全，而不是將安全當作事后才想起來的補救措施。一定得轉變范式。”

Nocera對此表示同意。

他說：“在分配資金解決這些問題的同時，公司還需要設立集成進整個組織架構的安全體系，將網絡安全變成每個人的責任，而不僅僅是CISO或IT團隊的職責。最終，強大的全公司網絡安全運營可以在公司、利益相關者和消費者之間建立信任，成為競爭優勢。公司當下為強化自身系統而面臨的開支，應該被視為對未來商業模式的投資。”