近年來，全球網(wǎng)絡(luò)安全市場(chǎng)保持了快速平穩(wěn)增長(zhǎng)態(tài)勢(shì)，有研究顯示，2022年這一增長(zhǎng)趨勢(shì)仍將持續(xù)，幾乎所有的企業(yè)首席信息安全官( CISO )都表示在新的一年都將增加預(yù)算或持平。在2022年，推動(dòng)企業(yè)安全預(yù)算增長(zhǎng)的原因是什么?哪些企業(yè)安全開支將成為優(yōu)先事項(xiàng)?

網(wǎng)絡(luò)安全支出整體呈增長(zhǎng)趨勢(shì)

據(jù)《2021年安全優(yōu)先事項(xiàng)研究》發(fā)現(xiàn)， 44% 的安全領(lǐng)導(dǎo)者將在未來 12 個(gè)月內(nèi)增加其預(yù)算，相較去年的結(jié)果—— 41% 的受訪者認(rèn)為 2021 年預(yù)算將比 2020 年有所增長(zhǎng)，今年的數(shù)字略有提升;54% 的受訪者表示，他們預(yù)計(jì)未來12個(gè)月的預(yù)算將保持不變;只有 2% 的受訪者預(yù)計(jì)預(yù)算會(huì)減少，相較于去年的結(jié)果——6%的受訪者認(rèn)為2021年安全支出將低于2020年，這一數(shù)字明顯要小得多。

根據(jù)普華永道發(fā)布的《 2022 年全球數(shù)字信任洞察》報(bào)告指出，投資持續(xù)涌入網(wǎng)絡(luò)安全領(lǐng)域，69% 的受訪組織預(yù)計(jì)其 2022 年網(wǎng)絡(luò)支出將有所增長(zhǎng);26% 的受訪者預(yù)計(jì)其來年網(wǎng)絡(luò)支出將激增 10% 或更多。與此同時(shí)，市場(chǎng)研究和咨詢公司 Gartner 估計(jì)， 2022 年信息安全和風(fēng)險(xiǎn)管理的支出總額將達(dá)到 1720 億美元，高于 2021 年的 1550 億美元和 2020 年的 1370 億美元。

盡管資金處于平穩(wěn)狀態(tài)，但CISO的手頭并不充裕。安全部門必須繼續(xù)證明他們正在為安全開支創(chuàng)造價(jià)值，以不斷改善其自身運(yùn)營(yíng)，并最終改善組織的安全狀況。

普華永道網(wǎng)絡(luò)與隱私創(chuàng)新研究所負(fù)責(zé)人Joe Nocera表示，“組織知道風(fēng)險(xiǎn)每天都在增加，因此，資金將源源不斷地融入網(wǎng)絡(luò)安全領(lǐng)域。我們從業(yè)務(wù)領(lǐng)導(dǎo)者那里聽說，他們?cè)敢獠幌б磺写鷥r(jià)避免因黑客攻擊事件而登上新聞?lì)^條，但他們不想多花一分不必要的錢，必須要確保錢都花在了正確的地方。這就需要 CEO 和 CISO 共同努力，而且 CISO 需要知道什么是正確的防護(hù)級(jí)別。”

Nocera補(bǔ)充道，“網(wǎng)絡(luò)投資越來越不在于購(gòu)買技術(shù)供應(yīng)商的新產(chǎn)品，而更多地在于了解業(yè)務(wù)較薄弱的地方，然后根據(jù)攻擊發(fā)生的可能性，以及業(yè)務(wù)損失的嚴(yán)重程度來確定投資的優(yōu)先級(jí)。”

推動(dòng)預(yù)算增長(zhǎng)的原因

EPAM Systems 首席信息安全官 Sam Rehman 表示， 2022 年的網(wǎng)絡(luò)安全預(yù)算反映了執(zhí)行團(tuán)隊(duì)和董事會(huì)對(duì)企業(yè)網(wǎng)絡(luò)安全計(jì)劃的興趣不斷增加。不斷增加的網(wǎng)絡(luò)攻擊量只是組織增加安全支出的原因之一。他認(rèn)為，高管們也看到了數(shù)據(jù)泄露事件帶來的重大影響，及在匿名加密貨幣時(shí)代，攻擊貨幣化的簡(jiǎn)單程度也足以吸引攻擊者實(shí)施攻擊活動(dòng)。這三個(gè)因素讓網(wǎng)絡(luò)安全攻防戰(zhàn)變得愈發(fā)復(fù)雜和激烈。

作為回應(yīng)，企業(yè)領(lǐng)導(dǎo)現(xiàn)在想要確保其正在充分保護(hù)自己的組織，并且可以充分應(yīng)對(duì)攻擊，他們需要安全防護(hù)和系統(tǒng)彈性兩手抓。企業(yè)領(lǐng)導(dǎo)逐漸明白，無法100% 防御攻擊，但強(qiáng)大的防御能力可以贏得時(shí)間——在造成重大(甚至任何)損害之前，有時(shí)間進(jìn)行檢測(cè)、響應(yīng)和恢復(fù)。Nocera 補(bǔ)充道，“大多數(shù)組織將大幅增加開支預(yù)算，以保護(hù)自身和客戶免遭網(wǎng)絡(luò)攻擊。”

與此同時(shí)，安全領(lǐng)導(dǎo)者表示，除了高級(jí)管理層和董事會(huì)成員之外，他們還感受到來自外部實(shí)體的成果交付壓力。他們愈發(fā)頻繁地從客戶、業(yè)務(wù)合作伙伴和監(jiān)管機(jī)構(gòu)那里獲得反饋稱，安全也是其首要任務(wù)。KLC 咨詢公司總裁 Kyle H. Lai 指出，美國(guó)總統(tǒng)拜登于 2021 年 5 月簽署強(qiáng)化美國(guó)網(wǎng)絡(luò)安全的行政令，也將成為影響安全預(yù)算的一個(gè)因素。

Kyle H. Lai 還提到，隨著越來越多的國(guó)家/地區(qū)頒布消費(fèi)者數(shù)據(jù)隱私法案和其他立法舉措，此舉也將成為影響 CISO 需要多少錢和怎么花錢的因素。對(duì)許多企業(yè)而言，這些監(jiān)管和立法行動(dòng)非常重要，因?yàn)樗麄儽仨殱M足這些要求，尤其是與聯(lián)邦政府和國(guó)防部存在合作關(guān)系的公司。調(diào)查結(jié)果支持了這一觀察結(jié)果。《 2021 年安全優(yōu)先事項(xiàng)研究》結(jié)果表明， 49% 的受訪者將“最佳實(shí)踐”作為其安全支出的決定性因素， 49% 的受訪者還將“合規(guī)性、監(jiān)管或強(qiáng)制要求”作為決定性因素。

除此之外，企業(yè)還需要解決不斷變化的勞動(dòng)力或業(yè)務(wù)動(dòng)態(tài)，尤其是混合勞動(dòng)力和遠(yuǎn)程辦公所帶來的風(fēng)險(xiǎn)( 41% );解決數(shù)字化轉(zhuǎn)型(例如遷移到云端)帶來的風(fēng)險(xiǎn)( 38% );響應(yīng)部門內(nèi)部發(fā)生的安全事件( 35% );以及對(duì)另一個(gè)組織發(fā)生的安全事件做出響應(yīng)( 25% )等。這些因素都會(huì)影響未來幾個(gè)月內(nèi) CISO 將資金投入在哪些方面。

安全開支優(yōu)先事項(xiàng)

調(diào)查顯示，安全支出分布在多個(gè)領(lǐng)域，其中 20% 分配給本地基礎(chǔ)設(shè)施和硬件， 19% 分配給技術(shù)人員， 16% 分配給本地工具與軟件，這些為向企業(yè)交付安全服務(wù)奠定了基礎(chǔ)。另外，安全支出還會(huì)用在基于云的安全解決方案( 10% )、咨詢服務(wù)( 7% )、基于云的安全監(jiān)測(cè)服務(wù)( 7% )、安全意識(shí)培訓(xùn)( 7% )、外包評(píng)估服務(wù)( 6% )以及外部事件響應(yīng)服務(wù)( 5% )等。

Gartner 對(duì)信息安全和風(fēng)險(xiǎn)管理支出的預(yù)測(cè)，進(jìn)一步詳細(xì)說明了資金流向：2022年將有近770 億美元用于安全服務(wù)，使其成為迄今為止較大的支出類別;300 億美元將用于基礎(chǔ)設(shè)施保護(hù);190 億美元用于網(wǎng)絡(luò)安全設(shè)備;170 億美元用于身份與訪問管理。其他將獲得大量預(yù)算的領(lǐng)域還包括應(yīng)用程序安全( 66 億美元)、綜合風(fēng)險(xiǎn)管理( 64 億美元)、數(shù)據(jù)安全( 40 億美元)、軟件( 27 億美元)和云安全( 14 億美元)。

Gartner 新興技術(shù)和趨勢(shì)高級(jí)總監(jiān)分析師 Shawn Eftink 表示， CISO 支出大致可分為四大領(lǐng)域：一是支持與位置無關(guān)的安全性，主要是創(chuàng)建一個(gè)網(wǎng)絡(luò)安全計(jì)劃，將身份視為需要保護(hù)的事實(shí)邊界;二是支持安全組織發(fā)展，隨著董事會(huì)引入更多具有網(wǎng)絡(luò)安全經(jīng)驗(yàn)的董事，安全部門正面臨越來越嚴(yán)格的審查，這些董事會(huì)成員希望看到安全部門提升效能;三是不斷發(fā)展的技術(shù)，組織會(huì)在新興和成熟的安全技術(shù)(例如漏洞和攻擊模擬工具)，以及保護(hù)其不斷增長(zhǎng)的云環(huán)境所需技術(shù)上投入更多資金;最后一個(gè)是外包，也就是幫助提高安全運(yùn)營(yíng)效率及應(yīng)對(duì)內(nèi)部安全人員缺失的支出。

此外，身份和訪問管理、第三方風(fēng)險(xiǎn)管理、實(shí)時(shí)情報(bào)和零信任都是安全投資的重點(diǎn)領(lǐng)域。其他安全領(lǐng)導(dǎo)者還表示， CISO 正計(jì)劃投資訪問與身份管理軟件、基于角色的訪問控制( RBAC )、用戶行為分析和微隔離等身份驗(yàn)證技術(shù)，以支持其不斷成熟的零信任架構(gòu)。此外， CISO 也正計(jì)劃在云安全解決方案上投錢。他們計(jì)劃購(gòu)買自動(dòng)化和分析工具，以更高效地處理海量安全數(shù)據(jù)。他們還計(jì)劃聘請(qǐng)托管安全服務(wù)提供商( MSSP )來輔助員工工作。

支出≠安全性

在普華永道第 24 期《年度全球 CEO 調(diào)查》中，受訪 CEO 將網(wǎng)絡(luò)威脅列為影響商業(yè)前景的第二大風(fēng)險(xiǎn)，僅次于疫情和其他健康危機(jī)。北美和西歐的 CEO 則將網(wǎng)絡(luò)威脅列為第一大風(fēng)險(xiǎn)。但與此同時(shí)，專家表示， CEO 不愿意給 CISO 許諾無限資金支持。專家認(rèn)為，這么做情有可原。Eftink 分享了該行業(yè)的普遍想法：“更多的支出并不等同于相同程序的安全性。”

事實(shí)上， CISO 可以預(yù)期，他們將不得不繼續(xù)提高效率，并在預(yù)算持平或微量增加的情況下變得更加高效。要做到這一點(diǎn)，他們將不得不繼續(xù)安全左移，從一開始就將安全性嵌入到驅(qū)動(dòng)業(yè)務(wù)的運(yùn)營(yíng)流程和數(shù)字產(chǎn)品中，并將安全性融入組織的架構(gòu)中。這一過程中，較關(guān)鍵的就是思維的轉(zhuǎn)變——安全性應(yīng)該是嵌入系統(tǒng)開發(fā)的一部分，而非事后才想起來的補(bǔ)救措施。這種范式轉(zhuǎn)變勢(shì)在必行。

除此之外，當(dāng)分配資金解決這些問題時(shí)，企業(yè)還需要構(gòu)建跨組織集成的系統(tǒng)，使網(wǎng)絡(luò)安全成為每個(gè)人的責(zé)任，而不僅僅是 CISO 或 IT 團(tuán)隊(duì)的職責(zé)。最終，強(qiáng)大的“全公司式”網(wǎng)絡(luò)安全運(yùn)營(yíng)可以在企業(yè)、利益相關(guān)者和消費(fèi)者之間建立信任，成為競(jìng)爭(zhēng)優(yōu)勢(shì)。企業(yè)今天為強(qiáng)化自身系統(tǒng)而面臨的成本，應(yīng)該被視為對(duì)未來商業(yè)模式的投資。

原文參考鏈接：

https://www.csoonline.com/article/3645091/cybersecurity-spending-trends-for-2022-investing-in-the-future.html

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文