企業的CISO在準備2023年的安全預算時，總有些人會無從下手，總會反問自己“我應該從哪里開始？”。網絡威脅的方式多種多樣且瞬息萬變，保護組織免受其擾，找出關鍵因素，明確最需要關注的風險，對于企業而言，這一任務迫在眉睫。

然而，安全領導者需要開始考慮他們的資金數額以及如何分配預算。

西門羅咨詢公司網絡安全總監 David Chaddock表示：“宏觀層面上來說，在定義戰略目標和制定安全預算時，首席信息安全官應該知道，現實問題讓安全負責人面臨困境——受限于維持目前的安全運營和一些新的安全措施。雖然一些成熟度較高的組織或遭受網絡攻擊的組織已經見識到了多變的網絡威脅的危害，并為此做好準備。然而實際情況是，大多數組織雖然對安全的需求增加了，但是對于安全的預算仍停留在原地。”

影響明年安全預算的關鍵因素可能屬于以下五類：

• 不斷變化的威脅格局
• 經濟趨勢及其對黑客的影響地緣
• 政治事件，例如俄烏戰爭
• 不斷變化的政府和其他法規指導
• 不斷變化的網絡保險要求

CISO需要持續關注這些因素，并且找出確保組織安全的優秀方法。

一、不斷變化的威脅格局

網絡安全威脅格局在不斷變化，隨著新型勒索軟件威脅的出現，以及向云計算的持續發展以及勞動力模式的轉變，變化的步伐似乎已經加快。許多公司的目標也在向數字業務轉變。

Gartner高級研究總監Ruggero Contu表示：“數字化轉型計劃讓整個攻擊者可活動的攻擊面擴大。CISO預算必須能滿足來自外部風險的新要求，而原來的預算重點只是關注內部基礎設施。”

Contu認為，暴露的漏洞（例如未修補的服務器和互聯網連接設備中的開放端口）、云系統配置錯誤、泄露的關鍵信息（例如憑據）和受損資產（例如欺騙域和企業移動應用程序）是未來幾年高頻成為攻擊目標領域的典型案例。

端點設備的快速增長，包括物聯網 (IoT) 的增長，固有的安全風險也將影響支出。

Contu說：“制造、能源、運輸和醫療保健領域的安全預算必須專注于保護受IoT系統漏洞影響的工業環境和系統，以及IT和運營技術 (OT) 的融合。”

二、經濟趨勢導致網絡安全資源稀缺

經濟趨勢，尤其是通貨膨脹，可能對網絡安全支出以及黑客的行為產生重大影響。

咨詢公司 Plante Moran的合伙人兼網絡安全實踐負責人Raj Patel表示，網絡資源的稀缺加上通貨膨脹將是未來12到18個月網絡安全預算和支出增加的最重要因素。

“基本上，每個人聽到的都是網絡預算正在上升，問題是哪些類別正在上升？答案是安全團隊人員配備和安全工具。”

Raj Patel還表示：“網絡人才很難獲得，公司為此要付出更高的工資。這使工資成本增加了至少 10% 到 15%。由于資源稀缺，有8 到 12 年經驗的員工更少了。至于安全產品和服務的趨勢，在過去四年中，管理網絡風險的工具和技術明顯改善了很多。”

此外，Chaddock認為，貧富差距及其帶來的經濟不確定性，將不可避免地導致黑客行為和其他可能破壞穩定的網絡安全事件的增加。隨著公司變得更加數字化，他們將越來越容易受到安全漏洞的影響。

三、增加安全風險的地緣政治事件

要說近今年的國際事件，也許最引人注目的是俄羅斯和烏克蘭之間的戰爭，且可能會繼續對網絡安全和風險產生重大影響。

Contu說，對于某些行業影響尤其明顯，例如政府和其他與國家關鍵基礎設施有關的行業。

在Patel看來，當前的地緣政治事件也讓黑客為國家服務，由國家資助。他們擁有深厚的技術技能，加上所需的資源就可以攻擊美國和歐洲的關鍵基礎設施和公司了。

West Monroe每季度收集來自收入超過5億美元公司的250名C級高管的問卷調查，詢問高管所在公司今年考慮采取哪些安全行動，結果顯示，因為地緣政治和供應鏈不穩定，大多數高管 (60%) 表示，他們正在考慮增加支出或更加關注網絡安全，因為網絡戰已成為獲得競爭優勢的越來越常用的手段之一。

Chaddock 認為，針對烏克蘭而研發的國家級網絡攻擊工具也可以用作他途。大多數組織都沒有得到充分的保護，容易遭受國家間的網絡攻擊，這意味著目前大多數安全計劃已經落后，而且需要在運營資金之外進行大量投資，以‘保持正常運轉’。”

四、不斷變化的監管要求

在過去的幾年里，監管要求一直在變化，包括處理數據隱私的法律。

遵守各種隱私法規和合同中的安全義務的成本正在上升。有些合同可能需要第三方審計師進行獨立測試。由于通貨膨脹和工資上漲，審計師和顧問也在提高費用。

Chaddock認為，組織應該專注于建立整體強大的安全網絡，而不是只關注是否遵從法規。當一個組織真正安全時，實現和維護合規性的成本應該會降低。

不斷發展的監管合規要求，特別是對于那些支持關鍵基礎設施的組織意義重大。盡管需要為此付出較大的代價，且可能會影響日常的安全運營，但是如果對安全防護有益，也應該加大力度完成監管義務。

五、不斷變化的網絡保險要求和不斷上漲的成本

在勒索軟件等攻擊廣為人知之后，越來越多的組織開始購買或至少考慮購買網絡保險計劃。企業如果支付此類保險的費用超出了安全預算，CISO將需要考慮不斷上升的覆蓋成本和其他影響預算的因素。

Patel說：“真正的網絡保險成本正在上漲，幅度約20%到25%，公司可以通過降低覆蓋等級或增加免賠額來降低成本，那將意味著承擔更多風險。一些保險公司會評估企業的網絡安全級別來衡量保險費。企業安全等級越高，保險費用越低。”

Chaddock 說，公司應該將網絡保險的成本包括在內，更重要的是與維護有效和安全的備份以及恢復能力的相關成本。

現在的勒索團伙攻擊企業，利用勒索軟件獲取企業敏感信息，以“不給錢就公開”的方式進行勒索，這讓許多組織陷入財務困境。

因此，如果企業具有安全的、彈性備份能力和恢復能力，那么受到攻擊后的影響將小得多。不管有沒有購買網絡安全保險，這對于企業而言，都是莫大的競爭優勢了。

參考來源：https://www.csoonline.com/article/3666495/5-key-considerations-for-your-2023-cybersecurity-budget-planning.html