展望2025年，保障收入和最小化業務風險必須成為CISO預算的核心，投資應與業務運營相協調，以推動優先事項。

Forrester最新的安全和風險預算規劃指南明確指出，保護業務關鍵的IT資產需要成為明年的首要任務。Forrester在報告中寫道：“CISO在2025年獲得的預算增長應優先用于應對應用安全、人員安全和業務關鍵基礎設施中的威脅和控制措施。”

CISO必須加倍重視威脅和控制措施，以確保應用安全、保護業務關鍵基礎設施并改善人員風險管理。Forrester認為，軟件供應鏈安全、API安全和物聯網/OT威脅檢測是業務運營的核心，并建議CISO在這些領域進行投資。

通過在有限預算下保護新數字業務并保持IT基礎設施的安全，從而實現收入增長，這已被證明是CISO提升職業發展的有效途徑。

首先將網絡安全視為業務決策

Forrester規劃指南中最有價值的見解是，網絡安全投資必須首先被視為業務決策。報告的關鍵發現和指導方針強調了CISO為何以及如何在工具和支出上進行權衡，以最大化收入增長并實現穩健的投資回報。

Forrester建議CISO仔細審查任何導致技術蔓延的應用程序、工具或套件，并在引入新技術時將其從技術堆棧中移除。

Forrester的安全和風險預算規劃指南中提出的重要見解包括：

? 90%的CISO將在明年看到預算增加。平均而言，網絡安全預算僅占IT年度支出的5.7%。考慮到CISO保護新收入來源和加固基礎設施的廣泛職責，這一比例顯得相對薄弱。Forrester在其《2024年預算規劃調查》中預測，未來12個月預算將繼續增加。10%的人預計在未來12個月內預算將增長超過10%。三分之一的CISO預計增長幅度在5%到10%之間，近一半的人預計增長幅度在1%到4%之間。只有7%的預算將保持不變，只有3%的人預計2025年預算會減少。

? 現在就控制技術蔓延。Forrester警告說，技術蔓延是預算增長的無形殺手。據最近的ISG研究顯示，CISO的預算中平均有超過三分之一用于軟件，幾乎是硬件支出的兩倍，也超過了人力成本。Forrester在報告中寫道：“為了應對已經困擾安全領導者的真正問題——技術蔓延，我們建議采用保守的方法引入新工具和供應商，遵循這一務實原則：在增加新工具之前，先淘汰掉其他工具。”

? 云安全、升級后的新安全技術在本地運行，以及安全意識/培訓計劃預計將在2025年使安全預算增加10%或更多。值得注意的是，81%的安全技術決策者預計他們在2025年的云安全支出將增加，其中37%預計增長5-10%，30%預計增長超過10%。云安全的高度優先級反映了云環境、平臺和集成在企業整體安全態勢中的關鍵作用。隨著更多企業采用并構建跨IaaS、PaaS和SaaS的內部平臺和應用，云安全支出將繼續增長。

保護收入從API和軟件供應鏈開始

每位CISO的核心工作之一是尋找新的方法來保護收入，特別是那些企業開發運營團隊正在加班加點推出的數字優先項目。

以下是報告中的優先建議：

? 強化軟件供應鏈和API安全是必需的。Forrester指出，隨著攻擊面的復雜性、多樣性和數量在軟件供應鏈和API庫中不斷增加，這兩個領域的安全性迫在眉睫。令人震驚的是，僅在一年內就有91%的企業遭遇了軟件供應鏈事件，這突顯了對持續集成/部署(CI/CD)管道更好保護的需求。開源庫、第三方開發工具以及幾年前創建的舊API只是使軟件供應鏈和API更易受攻擊的幾個威脅向量。

? 惡意攻擊者通常試圖通過廣泛分布的開源組件來進行攻擊，Log4j漏洞就是一個例子。定義一個直接集成到DevOps工作流程中的API安全策略，并將持續集成和持續交付(CI/CD)過程視為獨特的威脅面，是當今任何從事DevOps的企業的基本要求。API檢測與響應、修復策略、風險評估和API使用監控對于企業更好地保護這一潛在的攻擊向量也是緊迫的。

物聯網傳感器繼續成為攻擊的焦點

物聯網(IoT)是攻擊者用來攻擊工業控制系統(ICS)以及每天依賴它們的眾多處理廠、配送中心和制造中心的最受歡迎的攻擊向量。美國網絡安全和基礎設施安全局(CISA)不斷警告，國家級攻擊者正在針對易受攻擊的工業控制資產，今天該機構又發布了三項新的工業控制系統公告。

Forrester在今年早些時候發布的《2024年物聯網安全的頂級趨勢》中，VentureBeat進行了報道，發現經歷過針對物聯網設備的漏洞的企業相比于經歷非物聯網設備網絡攻擊的組織，更有可能報告累積損失在500萬至1000萬美元之間。

“2024年，物聯網創新的潛力無疑具有變革性，但伴隨著機遇而來的還有風險。每個連接的設備都可能成為惡意行為者的潛在訪問點，” Keyfactor的物聯網戰略與運營高級副總裁Ellen Boehm表示，在其最近發布的《連接世界中的數字信任：導航物聯網安全現狀》物聯網安全報告中，Keyfactor發現，93%的企業在保護其物聯網和連接產品方面面臨挑戰。

“我們正在連接所有這些物聯網設備，而所有這些連接都會帶來漏洞和風險。我認為，在OT(操作技術)網絡安全方面，涉及的價值和整體風險可能比IT網絡安全還要高。當你想到我們正在保護的基礎設施和資產類型時，這個風險是相當高的，”Honeywell Connected Enterprise的總裁兼首席執行官Kevin Dehoff在去年接受采訪時表示。

“大多數客戶仍在了解其OT網絡和基礎設施的現狀。我認為他們將會逐漸意識到問題的嚴重性。我們正在提供OT網絡安全風險的實時視圖。”Dehoff補充說道。

確保使用零信任模型來保護物聯網設備的訪問權限是降低漏洞威脅的基本措施。國家標準與技術研究院(NIST)發布了NIST特別出版物800-207，這對于保護物聯網設備非常適用，因為它專注于保護那些傳統基于邊界的安全無法有效覆蓋的網絡中的每一個端點。

2025年CISO預算需要以務實為主導

“Forrester警告說，在一個支離破碎、技術密集的網絡安全供應商生態系統中，過多的工具、技術和嚴重不足的人力仍然是主要問題。”

考慮將網絡安全支出首先視為一項商業投資是Forrester認為其客戶需要更多接受的優先事項，因為這一信息在整個指南中得到了強調。Forrester傳遞的信息是削減技術擴展，這也是他們之前關于整合網絡安全應用、工具和套件的必要性時所傳達的。

現在是時候將網絡安全作為增長引擎來獲得資金支持，而不僅僅是用于威懾的工具。

CISO可以通過尋找機會將自己的角色提升為直接向CEO匯報，并理想情況下加入董事會，幫助引導公司應對日益復雜的威脅環境，從而達到平衡。