近年來，全球網(wǎng)絡(luò)安全市場保持了快速平穩(wěn)增長態(tài)勢，有研究顯示，2022年這一增長趨勢仍將持續(xù)，幾乎所有的企業(yè)首席信息安全官( CISO )都表示在新的一年都將增加預(yù)算或持平。在2022年，推動企業(yè)安全預(yù)算增長的原因是什么?哪些企業(yè)安全開支將成為優(yōu)先事項?

網(wǎng)絡(luò)安全支出整體呈增長趨勢

據(jù)《2021年安全優(yōu)先事項研究》發(fā)現(xiàn)， 44% 的安全領(lǐng)導(dǎo)者將在未來 12 個月內(nèi)增加其預(yù)算，相較去年的結(jié)果—— 41% 的受訪者認(rèn)為 2021 年預(yù)算將比 2020 年有所增長，今年的數(shù)字略有提升;54% 的受訪者表示，他們預(yù)計未來12個月的預(yù)算將保持不變;只有 2% 的受訪者預(yù)計預(yù)算會減少，相較于去年的結(jié)果——6%的受訪者認(rèn)為2021年安全支出將低于2020年，這一數(shù)字明顯要小得多。

根據(jù)普華永道發(fā)布的《 2022 年全球數(shù)字信任洞察》報告指出，投資持續(xù)涌入網(wǎng)絡(luò)安全領(lǐng)域，69% 的受訪組織預(yù)計其 2022 年網(wǎng)絡(luò)支出將有所增長;26% 的受訪者預(yù)計其來年網(wǎng)絡(luò)支出將激增 10% 或更多。與此同時，市場研究和咨詢公司 Gartner 估計， 2022 年信息安全和風(fēng)險管理的支出總額將達(dá)到 1720 億美元，高于 2021 年的 1550 億美元和 2020 年的 1370 億美元。

盡管資金處于平穩(wěn)狀態(tài)，但CISO的手頭并不充裕。安全部門必須繼續(xù)證明他們正在為安全開支創(chuàng)造價值，以不斷改善其自身運營，并最終改善組織的安全狀況。

普華永道網(wǎng)絡(luò)與隱私創(chuàng)新研究所負(fù)責(zé)人Joe Nocera表示，“組織知道風(fēng)險每天都在增加，因此，資金將源源不斷地融入網(wǎng)絡(luò)安全領(lǐng)域。我們從業(yè)務(wù)領(lǐng)導(dǎo)者那里聽說，他們愿意不惜一切代價避免因黑客攻擊事件而登上新聞頭條，但他們不想多花一分不必要的錢，必須要確保錢都花在了正確的地方。這就需要 CEO 和 CISO 共同努力，而且 CISO 需要知道什么是正確的防護(hù)級別。”

Nocera補充道，“網(wǎng)絡(luò)投資越來越不在于購買技術(shù)供應(yīng)商的新產(chǎn)品，而更多地在于了解業(yè)務(wù)較薄弱的地方，然后根據(jù)攻擊發(fā)生的可能性，以及業(yè)務(wù)損失的嚴(yán)重程度來確定投資的優(yōu)先級。”

推動預(yù)算增長的原因

EPAM Systems 首席信息安全官 Sam Rehman 表示， 2022 年的網(wǎng)絡(luò)安全預(yù)算反映了執(zhí)行團隊和董事會對企業(yè)網(wǎng)絡(luò)安全計劃的興趣不斷增加。不斷增加的網(wǎng)絡(luò)攻擊量只是組織增加安全支出的原因之一。他認(rèn)為，高管們也看到了數(shù)據(jù)泄露事件帶來的重大影響，及在匿名加密貨幣時代，攻擊貨幣化的簡單程度也足以吸引攻擊者實施攻擊活動。這三個因素讓網(wǎng)絡(luò)安全攻防戰(zhàn)變得愈發(fā)復(fù)雜和激烈。

作為回應(yīng)，企業(yè)領(lǐng)導(dǎo)現(xiàn)在想要確保其正在充分保護(hù)自己的組織，并且可以充分應(yīng)對攻擊，他們需要安全防護(hù)和系統(tǒng)彈性兩手抓。企業(yè)領(lǐng)導(dǎo)逐漸明白，無法100% 防御攻擊，但強大的防御能力可以贏得時間——在造成重大(甚至任何)損害之前，有時間進(jìn)行檢測、響應(yīng)和恢復(fù)。Nocera 補充道，“大多數(shù)組織將大幅增加開支預(yù)算，以保護(hù)自身和客戶免遭網(wǎng)絡(luò)攻擊。”

與此同時，安全領(lǐng)導(dǎo)者表示，除了高級管理層和董事會成員之外，他們還感受到來自外部實體的成果交付壓力。他們愈發(fā)頻繁地從客戶、業(yè)務(wù)合作伙伴和監(jiān)管機構(gòu)那里獲得反饋稱，安全也是其首要任務(wù)。KLC 咨詢公司總裁 Kyle H. Lai 指出，美國總統(tǒng)拜登于 2021 年 5 月簽署強化美國網(wǎng)絡(luò)安全的行政令，也將成為影響安全預(yù)算的一個因素。

Kyle H. Lai 還提到，隨著越來越多的國家/地區(qū)頒布消費者數(shù)據(jù)隱私法案和其他立法舉措，此舉也將成為影響 CISO 需要多少錢和怎么花錢的因素。對許多企業(yè)而言，這些監(jiān)管和立法行動非常重要，因為他們必須滿足這些要求，尤其是與聯(lián)邦政府和國防部存在合作關(guān)系的公司。調(diào)查結(jié)果支持了這一觀察結(jié)果。《 2021 年安全優(yōu)先事項研究》結(jié)果表明， 49% 的受訪者將“最佳實踐”作為其安全支出的決定性因素， 49% 的受訪者還將“合規(guī)性、監(jiān)管或強制要求”作為決定性因素。

除此之外，企業(yè)還需要解決不斷變化的勞動力或業(yè)務(wù)動態(tài)，尤其是混合勞動力和遠(yuǎn)程辦公所帶來的風(fēng)險( 41% );解決數(shù)字化轉(zhuǎn)型(例如遷移到云端)帶來的風(fēng)險( 38% );響應(yīng)部門內(nèi)部發(fā)生的安全事件( 35% );以及對另一個組織發(fā)生的安全事件做出響應(yīng)( 25% )等。這些因素都會影響未來幾個月內(nèi) CISO 將資金投入在哪些方面。

安全開支優(yōu)先事項

調(diào)查顯示，安全支出分布在多個領(lǐng)域，其中 20% 分配給本地基礎(chǔ)設(shè)施和硬件， 19% 分配給技術(shù)人員， 16% 分配給本地工具與軟件，這些為向企業(yè)交付安全服務(wù)奠定了基礎(chǔ)。另外，安全支出還會用在基于云的安全解決方案( 10% )、咨詢服務(wù)( 7% )、基于云的安全監(jiān)測服務(wù)( 7% )、安全意識培訓(xùn)( 7% )、外包評估服務(wù)( 6% )以及外部事件響應(yīng)服務(wù)( 5% )等。

Gartner 對信息安全和風(fēng)險管理支出的預(yù)測，進(jìn)一步詳細(xì)說明了資金流向：2022年將有近770 億美元用于安全服務(wù)，使其成為迄今為止較大的支出類別;300 億美元將用于基礎(chǔ)設(shè)施保護(hù);190 億美元用于網(wǎng)絡(luò)安全設(shè)備;170 億美元用于身份與訪問管理。其他將獲得大量預(yù)算的領(lǐng)域還包括應(yīng)用程序安全( 66 億美元)、綜合風(fēng)險管理( 64 億美元)、數(shù)據(jù)安全( 40 億美元)、軟件( 27 億美元)和云安全( 14 億美元)。

Gartner 新興技術(shù)和趨勢高級總監(jiān)分析師 Shawn Eftink 表示， CISO 支出大致可分為四大領(lǐng)域：一是支持與位置無關(guān)的安全性，主要是創(chuàng)建一個網(wǎng)絡(luò)安全計劃，將身份視為需要保護(hù)的事實邊界;二是支持安全組織發(fā)展，隨著董事會引入更多具有網(wǎng)絡(luò)安全經(jīng)驗的董事，安全部門正面臨越來越嚴(yán)格的審查，這些董事會成員希望看到安全部門提升效能;三是不斷發(fā)展的技術(shù)，組織會在新興和成熟的安全技術(shù)(例如漏洞和攻擊模擬工具)，以及保護(hù)其不斷增長的云環(huán)境所需技術(shù)上投入更多資金;最后一個是外包，也就是幫助提高安全運營效率及應(yīng)對內(nèi)部安全人員缺失的支出。

此外，身份和訪問管理、第三方風(fēng)險管理、實時情報和零信任都是安全投資的重點領(lǐng)域。其他安全領(lǐng)導(dǎo)者還表示， CISO 正計劃投資訪問與身份管理軟件、基于角色的訪問控制( RBAC )、用戶行為分析和微隔離等身份驗證技術(shù)，以支持其不斷成熟的零信任架構(gòu)。此外， CISO 也正計劃在云安全解決方案上投錢。他們計劃購買自動化和分析工具，以更高效地處理海量安全數(shù)據(jù)。他們還計劃聘請托管安全服務(wù)提供商( MSSP )來輔助員工工作。

支出≠安全性

在普華永道第 24 期《年度全球 CEO 調(diào)查》中，受訪 CEO 將網(wǎng)絡(luò)威脅列為影響商業(yè)前景的第二大風(fēng)險，僅次于疫情和其他健康危機。北美和西歐的 CEO 則將網(wǎng)絡(luò)威脅列為第一大風(fēng)險。但與此同時，專家表示， CEO 不愿意給 CISO 許諾無限資金支持。專家認(rèn)為，這么做情有可原。Eftink 分享了該行業(yè)的普遍想法：“更多的支出并不等同于相同程序的安全性。”

事實上， CISO 可以預(yù)期，他們將不得不繼續(xù)提高效率，并在預(yù)算持平或微量增加的情況下變得更加高效。要做到這一點，他們將不得不繼續(xù)安全左移，從一開始就將安全性嵌入到驅(qū)動業(yè)務(wù)的運營流程和數(shù)字產(chǎn)品中，并將安全性融入組織的架構(gòu)中。這一過程中，較關(guān)鍵的就是思維的轉(zhuǎn)變——安全性應(yīng)該是嵌入系統(tǒng)開發(fā)的一部分，而非事后才想起來的補救措施。這種范式轉(zhuǎn)變勢在必行。

除此之外，當(dāng)分配資金解決這些問題時，企業(yè)還需要構(gòu)建跨組織集成的系統(tǒng)，使網(wǎng)絡(luò)安全成為每個人的責(zé)任，而不僅僅是 CISO 或 IT 團隊的職責(zé)。最終，強大的“全公司式”網(wǎng)絡(luò)安全運營可以在企業(yè)、利益相關(guān)者和消費者之間建立信任，成為競爭優(yōu)勢。企業(yè)今天為強化自身系統(tǒng)而面臨的成本，應(yīng)該被視為對未來商業(yè)模式的投資。

原文參考鏈接：

https://www.csoonline.com/article/3645091/cybersecurity-spending-trends-for-2022-investing-in-the-future.html

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文