企業(yè)的CISO在準(zhǔn)備2023年的安全預(yù)算時，總有些人會無從下手，總會反問自己“我應(yīng)該從哪里開始？”。網(wǎng)絡(luò)威脅的方式多種多樣且瞬息萬變，保護組織免受其擾，找出關(guān)鍵因素，明確最需要關(guān)注的風(fēng)險，對于企業(yè)而言，這一任務(wù)迫在眉睫。

然而，安全領(lǐng)導(dǎo)者需要開始考慮他們的資金數(shù)額以及如何分配預(yù)算。

西門羅咨詢公司網(wǎng)絡(luò)安全總監(jiān) David Chaddock表示：“宏觀層面上來說，在定義戰(zhàn)略目標(biāo)和制定安全預(yù)算時，首席信息安全官應(yīng)該知道，現(xiàn)實問題讓安全負(fù)責(zé)人面臨困境——受限于維持目前的安全運營和一些新的安全措施。雖然一些成熟度較高的組織或遭受網(wǎng)絡(luò)攻擊的組織已經(jīng)見識到了多變的網(wǎng)絡(luò)威脅的危害，并為此做好準(zhǔn)備。然而實際情況是，大多數(shù)組織雖然對安全的需求增加了，但是對于安全的預(yù)算仍停留在原地。”

影響明年安全預(yù)算的關(guān)鍵因素可能屬于以下五類：

• 不斷變化的威脅格局
• 經(jīng)濟趨勢及其對黑客的影響地緣
• 政治事件，例如俄烏戰(zhàn)爭
• 不斷變化的政府和其他法規(guī)指導(dǎo)
• 不斷變化的網(wǎng)絡(luò)保險要求

CISO需要持續(xù)關(guān)注這些因素，并且找出確保組織安全的優(yōu)秀方法。

一、不斷變化的威脅格局

網(wǎng)絡(luò)安全威脅格局在不斷變化，隨著新型勒索軟件威脅的出現(xiàn)，以及向云計算的持續(xù)發(fā)展以及勞動力模式的轉(zhuǎn)變，變化的步伐似乎已經(jīng)加快。許多公司的目標(biāo)也在向數(shù)字業(yè)務(wù)轉(zhuǎn)變。

Gartner高級研究總監(jiān)Ruggero Contu表示：“數(shù)字化轉(zhuǎn)型計劃讓整個攻擊者可活動的攻擊面擴大。CISO預(yù)算必須能滿足來自外部風(fēng)險的新要求，而原來的預(yù)算重點只是關(guān)注內(nèi)部基礎(chǔ)設(shè)施?！?/p>

Contu認(rèn)為，暴露的漏洞（例如未修補的服務(wù)器和互聯(lián)網(wǎng)連接設(shè)備中的開放端口）、云系統(tǒng)配置錯誤、泄露的關(guān)鍵信息（例如憑據(jù)）和受損資產(chǎn)（例如欺騙域和企業(yè)移動應(yīng)用程序）是未來幾年高頻成為攻擊目標(biāo)領(lǐng)域的典型案例。

端點設(shè)備的快速增長，包括物聯(lián)網(wǎng) (IoT) 的增長，固有的安全風(fēng)險也將影響支出。

Contu說：“制造、能源、運輸和醫(yī)療保健領(lǐng)域的安全預(yù)算必須專注于保護受IoT系統(tǒng)漏洞影響的工業(yè)環(huán)境和系統(tǒng)，以及IT和運營技術(shù) (OT) 的融合?！?/p>

二、經(jīng)濟趨勢導(dǎo)致網(wǎng)絡(luò)安全資源稀缺

經(jīng)濟趨勢，尤其是通貨膨脹，可能對網(wǎng)絡(luò)安全支出以及黑客的行為產(chǎn)生重大影響。

咨詢公司 Plante Moran的合伙人兼網(wǎng)絡(luò)安全實踐負(fù)責(zé)人Raj Patel表示，網(wǎng)絡(luò)資源的稀缺加上通貨膨脹將是未來12到18個月網(wǎng)絡(luò)安全預(yù)算和支出增加的最重要因素。

“基本上，每個人聽到的都是網(wǎng)絡(luò)預(yù)算正在上升，問題是哪些類別正在上升？答案是安全團隊人員配備和安全工具?！?/p>

Raj Patel還表示：“網(wǎng)絡(luò)人才很難獲得，公司為此要付出更高的工資。這使工資成本增加了至少 10% 到 15%。由于資源稀缺，有8 到 12 年經(jīng)驗的員工更少了。至于安全產(chǎn)品和服務(wù)的趨勢，在過去四年中，管理網(wǎng)絡(luò)風(fēng)險的工具和技術(shù)明顯改善了很多?！?/p>

此外，Chaddock認(rèn)為，貧富差距及其帶來的經(jīng)濟不確定性，將不可避免地導(dǎo)致黑客行為和其他可能破壞穩(wěn)定的網(wǎng)絡(luò)安全事件的增加。隨著公司變得更加數(shù)字化，他們將越來越容易受到安全漏洞的影響。

三、增加安全風(fēng)險的地緣政治事件

要說近今年的國際事件，也許最引人注目的是俄羅斯和烏克蘭之間的戰(zhàn)爭，且可能會繼續(xù)對網(wǎng)絡(luò)安全和風(fēng)險產(chǎn)生重大影響。

Contu說，對于某些行業(yè)影響尤其明顯，例如政府和其他與國家關(guān)鍵基礎(chǔ)設(shè)施有關(guān)的行業(yè)。

在Patel看來，當(dāng)前的地緣政治事件也讓黑客為國家服務(wù)，由國家資助。他們擁有深厚的技術(shù)技能，加上所需的資源就可以攻擊美國和歐洲的關(guān)鍵基礎(chǔ)設(shè)施和公司了。

West Monroe每季度收集來自收入超過5億美元公司的250名C級高管的問卷調(diào)查，詢問高管所在公司今年考慮采取哪些安全行動，結(jié)果顯示，因為地緣政治和供應(yīng)鏈不穩(wěn)定，大多數(shù)高管 (60%) 表示，他們正在考慮增加支出或更加關(guān)注網(wǎng)絡(luò)安全，因為網(wǎng)絡(luò)戰(zhàn)已成為獲得競爭優(yōu)勢的越來越常用的手段之一。

Chaddock 認(rèn)為，針對烏克蘭而研發(fā)的國家級網(wǎng)絡(luò)攻擊工具也可以用作他途。大多數(shù)組織都沒有得到充分的保護，容易遭受國家間的網(wǎng)絡(luò)攻擊，這意味著目前大多數(shù)安全計劃已經(jīng)落后，而且需要在運營資金之外進行大量投資，以‘保持正常運轉(zhuǎn)’。”

四、不斷變化的監(jiān)管要求

在過去的幾年里，監(jiān)管要求一直在變化，包括處理數(shù)據(jù)隱私的法律。

遵守各種隱私法規(guī)和合同中的安全義務(wù)的成本正在上升。有些合同可能需要第三方審計師進行獨立測試。由于通貨膨脹和工資上漲，審計師和顧問也在提高費用。

Chaddock認(rèn)為，組織應(yīng)該專注于建立整體強大的安全網(wǎng)絡(luò)，而不是只關(guān)注是否遵從法規(guī)。當(dāng)一個組織真正安全時，實現(xiàn)和維護合規(guī)性的成本應(yīng)該會降低。

不斷發(fā)展的監(jiān)管合規(guī)要求，特別是對于那些支持關(guān)鍵基礎(chǔ)設(shè)施的組織意義重大。盡管需要為此付出較大的代價，且可能會影響日常的安全運營，但是如果對安全防護有益，也應(yīng)該加大力度完成監(jiān)管義務(wù)。

五、不斷變化的網(wǎng)絡(luò)保險要求和不斷上漲的成本

在勒索軟件等攻擊廣為人知之后，越來越多的組織開始購買或至少考慮購買網(wǎng)絡(luò)保險計劃。企業(yè)如果支付此類保險的費用超出了安全預(yù)算，CISO將需要考慮不斷上升的覆蓋成本和其他影響預(yù)算的因素。

Patel說：“真正的網(wǎng)絡(luò)保險成本正在上漲，幅度約20%到25%，公司可以通過降低覆蓋等級或增加免賠額來降低成本，那將意味著承擔(dān)更多風(fēng)險。一些保險公司會評估企業(yè)的網(wǎng)絡(luò)安全級別來衡量保險費。企業(yè)安全等級越高，保險費用越低。”

Chaddock 說，公司應(yīng)該將網(wǎng)絡(luò)保險的成本包括在內(nèi)，更重要的是與維護有效和安全的備份以及恢復(fù)能力的相關(guān)成本。

現(xiàn)在的勒索團伙攻擊企業(yè)，利用勒索軟件獲取企業(yè)敏感信息，以“不給錢就公開”的方式進行勒索，這讓許多組織陷入財務(wù)困境。

因此，如果企業(yè)具有安全的、彈性備份能力和恢復(fù)能力，那么受到攻擊后的影響將小得多。不管有沒有購買網(wǎng)絡(luò)安全保險，這對于企業(yè)而言，都是莫大的競爭優(yōu)勢了。

參考來源：https://www.csoonline.com/article/3666495/5-key-considerations-for-your-2023-cybersecurity-budget-planning.html