展望2025年，保障收入和最小化業(yè)務(wù)風(fēng)險必須成為CISO預(yù)算的核心，投資應(yīng)與業(yè)務(wù)運營相協(xié)調(diào)，以推動優(yōu)先事項。

Forrester最新的安全和風(fēng)險預(yù)算規(guī)劃指南明確指出，保護業(yè)務(wù)關(guān)鍵的IT資產(chǎn)需要成為明年的首要任務(wù)。Forrester在報告中寫道：“CISO在2025年獲得的預(yù)算增長應(yīng)優(yōu)先用于應(yīng)對應(yīng)用安全、人員安全和業(yè)務(wù)關(guān)鍵基礎(chǔ)設(shè)施中的威脅和控制措施。”

CISO必須加倍重視威脅和控制措施，以確保應(yīng)用安全、保護業(yè)務(wù)關(guān)鍵基礎(chǔ)設(shè)施并改善人員風(fēng)險管理。Forrester認為，軟件供應(yīng)鏈安全、API安全和物聯(lián)網(wǎng)/OT威脅檢測是業(yè)務(wù)運營的核心，并建議CISO在這些領(lǐng)域進行投資。

通過在有限預(yù)算下保護新數(shù)字業(yè)務(wù)并保持IT基礎(chǔ)設(shè)施的安全，從而實現(xiàn)收入增長，這已被證明是CISO提升職業(yè)發(fā)展的有效途徑。

首先將網(wǎng)絡(luò)安全視為業(yè)務(wù)決策

Forrester規(guī)劃指南中最有價值的見解是，網(wǎng)絡(luò)安全投資必須首先被視為業(yè)務(wù)決策。報告的關(guān)鍵發(fā)現(xiàn)和指導(dǎo)方針強調(diào)了CISO為何以及如何在工具和支出上進行權(quán)衡，以最大化收入增長并實現(xiàn)穩(wěn)健的投資回報。

Forrester建議CISO仔細審查任何導(dǎo)致技術(shù)蔓延的應(yīng)用程序、工具或套件，并在引入新技術(shù)時將其從技術(shù)堆棧中移除。

Forrester的安全和風(fēng)險預(yù)算規(guī)劃指南中提出的重要見解包括：

? 90%的CISO將在明年看到預(yù)算增加。平均而言，網(wǎng)絡(luò)安全預(yù)算僅占IT年度支出的5.7%?？紤]到CISO保護新收入來源和加固基礎(chǔ)設(shè)施的廣泛職責(zé)，這一比例顯得相對薄弱。Forrester在其《2024年預(yù)算規(guī)劃調(diào)查》中預(yù)測，未來12個月預(yù)算將繼續(xù)增加。10%的人預(yù)計在未來12個月內(nèi)預(yù)算將增長超過10%。三分之一的CISO預(yù)計增長幅度在5%到10%之間，近一半的人預(yù)計增長幅度在1%到4%之間。只有7%的預(yù)算將保持不變，只有3%的人預(yù)計2025年預(yù)算會減少。

? 現(xiàn)在就控制技術(shù)蔓延。Forrester警告說，技術(shù)蔓延是預(yù)算增長的無形殺手。據(jù)最近的ISG研究顯示，CISO的預(yù)算中平均有超過三分之一用于軟件，幾乎是硬件支出的兩倍，也超過了人力成本。Forrester在報告中寫道：“為了應(yīng)對已經(jīng)困擾安全領(lǐng)導(dǎo)者的真正問題——技術(shù)蔓延，我們建議采用保守的方法引入新工具和供應(yīng)商，遵循這一務(wù)實原則：在增加新工具之前，先淘汰掉其他工具?！?/p>

? 云安全、升級后的新安全技術(shù)在本地運行，以及安全意識/培訓(xùn)計劃預(yù)計將在2025年使安全預(yù)算增加10%或更多。值得注意的是，81%的安全技術(shù)決策者預(yù)計他們在2025年的云安全支出將增加，其中37%預(yù)計增長5-10%，30%預(yù)計增長超過10%。云安全的高度優(yōu)先級反映了云環(huán)境、平臺和集成在企業(yè)整體安全態(tài)勢中的關(guān)鍵作用。隨著更多企業(yè)采用并構(gòu)建跨IaaS、PaaS和SaaS的內(nèi)部平臺和應(yīng)用，云安全支出將繼續(xù)增長。

保護收入從API和軟件供應(yīng)鏈開始

每位CISO的核心工作之一是尋找新的方法來保護收入，特別是那些企業(yè)開發(fā)運營團隊正在加班加點推出的數(shù)字優(yōu)先項目。

以下是報告中的優(yōu)先建議：

? 強化軟件供應(yīng)鏈和API安全是必需的。Forrester指出，隨著攻擊面的復(fù)雜性、多樣性和數(shù)量在軟件供應(yīng)鏈和API庫中不斷增加，這兩個領(lǐng)域的安全性迫在眉睫。令人震驚的是，僅在一年內(nèi)就有91%的企業(yè)遭遇了軟件供應(yīng)鏈事件，這突顯了對持續(xù)集成/部署(CI/CD)管道更好保護的需求。開源庫、第三方開發(fā)工具以及幾年前創(chuàng)建的舊API只是使軟件供應(yīng)鏈和API更易受攻擊的幾個威脅向量。

? 惡意攻擊者通常試圖通過廣泛分布的開源組件來進行攻擊，Log4j漏洞就是一個例子。定義一個直接集成到DevOps工作流程中的API安全策略，并將持續(xù)集成和持續(xù)交付(CI/CD)過程視為獨特的威脅面，是當今任何從事DevOps的企業(yè)的基本要求。API檢測與響應(yīng)、修復(fù)策略、風(fēng)險評估和API使用監(jiān)控對于企業(yè)更好地保護這一潛在的攻擊向量也是緊迫的。

物聯(lián)網(wǎng)傳感器繼續(xù)成為攻擊的焦點

物聯(lián)網(wǎng)(IoT)是攻擊者用來攻擊工業(yè)控制系統(tǒng)(ICS)以及每天依賴它們的眾多處理廠、配送中心和制造中心的最受歡迎的攻擊向量。美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)不斷警告，國家級攻擊者正在針對易受攻擊的工業(yè)控制資產(chǎn)，今天該機構(gòu)又發(fā)布了三項新的工業(yè)控制系統(tǒng)公告。

Forrester在今年早些時候發(fā)布的《2024年物聯(lián)網(wǎng)安全的頂級趨勢》中，VentureBeat進行了報道，發(fā)現(xiàn)經(jīng)歷過針對物聯(lián)網(wǎng)設(shè)備的漏洞的企業(yè)相比于經(jīng)歷非物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)攻擊的組織，更有可能報告累積損失在500萬至1000萬美元之間。

“2024年，物聯(lián)網(wǎng)創(chuàng)新的潛力無疑具有變革性，但伴隨著機遇而來的還有風(fēng)險。每個連接的設(shè)備都可能成為惡意行為者的潛在訪問點，” Keyfactor的物聯(lián)網(wǎng)戰(zhàn)略與運營高級副總裁Ellen Boehm表示，在其最近發(fā)布的《連接世界中的數(shù)字信任：導(dǎo)航物聯(lián)網(wǎng)安全現(xiàn)狀》物聯(lián)網(wǎng)安全報告中，Keyfactor發(fā)現(xiàn)，93%的企業(yè)在保護其物聯(lián)網(wǎng)和連接產(chǎn)品方面面臨挑戰(zhàn)。

“我們正在連接所有這些物聯(lián)網(wǎng)設(shè)備，而所有這些連接都會帶來漏洞和風(fēng)險。我認為，在OT(操作技術(shù))網(wǎng)絡(luò)安全方面，涉及的價值和整體風(fēng)險可能比IT網(wǎng)絡(luò)安全還要高。當你想到我們正在保護的基礎(chǔ)設(shè)施和資產(chǎn)類型時，這個風(fēng)險是相當高的，”Honeywell Connected Enterprise的總裁兼首席執(zhí)行官Kevin Dehoff在去年接受采訪時表示。

“大多數(shù)客戶仍在了解其OT網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的現(xiàn)狀。我認為他們將會逐漸意識到問題的嚴重性。我們正在提供OT網(wǎng)絡(luò)安全風(fēng)險的實時視圖?！盌ehoff補充說道。

確保使用零信任模型來保護物聯(lián)網(wǎng)設(shè)備的訪問權(quán)限是降低漏洞威脅的基本措施。國家標準與技術(shù)研究院(NIST)發(fā)布了NIST特別出版物800-207，這對于保護物聯(lián)網(wǎng)設(shè)備非常適用，因為它專注于保護那些傳統(tǒng)基于邊界的安全無法有效覆蓋的網(wǎng)絡(luò)中的每一個端點。

2025年CISO預(yù)算需要以務(wù)實為主導(dǎo)

“Forrester警告說，在一個支離破碎、技術(shù)密集的網(wǎng)絡(luò)安全供應(yīng)商生態(tài)系統(tǒng)中，過多的工具、技術(shù)和嚴重不足的人力仍然是主要問題?！?/p>

考慮將網(wǎng)絡(luò)安全支出首先視為一項商業(yè)投資是Forrester認為其客戶需要更多接受的優(yōu)先事項，因為這一信息在整個指南中得到了強調(diào)。Forrester傳遞的信息是削減技術(shù)擴展，這也是他們之前關(guān)于整合網(wǎng)絡(luò)安全應(yīng)用、工具和套件的必要性時所傳達的。

現(xiàn)在是時候?qū)⒕W(wǎng)絡(luò)安全作為增長引擎來獲得資金支持，而不僅僅是用于威懾的工具。

CISO可以通過尋找機會將自己的角色提升為直接向CEO匯報，并理想情況下加入董事會，幫助引導(dǎo)公司應(yīng)對日益復(fù)雜的威脅環(huán)境，從而達到平衡。