近年来,全球网络安全市场保持了快速平稳增长态势,有研究显示,2022年这一增长趋势仍将持续,几乎所有的企业首席信息安全官( CISO )都表示在新的一年都将增加预算或持平。在2022年,推动企业安全预算增长的原因是什么?哪些企业安全开支将成为优先事项?
网络安全支出整体呈增长趋势
据《2021年安全优先事项研究》发现, 44% 的安全领导者将在未来 12 个月内增加其预算,相较去年的结果—— 41% 的受访者认为 2021 年预算将比 2020 年有所增长,今年的数字略有提升;54% 的受访者表示,他们预计未来12个月的预算将保持不变;只有 2% 的受访者预计预算会减少,相较于去年的结果——6%的受访者认为2021年安全支出将低于2020年,这一数字明显要小得多。
根据普华永道发布的《 2022 年全球数字信任洞察》报告指出,投资持续涌入网络安全领域,69% 的受访组织预计其 2022 年网络支出将有所增长;26% 的受访者预计其来年网络支出将激增 10% 或更多。与此同时,市场研究和咨询公司 Gartner 估计, 2022 年信息安全和风险管理的支出总额将达到 1720 亿美元,高于 2021 年的 1550 亿美元和 2020 年的 1370 亿美元。
尽管资金处于平稳状态,但CISO的手头并不充裕。安全部门必须继续证明他们正在为安全开支创造价值,以不断改善其自身运营,并最终改善组织的安全状况。
普华永道网络与隐私创新研究所负责人Joe Nocera表示,“组织知道风险每天都在增加,因此,资金将源源不断地融入网络安全领域。我们从业务领导者那里听说,他们愿意不惜一切代价避免因黑客攻击事件而登上新闻头条,但他们不想多花一分不必要的钱,必须要确保钱都花在了正确的地方。这就需要 CEO 和 CISO 共同努力,而且 CISO 需要知道什么是正确的防护级别。”
Nocera补充道,“网络投资越来越不在于购买技术供应商的新产品,而更多地在于了解业务较薄弱的地方,然后根据攻击发生的可能性,以及业务损失的严重程度来确定投资的优先级。”
推动预算增长的原因
EPAM Systems 首席信息安全官 Sam Rehman 表示, 2022 年的网络安全预算反映了执行团队和董事会对企业网络安全计划的兴趣不断增加。不断增加的网络攻击量只是组织增加安全支出的原因之一。他认为,高管们也看到了数据泄露事件带来的重大影响,及在匿名加密货币时代,攻击货币化的简单程度也足以吸引攻击者实施攻击活动。这三个因素让网络安全攻防战变得愈发复杂和激烈。
作为回应,企业领导现在想要确保其正在充分保护自己的组织,并且可以充分应对攻击,他们需要安全防护和系统弹性两手抓。企业领导逐渐明白,无法100% 防御攻击,但强大的防御能力可以赢得时间——在造成重大(甚至任何)损害之前,有时间进行检测、响应和恢复。Nocera 补充道,“大多数组织将大幅增加开支预算,以保护自身和客户免遭网络攻击。”
与此同时,安全领导者表示,除了高级管理层和董事会成员之外,他们还感受到来自外部实体的成果交付压力。他们愈发频繁地从客户、业务合作伙伴和监管机构那里获得反馈称,安全也是其首要任务。KLC 咨询公司总裁 Kyle H. Lai 指出,美国总统拜登于 2021 年 5 月签署强化美国网络安全的行政令,也将成为影响安全预算的一个因素。
Kyle H. Lai 还提到,随着越来越多的国家/地区颁布消费者数据隐私法案和其他立法举措,此举也将成为影响 CISO 需要多少钱和怎么花钱的因素。对许多企业而言,这些监管和立法行动非常重要,因为他们必须满足这些要求,尤其是与联邦政府和国防部存在合作关系的公司。调查结果支持了这一观察结果。《 2021 年安全优先事项研究》结果表明, 49% 的受访者将“最佳实践”作为其安全支出的决定性因素, 49% 的受访者还将“合规性、监管或强制要求”作为决定性因素。
除此之外,企业还需要解决不断变化的劳动力或业务动态,尤其是混合劳动力和远程办公所带来的风险( 41% );解决数字化转型(例如迁移到云端)带来的风险( 38% );响应部门内部发生的安全事件( 35% );以及对另一个组织发生的安全事件做出响应( 25% )等。这些因素都会影响未来几个月内 CISO 将资金投入在哪些方面。
安全开支优先事项
调查显示,安全支出分布在多个领域,其中 20% 分配给本地基础设施和硬件, 19% 分配给技术人员, 16% 分配给本地工具与软件,这些为向企业交付安全服务奠定了基础。另外,安全支出还会用在基于云的安全解决方案( 10% )、咨询服务( 7% )、基于云的安全监测服务( 7% )、安全意识培训( 7% )、外包评估服务( 6% )以及外部事件响应服务( 5% )等。
Gartner 对信息安全和风险管理支出的预测,进一步详细说明了资金流向:2022年将有近770 亿美元用于安全服务,使其成为迄今为止较大的支出类别;300 亿美元将用于基础设施保护;190 亿美元用于网络安全设备;170 亿美元用于身份与访问管理。其他将获得大量预算的领域还包括应用程序安全( 66 亿美元)、综合风险管理( 64 亿美元)、数据安全( 40 亿美元)、软件( 27 亿美元)和云安全( 14 亿美元)。
Gartner 新兴技术和趋势高级总监分析师 Shawn Eftink 表示, CISO 支出大致可分为四大领域:一是支持与位置无关的安全性,主要是创建一个网络安全计划,将身份视为需要保护的事实边界;二是支持安全组织发展,随着董事会引入更多具有网络安全经验的董事,安全部门正面临越来越严格的审查,这些董事会成员希望看到安全部门提升效能;三是不断发展的技术,组织会在新兴和成熟的安全技术(例如漏洞和攻击模拟工具),以及保护其不断增长的云环境所需技术上投入更多资金;最后一个是外包,也就是帮助提高安全运营效率及应对内部安全人员缺失的支出。
此外,身份和访问管理、第三方风险管理、实时情报和零信任都是安全投资的重点领域。其他安全领导者还表示, CISO 正计划投资访问与身份管理软件、基于角色的访问控制( RBAC )、用户行为分析和微隔离等身份验证技术,以支持其不断成熟的零信任架构。此外, CISO 也正计划在云安全解决方案上投钱。他们计划购买自动化和分析工具,以更高效地处理海量安全数据。他们还计划聘请托管安全服务提供商( MSSP )来辅助员工工作。
支出≠安全性
在普华永道第 24 期《年度全球 CEO 调查》中,受访 CEO 将网络威胁列为影响商业前景的第二大风险,仅次于疫情和其他健康危机。北美和西欧的 CEO 则将网络威胁列为第一大风险。但与此同时,专家表示, CEO 不愿意给 CISO 许诺无限资金支持。专家认为,这么做情有可原。Eftink 分享了该行业的普遍想法:“更多的支出并不等同于相同程序的安全性。”
事实上, CISO 可以预期,他们将不得不继续提高效率,并在预算持平或微量增加的情况下变得更加高效。要做到这一点,他们将不得不继续安全左移,从一开始就将安全性嵌入到驱动业务的运营流程和数字产品中,并将安全性融入组织的架构中。这一过程中,较关键的就是思维的转变——安全性应该是嵌入系统开发的一部分,而非事后才想起来的补救措施。这种范式转变势在必行。
除此之外,当分配资金解决这些问题时,企业还需要构建跨组织集成的系统,使网络安全成为每个人的责任,而不仅仅是 CISO 或 IT 团队的职责。最终,强大的“全公司式”网络安全运营可以在企业、利益相关者和消费者之间建立信任,成为竞争优势。企业今天为强化自身系统而面临的成本,应该被视为对未来商业模式的投资。
原文参考链接: