IAM和云安全是2023年网络安全市场的两大增长引擎,而第三方风险管理、人工智能安全、内部威胁则是CISO面临的三大挑战和长期增长热点。
根据Team8调查了全球130名CISO后发布的《2023年全球CISO调查报告》,虽然全球经济面临不确定性,但大多数企业都在增加网络安全预算,其中2023年CISO最为关注并计划增加支出的两大安全细分领域是IAM(身份和访问管理)和云安全服务。
研究发现,2023年网络安全市场的增长驱动力除了IAM和云安全支出的预期增长,还包括CISO正在积极寻找有效解决方案的三大安全挑战:第三方风险管理、人工智能安全以及人为错误/内部风险。
网络安全预算冷热不均
超过一半的受访者(56%)表示网络安全预算从2022年开始有所增加。在技术领域运营的CISO中,约63%表示安全预算有所增加,在工业、制造、移动和能源领域的CISO中,这一比例上升至76%。报告称,大多数拥有超过50名网络安全员工的企业的年度安全预算都超过1000万美元。只有19%的受访者表示安全预算被削减,这主要发生在拥有100名以上网络安全员工的大公司,另外有25%的受访企业表示安全预算没有任何变化。
2023年预算有望增长的网络安全解决方案分为两大类:第一类是IAM(46%),包括身份治理和管理(IGA)、特权访问管理(PAM)、身份验证和机器身份管理。由新冠大流行引发的现有IGA工具/计划未满足的需求,以及远程工作的快速采用和云技术的加速采用(这需要本地和云IAM产品)是扩大IAM投资的主要驱动力。
第二类是云安全(46%)。包括云原生应用平台(CNAPP)、云安全态势管理(CSPM)、云工作负载保护平台(CWPP)以及云检测和响应(CDR)。受访者表示,云计算应用的激增增加了对专用云安全解决方案的需求,以解决标准本地环境不需要的新安全复杂性。
除IAM和云安全外,根据CCgroup的调查,端点安全、应用安全和欺诈预防也是2023年网络安全预算的重点支出项目。
相比之下,风险评估(16%)、安全服务(11%)和基础设施保护(10%)的支出可能要少得多。
而SIEM(安全信息和事件管理)是CISO最迫切想要淘汰或替换的产品。调查表明,许多CISO认为传统SIEM由于人员配置、资金和数据堆栈的限制而缺乏性能。托管服务和旧版扫描工具也是经常提到的需要删除或替换的产品之一。
CISO面临的三大挑战
绝大多数受访CISO都将第三方风险管理(48%)、人工智能安全(48%)和内部威胁(40%)视为企业面临的最严重的安全问题,现有网络安全解决方案无法满足这些领域的需求。
第三方基础设施(包括软件即服务SaaS、平台即服务PaaS和日志即服务LaaS产品)的集成度不断提高,加剧了公司面临的第三方脆弱性。报告称,第三方风险管理解决方案的市场仍然过于分散,迫使CISO在选择风险管理产品时做出妥协。
报告称,生成式人工智能会放大一些第三方风险,例如与SaaS相关的风险,引入目前尚不了解的新威胁。攻击者可以滥用生成式人工智能来识别漏洞,而确保AI代理/模型按预期执行是另一个问题。报告指出,AI模型所使用的数据必须可靠,并且越来越需要解决数据篡改或操纵等安全威胁的解决方案。此外,随着人工智能在企业应用中的快速普及,人工智能和机器学习算法本身也面临不断增长的漏洞和黑客攻击风险。
关于内部威胁和人为因素,CISO们继续面临员工带来的潜在威胁。报告称,到2025年,拥有正式内部风险管理计划的企业数量预计将从目前的10%增加到50%。
安全厂商的价值观/道德水准与产品性价比几乎同等重要
多达61%的美国CISO和48%的英国CISO表示,选择安全供应商时最关注的是性价比,但令人吃惊的是,甲方企业几乎同样重视安全厂商的价值观和道德(分别为60%和47%)。
基于当前的(编者:产品、运营和绩效驱动的)新安全投资理念,甲方企业在编制安全预算时趋于谨慎,对投资有效性要求更高,而不是一味选择便宜的产品和服务。与此同时,他们正在寻找拥有共同价值观和道德水准的合作伙伴。
“过去三年,网络安全格局经历了多次风暴。随着全球经济不确定性的加深,企业在预算分配方面变得更加谨慎,他们将更加仔细地审视供应商(包括其价值观和道德水准),并主动寻找供应商解决其特定问题的能力的证据。”CCgroup网络安全主管Florie Lhuillier表示。
网络安全市场的重心正向欧洲转移
正如知名网络安全风险投资机构EEP(Evolution Equity Partners)指出的,2023年是投资网络安全的最佳时机,因为在经济形势最糟糕的时候恰恰是网络安全创新/创业的黄金时期。Crowdstrike、Okta和Palo Alto Networks等公司都诞生于经济衰退期。后新冠时代虽然投资者信心、利率、经济增长和供需失衡发生了重大变化,但网络安全市场的机遇和增长动力仍然持久强劲。
EEP预测,2023年网络安全市场格局正在经历一次巨变,美国(虽然拥有80-90%的网络安全公司)将不再是全球网络安全市场的中心,以色列以及英国、法国和德国等拥有大量国防预算的国家的公司正在网络安全领域创造令人兴奋的机会。未来几年,欧洲网络安全市场将诞生一家价值数十亿美元的机器学习(最吸引人的应用场景之一是软件开发环境保护)和人工智能公司(基于收入,而不仅仅是估值)。
来源:GoUpSec