信息來(lái)源：安全內(nèi)參

安全預(yù)算不斷增加，但是，錢去哪兒了？近期調(diào)查研究深入解析未來(lái)一年的CISO支出。

企業(yè)2022年網(wǎng)絡(luò)安全支出預(yù)計(jì)保持穩(wěn)定，因?yàn)檠芯勘砻?，幾乎所有首席信息安全官（CISO）都將在新的一年迎來(lái)預(yù)算增長(zhǎng)或持平，只有一小部分安全主管的預(yù)算會(huì)下降。

信息安全媒體CSO的《2021年安全重點(diǎn)研究》發(fā)現(xiàn)，44%的安全主管預(yù)期自己的預(yù)算在未來(lái)12個(gè)月內(nèi)將有所增長(zhǎng)，而41%的受訪安全主管見證了自身2021年預(yù)算同比增長(zhǎng)。54%的受訪安全主管預(yù)期自己未來(lái)12個(gè)月的預(yù)算將與去年保持一致。僅2%的受訪者預(yù)計(jì)預(yù)算會(huì)減少，相較于6%的受訪者見證了2021年安全開支相比2020年縮水，這一數(shù)字可謂小得多了。

安全預(yù)算同比增長(zhǎng)

關(guān)于來(lái)年安全預(yù)算的趨勢(shì)，其他調(diào)查研究的結(jié)果大同小異。

普華永道《2022年全球數(shù)字信任洞察》報(bào)告顯示，“投資繼續(xù)涌入網(wǎng)絡(luò)安全領(lǐng)域”，69%的受訪企業(yè)預(yù)計(jì)其2022年的網(wǎng)絡(luò)支出將會(huì)增加。有些人甚至預(yù)計(jì)支出會(huì)激增，26%的受訪企業(yè)表示來(lái)年的網(wǎng)絡(luò)支出將激增10%或更多。

與此同時(shí)，科技市場(chǎng)研究與咨詢公司Gartner估計(jì)，2022年信息安全和風(fēng)險(xiǎn)管理的支出總額將達(dá)到1720億美元，高于2021年的1550億美元和前一年的1370億美元。

盡管資金狀態(tài)平穩(wěn)，CISO的手頭也不會(huì)太充裕。安全主管和執(zhí)行顧問(wèn)表示，安全部門必須持續(xù)證明所花安全開支帶來(lái)了價(jià)值，培育了自身運(yùn)營(yíng)，并最終改善了企業(yè)的安全狀況。

普華永道網(wǎng)絡(luò)與隱私創(chuàng)新研究所負(fù)責(zé)人Joe Nocera稱：“企業(yè)知道風(fēng)險(xiǎn)每天都在增加，因此，持續(xù)向網(wǎng)絡(luò)安全砸錢。我們從業(yè)務(wù)主管那里了解到的是，他們?cè)敢獠幌б磺写鷥r(jià)避免因?yàn)楹诳褪录巧闲侣勵(lì)^條，但不想多花一分不必要的錢，而且想要確保錢都花在了正確的地方。這就需要CEO和CISO通力合作了。CISO需要知道正確的防護(hù)級(jí)別是什么樣的?！?

Nocera補(bǔ)充道：“網(wǎng)絡(luò)投資越來(lái)越不在于購(gòu)買技術(shù)供應(yīng)商的最新產(chǎn)品，而更多地在于首先了解業(yè)務(wù)防護(hù)最薄弱的地方，然后根據(jù)攻擊發(fā)生的概率以及業(yè)務(wù)損失的嚴(yán)重程度來(lái)確定安全投資的優(yōu)先級(jí)?！?

推動(dòng)預(yù)算的幾個(gè)趨勢(shì)

EPAM Systems首席信息安全官Sam Rehman表示，2022年的網(wǎng)絡(luò)安全預(yù)算反映了執(zhí)行團(tuán)隊(duì)的其他成員和董事會(huì)對(duì)企業(yè)網(wǎng)絡(luò)安全計(jì)劃的興趣不斷增加。

普華永道的報(bào)告表明，“企業(yè)明白風(fēng)險(xiǎn)在不斷增加。超過(guò)50%的受訪者預(yù)計(jì)，相比2021年，明年可上報(bào)安全事件的數(shù)量將迎來(lái)激增?！?

Rehman表示，攻擊增多只是許多企業(yè)增加安全支出的因素之一。他認(rèn)為，高管同時(shí)也看到了數(shù)據(jù)泄露事件的重大影響。以及在匿名加密貨幣時(shí)代，攻擊貨幣化如此簡(jiǎn)單，以致于攻擊者一直很有動(dòng)力主動(dòng)出擊。

Rehman稱：“這三個(gè)因素激化了網(wǎng)絡(luò)安全攻防戰(zhàn)?！?

決定安全開支的因素

相對(duì)應(yīng)的，企業(yè)領(lǐng)導(dǎo)現(xiàn)在想要知道自家公司正處在良好防護(hù)狀態(tài)下，而且自己足以響應(yīng)攻擊：防護(hù)和彈性兩手都要硬。他們逐漸明白，沒有100%防御這樣的事情，但強(qiáng)大的防御可以贏得時(shí)間，可以在造成重大（甚至任何）損害之前，有時(shí)間進(jìn)行檢測(cè)、響應(yīng)和恢復(fù)。

Nocera補(bǔ)充道：“為了保護(hù)自身及客戶免遭網(wǎng)絡(luò)攻擊侵害，大多數(shù)企業(yè)都會(huì)大幅增加其網(wǎng)絡(luò)安全開支預(yù)算?！?

與此同時(shí)，安全主管表示，除了高級(jí)管理層的同事和董事會(huì)成員之外，他們還感受到來(lái)自外部實(shí)體的成果交付壓力。他們會(huì)聽到來(lái)自客戶、業(yè)務(wù)合作伙伴和監(jiān)管機(jī)構(gòu)說(shuō)：安全也是我們的首要考慮。

作為KLC咨詢公司總裁的Kyle H. Lai同時(shí)也是三個(gè)中型公司的虛擬CISO，他指出，美國(guó)總統(tǒng)拜登于2021年5月簽署的強(qiáng)化美國(guó)網(wǎng)絡(luò)安全行政令，也是影響安全預(yù)算的一個(gè)因素。他還提到了美國(guó)聯(lián)邦政府和各州政府陸續(xù)頒布的多項(xiàng)消費(fèi)者數(shù)據(jù)隱私法案和其他立法舉措，認(rèn)為這些立法是影響CISO需要多少錢和怎么花錢的因素。

Lai表示：“對(duì)許多公司而言，這些[監(jiān)管和立法]動(dòng)作非常重要，因?yàn)樗麄儽仨殱M足這些要求，尤其是與聯(lián)邦政府和國(guó)防部合作的公司?！?

調(diào)查結(jié)果支持上述觀察所得。

CSO的《安全重點(diǎn)研究》表明，49%的受訪安全主管將最佳實(shí)踐作為其安全支出的決定性因素，49%的受訪者還將合規(guī)、監(jiān)管或強(qiáng)制要求作為決定性因素：這兩個(gè)類別并列安全開支決定因素列表榜首。

其次是需要解決不斷變化的勞動(dòng)力或業(yè)務(wù)動(dòng)態(tài)（尤其是混合勞動(dòng)力和遠(yuǎn)程辦公）所帶來(lái)的逐漸演變的風(fēng)險(xiǎn)（41%）；解決遷移到云端等數(shù)字化轉(zhuǎn)型帶來(lái)的風(fēng)險(xiǎn)（38%）；響應(yīng)部門內(nèi)部發(fā)生的安全事件（35%）；以及對(duì)其他部門發(fā)生的安全事件做出響應(yīng)（25%）。

這些因素與未來(lái)幾個(gè)月CISO預(yù)計(jì)將資金投入哪些方面有關(guān)。

安全開支重點(diǎn)

CSO的調(diào)查顯示，支出分布在多個(gè)領(lǐng)域，其中20%投入本地基礎(chǔ)設(shè)施和硬件，19%用于技術(shù)人員，16%用來(lái)購(gòu)買和維護(hù)本地工具與軟件——所有這些都為向企業(yè)交付安全服務(wù)奠定了基礎(chǔ)。

除此之外，還有基于云的安全解決方案（10%）、咨詢服務(wù)（7%）、基于云的安全監(jiān)測(cè)服務(wù)（7%）、安全意識(shí)培訓(xùn)（7%）、外包評(píng)估服務(wù)（6%）和外部事件響應(yīng)服務(wù)（5%）。

Gartner最近對(duì)信息安全和風(fēng)險(xiǎn)管理支出做出了預(yù)測(cè)，進(jìn)一步詳細(xì)說(shuō)明了資金的流向：2022年將有近770億美元流入安全服務(wù)，令安全服務(wù)成為迄今為止最大的支出類別；300億美元用于基礎(chǔ)設(shè)施保護(hù)；190億美元投入網(wǎng)絡(luò)安全設(shè)備；170億美元用于身份與訪問(wèn)管理。

安全預(yù)算分配

將獲得大量預(yù)算的其他領(lǐng)域還包括應(yīng)用安全（66億美元）、綜合風(fēng)險(xiǎn)管理（64億美元）、數(shù)據(jù)安全（40億美元）、軟件（27億美元）和云安全（14億美元）。

Gartner新興技術(shù)和趨勢(shì)高級(jí)總監(jiān)分析師Shawn Eftink表示，CISO支出可分為四大塊。

第一大塊用來(lái)支持與位置無(wú)關(guān)的安全，主要是創(chuàng)建網(wǎng)絡(luò)安全計(jì)劃，將身份視為需要保護(hù)的事實(shí)邊界。

第二大塊用于支持安全部門的發(fā)展。Eftink表示，隨著董事會(huì)引入更多具有網(wǎng)絡(luò)安全經(jīng)驗(yàn)的董事，安全部門正面臨越來(lái)越嚴(yán)格的審查；這些董事會(huì)成員希望看到安全部門的效能提升和明顯成熟，而降低安全產(chǎn)品的復(fù)雜性是實(shí)現(xiàn)這些期望的關(guān)鍵。

第三塊預(yù)算面向不斷發(fā)展的技術(shù)：漏洞和攻擊模擬工具等逐漸成熟的新興技術(shù)，以及保護(hù)企業(yè)不斷延伸的云環(huán)境所需的那些技術(shù)。

第四塊預(yù)算用于外包，也就是幫助提高安全運(yùn)營(yíng)效率和應(yīng)對(duì)內(nèi)部人員配備挑戰(zhàn)的開支。

新投入零信任和增加云數(shù)據(jù)保護(hù)開支

其他安全主管的觀察所得與之類似。他們表示，CISO計(jì)劃投資訪問(wèn)與身份管理軟件、基于角色的訪問(wèn)控制（RBAC）、用戶行為分析和微分隔等身份驗(yàn)證技術(shù)，從而支持不斷走向成熟的零信任架構(gòu)。在云安全解決方案上投錢也是CISO的打算之一。他們預(yù)備購(gòu)買自動(dòng)化和分析攻擊，從而更高效地處理海量安全數(shù)據(jù)，也計(jì)劃引入托管安全服務(wù)提供商（MSSP），增強(qiáng)自家員工的工作。

Nocera稱：“身份與訪問(wèn)管理、第三方風(fēng)險(xiǎn)管理、實(shí)時(shí)情報(bào)和零信任都是安全投資的重點(diǎn)領(lǐng)域?！?

預(yù)算花在刀刃上

普華永道第24期《年度全球CEO調(diào)查》中，受訪CEO將網(wǎng)絡(luò)威脅票選為商業(yè)前景的第二大風(fēng)險(xiǎn)，僅次于疫情和其他健康危機(jī)。北美和西歐的CEO則將網(wǎng)絡(luò)威脅列為第一大風(fēng)險(xiǎn)。

但與此同時(shí)，專家表示，CEO不愿意給CISO許諾無(wú)限資金支持。安全主管的2022年預(yù)算反映出了這一現(xiàn)實(shí)。

專家認(rèn)為，這么做也是情有可原的。

Eftink分享了這一行的普遍想法：“開支并不一定等同于安全?！?

事實(shí)上，CISO可以預(yù)期自己將不得不繼續(xù)提高效率，在預(yù)算持平或微量增加的條件下產(chǎn)出更高安全效能。要做到這一點(diǎn)，他們將不得不繼續(xù)安全左移，從一開始就將安全嵌入到驅(qū)動(dòng)業(yè)務(wù)的運(yùn)營(yíng)流程和數(shù)字產(chǎn)品中，并將安全融入公司的架構(gòu)中。

Eftink表示：“必須轉(zhuǎn)變思維：應(yīng)當(dāng)嵌入安全，而不是將安全當(dāng)作事后才想起來(lái)的補(bǔ)救措施。一定得轉(zhuǎn)變范式?！?

Nocera對(duì)此表示同意。

他說(shuō)：“在分配資金解決這些問(wèn)題的同時(shí)，公司還需要設(shè)立集成進(jìn)整個(gè)組織架構(gòu)的安全體系，將網(wǎng)絡(luò)安全變成每個(gè)人的責(zé)任，而不僅僅是CISO或IT團(tuán)隊(duì)的職責(zé)。最終，強(qiáng)大的全公司網(wǎng)絡(luò)安全運(yùn)營(yíng)可以在公司、利益相關(guān)者和消費(fèi)者之間建立信任，成為競(jìng)爭(zhēng)優(yōu)勢(shì)。公司當(dāng)下為強(qiáng)化自身系統(tǒng)而面臨的開支，應(yīng)該被視為對(duì)未來(lái)商業(yè)模式的投資。”