行業(yè)動(dòng)態(tài)

調(diào)研:2022年網(wǎng)絡(luò)安全開(kāi)支趨勢(shì)

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2022-01-04    瀏覽次數(shù):
 

信息來(lái)源:安全內(nèi)參


安全預(yù)算不斷增加,但是,錢(qián)去哪兒了?近期調(diào)查研究深入解析未來(lái)一年的CISO支出。

企業(yè)2022年網(wǎng)絡(luò)安全支出預(yù)計(jì)保持穩(wěn)定,因?yàn)檠芯勘砻鳎瑤缀跛惺紫畔踩伲–ISO)都將在新的一年迎來(lái)預(yù)算增長(zhǎng)或持平,只有一小部分安全主管的預(yù)算會(huì)下降。

信息安全媒體CSO的《2021年安全重點(diǎn)研究》發(fā)現(xiàn),44%的安全主管預(yù)期自己的預(yù)算在未來(lái)12個(gè)月內(nèi)將有所增長(zhǎng),而41%的受訪安全主管見(jiàn)證了自身2021年預(yù)算同比增長(zhǎng)。54%的受訪安全主管預(yù)期自己未來(lái)12個(gè)月的預(yù)算將與去年保持一致。僅2%的受訪者預(yù)計(jì)預(yù)算會(huì)減少,相較于6%的受訪者見(jiàn)證了2021年安全開(kāi)支相比2020年縮水,這一數(shù)字可謂小得多了。

安全預(yù)算同比增長(zhǎng)

關(guān)于來(lái)年安全預(yù)算的趨勢(shì),其他調(diào)查研究的結(jié)果大同小異。

普華永道《2022年全球數(shù)字信任洞察》報(bào)告顯示,“投資繼續(xù)涌入網(wǎng)絡(luò)安全領(lǐng)域”,69%的受訪企業(yè)預(yù)計(jì)其2022年的網(wǎng)絡(luò)支出將會(huì)增加。有些人甚至預(yù)計(jì)支出會(huì)激增,26%的受訪企業(yè)表示來(lái)年的網(wǎng)絡(luò)支出將激增10%或更多。

與此同時(shí),科技市場(chǎng)研究與咨詢(xún)公司Gartner估計(jì),2022年信息安全和風(fēng)險(xiǎn)管理的支出總額將達(dá)到1720億美元,高于2021年的1550億美元和前一年的1370億美元。

盡管資金狀態(tài)平穩(wěn),CISO的手頭也不會(huì)太充裕。安全主管和執(zhí)行顧問(wèn)表示,安全部門(mén)必須持續(xù)證明所花安全開(kāi)支帶來(lái)了價(jià)值,培育了自身運(yùn)營(yíng),并最終改善了企業(yè)的安全狀況。

普華永道網(wǎng)絡(luò)與隱私創(chuàng)新研究所負(fù)責(zé)人Joe Nocera稱(chēng):“企業(yè)知道風(fēng)險(xiǎn)每天都在增加,因此,持續(xù)向網(wǎng)絡(luò)安全砸錢(qián)。我們從業(yè)務(wù)主管那里了解到的是,他們?cè)敢獠幌б磺写鷥r(jià)避免因?yàn)楹诳褪录巧闲侣勵(lì)^條,但不想多花一分不必要的錢(qián),而且想要確保錢(qián)都花在了正確的地方。這就需要CEO和CISO通力合作了。CISO需要知道正確的防護(hù)級(jí)別是什么樣的。”

Nocera補(bǔ)充道:“網(wǎng)絡(luò)投資越來(lái)越不在于購(gòu)買(mǎi)技術(shù)供應(yīng)商的最新產(chǎn)品,而更多地在于首先了解業(yè)務(wù)防護(hù)最薄弱的地方,然后根據(jù)攻擊發(fā)生的概率以及業(yè)務(wù)損失的嚴(yán)重程度來(lái)確定安全投資的優(yōu)先級(jí)?!?

推動(dòng)預(yù)算的幾個(gè)趨勢(shì)

EPAM Systems首席信息安全官Sam Rehman表示,2022年的網(wǎng)絡(luò)安全預(yù)算反映了執(zhí)行團(tuán)隊(duì)的其他成員和董事會(huì)對(duì)企業(yè)網(wǎng)絡(luò)安全計(jì)劃的興趣不斷增加。

普華永道的報(bào)告表明,“企業(yè)明白風(fēng)險(xiǎn)在不斷增加。超過(guò)50%的受訪者預(yù)計(jì),相比2021年,明年可上報(bào)安全事件的數(shù)量將迎來(lái)激增?!?

Rehman表示,攻擊增多只是許多企業(yè)增加安全支出的因素之一。他認(rèn)為,高管同時(shí)也看到了數(shù)據(jù)泄露事件的重大影響。以及在匿名加密貨幣時(shí)代,攻擊貨幣化如此簡(jiǎn)單,以致于攻擊者一直很有動(dòng)力主動(dòng)出擊。

Rehman稱(chēng):“這三個(gè)因素激化了網(wǎng)絡(luò)安全攻防戰(zhàn)?!?

決定安全開(kāi)支的因素

相對(duì)應(yīng)的,企業(yè)領(lǐng)導(dǎo)現(xiàn)在想要知道自家公司正處在良好防護(hù)狀態(tài)下,而且自己足以響應(yīng)攻擊:防護(hù)和彈性?xún)墒侄家病K麄冎饾u明白,沒(méi)有100%防御這樣的事情,但強(qiáng)大的防御可以贏得時(shí)間,可以在造成重大(甚至任何)損害之前,有時(shí)間進(jìn)行檢測(cè)、響應(yīng)和恢復(fù)。

Nocera補(bǔ)充道:“為了保護(hù)自身及客戶(hù)免遭網(wǎng)絡(luò)攻擊侵害,大多數(shù)企業(yè)都會(huì)大幅增加其網(wǎng)絡(luò)安全開(kāi)支預(yù)算?!?

與此同時(shí),安全主管表示,除了高級(jí)管理層的同事和董事會(huì)成員之外,他們還感受到來(lái)自外部實(shí)體的成果交付壓力。他們會(huì)聽(tīng)到來(lái)自客戶(hù)、業(yè)務(wù)合作伙伴和監(jiān)管機(jī)構(gòu)說(shuō):安全也是我們的首要考慮。

作為KLC咨詢(xún)公司總裁的Kyle H. Lai同時(shí)也是三個(gè)中型公司的虛擬CISO,他指出,美國(guó)總統(tǒng)拜登于2021年5月簽署的強(qiáng)化美國(guó)網(wǎng)絡(luò)安全行政令,也是影響安全預(yù)算的一個(gè)因素。他還提到了美國(guó)聯(lián)邦政府和各州政府陸續(xù)頒布的多項(xiàng)消費(fèi)者數(shù)據(jù)隱私法案和其他立法舉措,認(rèn)為這些立法是影響CISO需要多少錢(qián)和怎么花錢(qián)的因素。

Lai表示:“對(duì)許多公司而言,這些[監(jiān)管和立法]動(dòng)作非常重要,因?yàn)樗麄儽仨殱M(mǎn)足這些要求,尤其是與聯(lián)邦政府和國(guó)防部合作的公司。”

調(diào)查結(jié)果支持上述觀察所得。

CSO的《安全重點(diǎn)研究》表明,49%的受訪安全主管將最佳實(shí)踐作為其安全支出的決定性因素,49%的受訪者還將合規(guī)、監(jiān)管或強(qiáng)制要求作為決定性因素:這兩個(gè)類(lèi)別并列安全開(kāi)支決定因素列表榜首。

其次是需要解決不斷變化的勞動(dòng)力或業(yè)務(wù)動(dòng)態(tài)(尤其是混合勞動(dòng)力和遠(yuǎn)程辦公)所帶來(lái)的逐漸演變的風(fēng)險(xiǎn)(41%);解決遷移到云端等數(shù)字化轉(zhuǎn)型帶來(lái)的風(fēng)險(xiǎn)(38%);響應(yīng)部門(mén)內(nèi)部發(fā)生的安全事件(35%);以及對(duì)其他部門(mén)發(fā)生的安全事件做出響應(yīng)(25%)。

這些因素與未來(lái)幾個(gè)月CISO預(yù)計(jì)將資金投入哪些方面有關(guān)。

安全開(kāi)支重點(diǎn)

CSO的調(diào)查顯示,支出分布在多個(gè)領(lǐng)域,其中20%投入本地基礎(chǔ)設(shè)施和硬件,19%用于技術(shù)人員,16%用來(lái)購(gòu)買(mǎi)和維護(hù)本地工具與軟件——所有這些都為向企業(yè)交付安全服務(wù)奠定了基礎(chǔ)。

除此之外,還有基于云的安全解決方案(10%)、咨詢(xún)服務(wù)(7%)、基于云的安全監(jiān)測(cè)服務(wù)(7%)、安全意識(shí)培訓(xùn)(7%)、外包評(píng)估服務(wù)(6%)和外部事件響應(yīng)服務(wù)(5%)。

Gartner最近對(duì)信息安全和風(fēng)險(xiǎn)管理支出做出了預(yù)測(cè),進(jìn)一步詳細(xì)說(shuō)明了資金的流向:2022年將有近770億美元流入安全服務(wù),令安全服務(wù)成為迄今為止最大的支出類(lèi)別;300億美元用于基礎(chǔ)設(shè)施保護(hù);190億美元投入網(wǎng)絡(luò)安全設(shè)備;170億美元用于身份與訪問(wèn)管理。

安全預(yù)算分配

將獲得大量預(yù)算的其他領(lǐng)域還包括應(yīng)用安全(66億美元)、綜合風(fēng)險(xiǎn)管理(64億美元)、數(shù)據(jù)安全(40億美元)、軟件(27億美元)和云安全(14億美元)。

Gartner新興技術(shù)和趨勢(shì)高級(jí)總監(jiān)分析師Shawn Eftink表示,CISO支出可分為四大塊。

第一大塊用來(lái)支持與位置無(wú)關(guān)的安全,主要是創(chuàng)建網(wǎng)絡(luò)安全計(jì)劃,將身份視為需要保護(hù)的事實(shí)邊界。

第二大塊用于支持安全部門(mén)的發(fā)展。Eftink表示,隨著董事會(huì)引入更多具有網(wǎng)絡(luò)安全經(jīng)驗(yàn)的董事,安全部門(mén)正面臨越來(lái)越嚴(yán)格的審查;這些董事會(huì)成員希望看到安全部門(mén)的效能提升和明顯成熟,而降低安全產(chǎn)品的復(fù)雜性是實(shí)現(xiàn)這些期望的關(guān)鍵。

第三塊預(yù)算面向不斷發(fā)展的技術(shù):漏洞和攻擊模擬工具等逐漸成熟的新興技術(shù),以及保護(hù)企業(yè)不斷延伸的云環(huán)境所需的那些技術(shù)。

第四塊預(yù)算用于外包,也就是幫助提高安全運(yùn)營(yíng)效率和應(yīng)對(duì)內(nèi)部人員配備挑戰(zhàn)的開(kāi)支。

新投入零信任和增加云數(shù)據(jù)保護(hù)開(kāi)支

其他安全主管的觀察所得與之類(lèi)似。他們表示,CISO計(jì)劃投資訪問(wèn)與身份管理軟件、基于角色的訪問(wèn)控制(RBAC)、用戶(hù)行為分析和微分隔等身份驗(yàn)證技術(shù),從而支持不斷走向成熟的零信任架構(gòu)。在云安全解決方案上投錢(qián)也是CISO的打算之一。他們預(yù)備購(gòu)買(mǎi)自動(dòng)化和分析攻擊,從而更高效地處理海量安全數(shù)據(jù),也計(jì)劃引入托管安全服務(wù)提供商(MSSP),增強(qiáng)自家員工的工作。

Nocera稱(chēng):“身份與訪問(wèn)管理、第三方風(fēng)險(xiǎn)管理、實(shí)時(shí)情報(bào)和零信任都是安全投資的重點(diǎn)領(lǐng)域。”

預(yù)算花在刀刃上

普華永道第24期《年度全球CEO調(diào)查》中,受訪CEO將網(wǎng)絡(luò)威脅票選為商業(yè)前景的第二大風(fēng)險(xiǎn),僅次于疫情和其他健康危機(jī)。北美和西歐的CEO則將網(wǎng)絡(luò)威脅列為第一大風(fēng)險(xiǎn)。

但與此同時(shí),專(zhuān)家表示,CEO不愿意給CISO許諾無(wú)限資金支持。安全主管的2022年預(yù)算反映出了這一現(xiàn)實(shí)。

專(zhuān)家認(rèn)為,這么做也是情有可原的。

Eftink分享了這一行的普遍想法:“開(kāi)支并不一定等同于安全?!?

事實(shí)上,CISO可以預(yù)期自己將不得不繼續(xù)提高效率,在預(yù)算持平或微量增加的條件下產(chǎn)出更高安全效能。要做到這一點(diǎn),他們將不得不繼續(xù)安全左移,從一開(kāi)始就將安全嵌入到驅(qū)動(dòng)業(yè)務(wù)的運(yùn)營(yíng)流程和數(shù)字產(chǎn)品中,并將安全融入公司的架構(gòu)中。

Eftink表示:“必須轉(zhuǎn)變思維:應(yīng)當(dāng)嵌入安全,而不是將安全當(dāng)作事后才想起來(lái)的補(bǔ)救措施。一定得轉(zhuǎn)變范式。”

Nocera對(duì)此表示同意。

他說(shuō):“在分配資金解決這些問(wèn)題的同時(shí),公司還需要設(shè)立集成進(jìn)整個(gè)組織架構(gòu)的安全體系,將網(wǎng)絡(luò)安全變成每個(gè)人的責(zé)任,而不僅僅是CISO或IT團(tuán)隊(duì)的職責(zé)。最終,強(qiáng)大的全公司網(wǎng)絡(luò)安全運(yùn)營(yíng)可以在公司、利益相關(guān)者和消費(fèi)者之間建立信任,成為競(jìng)爭(zhēng)優(yōu)勢(shì)。公司當(dāng)下為強(qiáng)化自身系統(tǒng)而面臨的開(kāi)支,應(yīng)該被視為對(duì)未來(lái)商業(yè)模式的投資?!?


 
 

上一篇:地鐵安防門(mén)被曝存在多個(gè)嚴(yán)重的安全漏洞

下一篇:2022年1月4日聚銘安全速遞