信息來(lái)源:安全內(nèi)參
2023年���,企業(yè)的網(wǎng)絡(luò)安全支出可能無(wú)法阻止衰退�,但卻可以幫助企業(yè)在衰退中脫穎而出��。話雖如此��,網(wǎng)絡(luò)安全決策者們?nèi)匀幻媾R著巨大壓力�,因?yàn)楣芾韺右笏麄儍?yōu)先考慮能夠產(chǎn)生最大收益的安全技術(shù)。
根據(jù)Forrester上周發(fā)布的“CISO新安全和風(fēng)險(xiǎn)規(guī)劃指南”�,過(guò)去五年中的重大網(wǎng)絡(luò)安全事件已經(jīng)讓高管們充分認(rèn)識(shí)到了全面網(wǎng)絡(luò)安全控制的重要性�,但是企業(yè)的安全和風(fēng)險(xiǎn)決策者同時(shí)也面臨著新的挑戰(zhàn)���,例如安全工具/廠商快速增長(zhǎng)�����、人才短缺��,以及被經(jīng)濟(jì)衰退陰影籠罩的2023年���,網(wǎng)絡(luò)安全預(yù)算有可能無(wú)法延續(xù)過(guò)去幾年的增長(zhǎng)勢(shì)頭����。
安全預(yù)算和投資的6+3熱點(diǎn)
“很難評(píng)估2023年的預(yù)算情況���,因?yàn)榇蠖鄶?shù)公司正在制定2023年的預(yù)算計(jì)劃�����,但我認(rèn)為大多數(shù)公司都在采取謹(jǐn)慎的態(tài)度�?!盕orrester副總裁兼研究總監(jiān)Merritt Maxim說(shuō)。
“可能會(huì)出現(xiàn)一些增長(zhǎng)或持平����,如果明年出現(xiàn)更嚴(yán)重的下滑�����,那么可能有必要進(jìn)行局部減產(chǎn)�,”Maxim繼續(xù)說(shuō)道:“不過(guò)���,就目前而言�,我沒(méi)有看到因預(yù)期宏觀經(jīng)濟(jì)狀況而立即削減(安全)預(yù)算�?�!?
雖然整個(gè)企業(yè)IT市場(chǎng)被蕭條和不確定性籠罩����,但是Forrester建議企業(yè)重點(diǎn)關(guān)注并增加以下六個(gè)網(wǎng)絡(luò)安全領(lǐng)域的預(yù)算和投資:
-
API安全
-
云工作負(fù)載安全
-
多因素身份驗(yàn)證
-
安全分析
-
零信任網(wǎng)絡(luò)訪問(wèn)
-
危機(jī)模擬演練
因?yàn)樯鲜龉δ芏寄軆冬F(xiàn)可證明價(jià)值���,并且已經(jīng)有很多解決方案提供商能夠提供服務(wù)。
報(bào)告還建議企業(yè)即使在經(jīng)濟(jì)低迷期也應(yīng)關(guān)注并投資一些有前途的新興安全技術(shù)����,積極對(duì)其評(píng)估和概念證明��。有三類技術(shù)值得重點(diǎn)關(guān)注:
-
擴(kuò)展檢測(cè)和響應(yīng)
-
攻擊面管理
-
隱私保護(hù)技術(shù)
報(bào)告還指出,2023年企業(yè)網(wǎng)絡(luò)安全預(yù)算支出有以下三大趨勢(shì)值得關(guān)注:
公司在云安全上的支出不足���,在本地安全上的支出過(guò)多
報(bào)告指出�,企業(yè)往往在云安全方面投入不足����。雖然很多安全團(tuán)隊(duì)已經(jīng)在云安全上花費(fèi)了大量資金�,但是鑒于未來(lái)兩年58%的組織將其應(yīng)用程序組合遷移到公共云�����,因此云安全是一個(gè)需要持續(xù)增加投入的領(lǐng)域���。
報(bào)告還認(rèn)為�,企業(yè)可能在本地安全相關(guān)項(xiàng)目上花費(fèi)過(guò)多��。調(diào)查發(fā)現(xiàn)��,綜合考慮維護(hù)、許可���、升級(jí)和新投資的支出��,本地部署支出是安全預(yù)算中最大的支出——對(duì)于將少于20%IT預(yù)算用于安全性的組織來(lái)說(shuō)����,本地安全支出占比41%��;對(duì)于那些將超過(guò)20%IT預(yù)算用于安全投資的企業(yè)來(lái)說(shuō)�����,這一比例為38%。
報(bào)告指出:“盡管上云是大勢(shì)所趨�,但可能不適用于某些類型的數(shù)據(jù)����。”“某些本地技術(shù)可能沒(méi)有合適的云等效技術(shù)�,特別是定制化應(yīng)用程序,因此可能不存在云遷移路徑����。此外還可能存在安全風(fēng)險(xiǎn)問(wèn)題?�!?
支出轉(zhuǎn)向托管安全服務(wù)提供商
Forrester預(yù)測(cè)���,遷移到云不會(huì)減少組織在服務(wù)上的支出�����,但托管安全服務(wù)的競(jìng)爭(zhēng)加劇為企業(yè)提供了更多更好的選擇�����。企業(yè)在傳統(tǒng)托管安全服務(wù)提供商(MSSP)的支出將轉(zhuǎn)向那些能夠提供更好結(jié)果的新產(chǎn)品和新提供商��。
“如今企業(yè)擁有一個(gè)廣泛而深入的安全服務(wù)提供商生態(tài)系統(tǒng)���,可以支持任何范圍的網(wǎng)絡(luò)安全功能,比五年前要豐富得多���,”報(bào)告指出:“企業(yè)需要充分了解服務(wù)提供商的能力���,以及他們?yōu)橥袠I(yè)或同等規(guī)模的公司客戶提供服務(wù)的品質(zhì)?���!?
從長(zhǎng)遠(yuǎn)來(lái)看,減少安全意識(shí)培訓(xùn)預(yù)算得不償失
報(bào)告指出�����,預(yù)算制定者削減安全開(kāi)支的常見(jiàn)領(lǐng)域是安全意識(shí)和其他類型的安全技能培訓(xùn)����。當(dāng)經(jīng)濟(jì)形勢(shì)不佳時(shí),削減這些領(lǐng)域的支出似乎很誘人����,但與其他安全性支出相比�,消減安全意識(shí)培訓(xùn)預(yù)算不會(huì)節(jié)省太多����,反而會(huì)加劇技能短缺,并導(dǎo)致依賴遠(yuǎn)程辦公的企業(yè)快速喪失安全性能力�����。
“人員依然是網(wǎng)絡(luò)攻擊的最大漏洞之一��,”報(bào)告指出:“任何有助于提高員工的警惕性和復(fù)原力的投入都會(huì)使你受益����。企業(yè)可能被誤導(dǎo)的地方是,安全意識(shí)培訓(xùn)就是制作一個(gè)用戶每年觀看一次的30分鐘視頻���。這不是有效的安全意識(shí)培訓(xùn)方法����,安全意識(shí)和行為必須持續(xù)融入企業(yè)文化才能真正發(fā)揮效力�����。”
