信息來源:安全內(nèi)參
2023年,企業(yè)的網(wǎng)絡(luò)安全支出可能無法阻止衰退,但卻可以幫助企業(yè)在衰退中脫穎而出。話雖如此,網(wǎng)絡(luò)安全決策者們?nèi)匀幻媾R著巨大壓力,因為管理層要求他們優(yōu)先考慮能夠產(chǎn)生最大收益的安全技術(shù)。
根據(jù)Forrester上周發(fā)布的“CISO新安全和風險規(guī)劃指南”,過去五年中的重大網(wǎng)絡(luò)安全事件已經(jīng)讓高管們充分認識到了全面網(wǎng)絡(luò)安全控制的重要性,但是企業(yè)的安全和風險決策者同時也面臨著新的挑戰(zhàn),例如安全工具/廠商快速增長、人才短缺,以及被經(jīng)濟衰退陰影籠罩的2023年,網(wǎng)絡(luò)安全預算有可能無法延續(xù)過去幾年的增長勢頭。
安全預算和投資的6+3熱點
“很難評估2023年的預算情況,因為大多數(shù)公司正在制定2023年的預算計劃,但我認為大多數(shù)公司都在采取謹慎的態(tài)度。”Forrester副總裁兼研究總監(jiān)Merritt Maxim說。
“可能會出現(xiàn)一些增長或持平,如果明年出現(xiàn)更嚴重的下滑,那么可能有必要進行局部減產(chǎn),”Maxim繼續(xù)說道:“不過,就目前而言,我沒有看到因預期宏觀經(jīng)濟狀況而立即削減(安全)預算?!?
雖然整個企業(yè)IT市場被蕭條和不確定性籠罩,但是Forrester建議企業(yè)重點關(guān)注并增加以下六個網(wǎng)絡(luò)安全領(lǐng)域的預算和投資:
-
API安全
-
云工作負載安全
-
多因素身份驗證
-
安全分析
-
零信任網(wǎng)絡(luò)訪問
-
危機模擬演練
因為上述功能都能兌現(xiàn)可證明價值,并且已經(jīng)有很多解決方案提供商能夠提供服務(wù)。
報告還建議企業(yè)即使在經(jīng)濟低迷期也應(yīng)關(guān)注并投資一些有前途的新興安全技術(shù),積極對其評估和概念證明。有三類技術(shù)值得重點關(guān)注:
-
擴展檢測和響應(yīng)
-
攻擊面管理
-
隱私保護技術(shù)
報告還指出,2023年企業(yè)網(wǎng)絡(luò)安全預算支出有以下三大趨勢值得關(guān)注:
公司在云安全上的支出不足,在本地安全上的支出過多
報告指出,企業(yè)往往在云安全方面投入不足。雖然很多安全團隊已經(jīng)在云安全上花費了大量資金,但是鑒于未來兩年58%的組織將其應(yīng)用程序組合遷移到公共云,因此云安全是一個需要持續(xù)增加投入的領(lǐng)域。
報告還認為,企業(yè)可能在本地安全相關(guān)項目上花費過多。調(diào)查發(fā)現(xiàn),綜合考慮維護、許可、升級和新投資的支出,本地部署支出是安全預算中最大的支出——對于將少于20%IT預算用于安全性的組織來說,本地安全支出占比41%;對于那些將超過20%IT預算用于安全投資的企業(yè)來說,這一比例為38%。
報告指出:“盡管上云是大勢所趨,但可能不適用于某些類型的數(shù)據(jù)?!薄澳承┍镜丶夹g(shù)可能沒有合適的云等效技術(shù),特別是定制化應(yīng)用程序,因此可能不存在云遷移路徑。此外還可能存在安全風險問題?!?
支出轉(zhuǎn)向托管安全服務(wù)提供商
Forrester預測,遷移到云不會減少組織在服務(wù)上的支出,但托管安全服務(wù)的競爭加劇為企業(yè)提供了更多更好的選擇。企業(yè)在傳統(tǒng)托管安全服務(wù)提供商(MSSP)的支出將轉(zhuǎn)向那些能夠提供更好結(jié)果的新產(chǎn)品和新提供商。
“如今企業(yè)擁有一個廣泛而深入的安全服務(wù)提供商生態(tài)系統(tǒng),可以支持任何范圍的網(wǎng)絡(luò)安全功能,比五年前要豐富得多,”報告指出:“企業(yè)需要充分了解服務(wù)提供商的能力,以及他們?yōu)橥袠I(yè)或同等規(guī)模的公司客戶提供服務(wù)的品質(zhì)?!?
從長遠來看,減少安全意識培訓預算得不償失
報告指出,預算制定者削減安全開支的常見領(lǐng)域是安全意識和其他類型的安全技能培訓。當經(jīng)濟形勢不佳時,削減這些領(lǐng)域的支出似乎很誘人,但與其他安全性支出相比,消減安全意識培訓預算不會節(jié)省太多,反而會加劇技能短缺,并導致依賴遠程辦公的企業(yè)快速喪失安全性能力。
“人員依然是網(wǎng)絡(luò)攻擊的最大漏洞之一,”報告指出:“任何有助于提高員工的警惕性和復原力的投入都會使你受益。企業(yè)可能被誤導的地方是,安全意識培訓就是制作一個用戶每年觀看一次的30分鐘視頻。這不是有效的安全意識培訓方法,安全意識和行為必須持續(xù)融入企業(yè)文化才能真正發(fā)揮效力?!?