信息來(lái)源:安全內(nèi)參
2023年,企業(yè)的網(wǎng)絡(luò)安全支出可能無(wú)法阻止衰退,但卻可以幫助企業(yè)在衰退中脫穎而出。話(huà)雖如此,網(wǎng)絡(luò)安全決策者們?nèi)匀幻媾R著巨大壓力,因?yàn)楣芾韺右笏麄儍?yōu)先考慮能夠產(chǎn)生最大收益的安全技術(shù)。
根據(jù)Forrester上周發(fā)布的“CISO新安全和風(fēng)險(xiǎn)規(guī)劃指南”,過(guò)去五年中的重大網(wǎng)絡(luò)安全事件已經(jīng)讓高管們充分認(rèn)識(shí)到了全面網(wǎng)絡(luò)安全控制的重要性,但是企業(yè)的安全和風(fēng)險(xiǎn)決策者同時(shí)也面臨著新的挑戰(zhàn),例如安全工具/廠(chǎng)商快速增長(zhǎng)、人才短缺,以及被經(jīng)濟(jì)衰退陰影籠罩的2023年,網(wǎng)絡(luò)安全預(yù)算有可能無(wú)法延續(xù)過(guò)去幾年的增長(zhǎng)勢(shì)頭。
安全預(yù)算和投資的6+3熱點(diǎn)
“很難評(píng)估2023年的預(yù)算情況,因?yàn)榇蠖鄶?shù)公司正在制定2023年的預(yù)算計(jì)劃,但我認(rèn)為大多數(shù)公司都在采取謹(jǐn)慎的態(tài)度?!盕orrester副總裁兼研究總監(jiān)Merritt Maxim說(shuō)。
“可能會(huì)出現(xiàn)一些增長(zhǎng)或持平,如果明年出現(xiàn)更嚴(yán)重的下滑,那么可能有必要進(jìn)行局部減產(chǎn),”Maxim繼續(xù)說(shuō)道:“不過(guò),就目前而言,我沒(méi)有看到因預(yù)期宏觀(guān)經(jīng)濟(jì)狀況而立即削減(安全)預(yù)算?!?
雖然整個(gè)企業(yè)IT市場(chǎng)被蕭條和不確定性籠罩,但是Forrester建議企業(yè)重點(diǎn)關(guān)注并增加以下六個(gè)網(wǎng)絡(luò)安全領(lǐng)域的預(yù)算和投資:
因?yàn)樯鲜龉δ芏寄軆冬F(xiàn)可證明價(jià)值,并且已經(jīng)有很多解決方案提供商能夠提供服務(wù)。
報(bào)告還建議企業(yè)即使在經(jīng)濟(jì)低迷期也應(yīng)關(guān)注并投資一些有前途的新興安全技術(shù),積極對(duì)其評(píng)估和概念證明。有三類(lèi)技術(shù)值得重點(diǎn)關(guān)注:
-
擴(kuò)展檢測(cè)和響應(yīng)
-
攻擊面管理
-
隱私保護(hù)技術(shù)
報(bào)告還指出,2023年企業(yè)網(wǎng)絡(luò)安全預(yù)算支出有以下三大趨勢(shì)值得關(guān)注:
公司在云安全上的支出不足,在本地安全上的支出過(guò)多
報(bào)告指出,企業(yè)往往在云安全方面投入不足。雖然很多安全團(tuán)隊(duì)已經(jīng)在云安全上花費(fèi)了大量資金,但是鑒于未來(lái)兩年58%的組織將其應(yīng)用程序組合遷移到公共云,因此云安全是一個(gè)需要持續(xù)增加投入的領(lǐng)域。
報(bào)告還認(rèn)為,企業(yè)可能在本地安全相關(guān)項(xiàng)目上花費(fèi)過(guò)多。調(diào)查發(fā)現(xiàn),綜合考慮維護(hù)、許可、升級(jí)和新投資的支出,本地部署支出是安全預(yù)算中最大的支出——對(duì)于將少于20%IT預(yù)算用于安全性的組織來(lái)說(shuō),本地安全支出占比41%;對(duì)于那些將超過(guò)20%IT預(yù)算用于安全投資的企業(yè)來(lái)說(shuō),這一比例為38%。
報(bào)告指出:“盡管上云是大勢(shì)所趨,但可能不適用于某些類(lèi)型的數(shù)據(jù)。”“某些本地技術(shù)可能沒(méi)有合適的云等效技術(shù),特別是定制化應(yīng)用程序,因此可能不存在云遷移路徑。此外還可能存在安全風(fēng)險(xiǎn)問(wèn)題?!?
支出轉(zhuǎn)向托管安全服務(wù)提供商
Forrester預(yù)測(cè),遷移到云不會(huì)減少組織在服務(wù)上的支出,但托管安全服務(wù)的競(jìng)爭(zhēng)加劇為企業(yè)提供了更多更好的選擇。企業(yè)在傳統(tǒng)托管安全服務(wù)提供商(MSSP)的支出將轉(zhuǎn)向那些能夠提供更好結(jié)果的新產(chǎn)品和新提供商。
“如今企業(yè)擁有一個(gè)廣泛而深入的安全服務(wù)提供商生態(tài)系統(tǒng),可以支持任何范圍的網(wǎng)絡(luò)安全功能,比五年前要豐富得多,”報(bào)告指出:“企業(yè)需要充分了解服務(wù)提供商的能力,以及他們?yōu)橥袠I(yè)或同等規(guī)模的公司客戶(hù)提供服務(wù)的品質(zhì)。”
從長(zhǎng)遠(yuǎn)來(lái)看,減少安全意識(shí)培訓(xùn)預(yù)算得不償失
報(bào)告指出,預(yù)算制定者削減安全開(kāi)支的常見(jiàn)領(lǐng)域是安全意識(shí)和其他類(lèi)型的安全技能培訓(xùn)。當(dāng)經(jīng)濟(jì)形勢(shì)不佳時(shí),削減這些領(lǐng)域的支出似乎很誘人,但與其他安全性支出相比,消減安全意識(shí)培訓(xùn)預(yù)算不會(huì)節(jié)省太多,反而會(huì)加劇技能短缺,并導(dǎo)致依賴(lài)遠(yuǎn)程辦公的企業(yè)快速喪失安全性能力。
“人員依然是網(wǎng)絡(luò)攻擊的最大漏洞之一,”報(bào)告指出:“任何有助于提高員工的警惕性和復(fù)原力的投入都會(huì)使你受益。企業(yè)可能被誤導(dǎo)的地方是,安全意識(shí)培訓(xùn)就是制作一個(gè)用戶(hù)每年觀(guān)看一次的30分鐘視頻。這不是有效的安全意識(shí)培訓(xùn)方法,安全意識(shí)和行為必須持續(xù)融入企業(yè)文化才能真正發(fā)揮效力?!?