安全预算不断增加,但是,钱去哪儿了?近期调查研究深入解析未来一年的CISO支出。
企业2022年网络安全支出预计保持稳定,因为研究表明,几乎所有首席信息安全官(CISO)都将在新的一年迎来预算增长或持平,只有一小部分安全主管的预算会下降。
信息安全媒体CSO的《2021年安全重点研究》发现,44%的安全主管预期自己的预算在未来12个月内将有所增长,而41%的受访安全主管见证了自身2021年预算同比增长。54%的受访安全主管预期自己未来12个月的预算将与去年保持一致。仅2%的受访者预计预算会减少,相较于6%的受访者见证了2021年安全开支相比2020年缩水,这一数字可谓小得多了。
安全预算同比增长
关于来年安全预算的趋势,其他调查研究的结果大同小异。
普华永道《2022年全球数字信任洞察》报告显示,“投资继续涌入网络安全领域”,69%的受访企业预计其2022年的网络支出将会增加。有些人甚至预计支出会激增,26%的受访企业表示来年的网络支出将激增10%或更多。
与此同时,科技市场研究与咨询公司Gartner估计,2022年信息安全和风险管理的支出总额将达到1720亿美元,高于2021年的1550亿美元和前一年的1370亿美元。
尽管资金状态平稳,CISO的手头也不会太充裕。安全主管和执行顾问表示,安全部门必须持续证明所花安全开支带来了价值,培育了自身运营,并最终改善了企业的安全状况。
普华永道网络与隐私创新研究所负责人Joe Nocera称:“企业知道风险每天都在增加,因此,持续向网络安全砸钱。我们从业务主管那里了解到的是,他们愿意不惜一切代价避免因为黑客事件而登上新闻头条,但不想多花一分不必要的钱,而且想要确保钱都花在了正确的地方。这就需要CEO和CISO通力合作了。CISO需要知道正确的防护级别是什么样的。”
Nocera补充道:“网络投资越来越不在于购买技术供应商的最新产品,而更多地在于首先了解业务防护最薄弱的地方,然后根据攻击发生的概率以及业务损失的严重程度来确定安全投资的优先级。”
推动预算的几个趋势
EPAM Systems首席信息安全官Sam Rehman表示,2022年的网络安全预算反映了执行团队的其他成员和董事会对企业网络安全计划的兴趣不断增加。
普华永道的报告表明,“企业明白风险在不断增加。超过50%的受访者预计,相比2021年,明年可上报安全事件的数量将迎来激增。”
Rehman表示,攻击增多只是许多企业增加安全支出的因素之一。他认为,高管同时也看到了数据泄露事件的重大影响。以及在匿名加密货币时代,攻击货币化如此简单,以致于攻击者一直很有动力主动出击。
Rehman称:“这三个因素激化了网络安全攻防战。”
决定安全开支的因素
相对应的,企业领导现在想要知道自家公司正处在良好防护状态下,而且自己足以响应攻击:防护和弹性两手都要硬。他们逐渐明白,没有100%防御这样的事情,但强大的防御可以赢得时间,可以在造成重大(甚至任何)损害之前,有时间进行检测、响应和恢复。
Nocera补充道:“为了保护自身及客户免遭网络攻击侵害,大多数企业都会大幅增加其网络安全开支预算。”
与此同时,安全主管表示,除了高级管理层的同事和董事会成员之外,他们还感受到来自外部实体的成果交付压力。他们会听到来自客户、业务合作伙伴和监管机构说:安全也是我们的首要考虑。
作为KLC咨询公司总裁的Kyle H. Lai同时也是三个中型公司的虚拟CISO,他指出,美国总统拜登于2021年5月签署的强化美国网络安全行政令,也是影响安全预算的一个因素。他还提到了美国联邦政府和各州政府陆续颁布的多项消费者数据隐私法案和其他立法举措,认为这些立法是影响CISO需要多少钱和怎么花钱的因素。
Lai表示:“对许多公司而言,这些[监管和立法]动作非常重要,因为他们必须满足这些要求,尤其是与联邦政府和国防部合作的公司。”
调查结果支持上述观察所得。
CSO的《安全重点研究》表明,49%的受访安全主管将最佳实践作为其安全支出的决定性因素,49%的受访者还将合规、监管或强制要求作为决定性因素:这两个类别并列安全开支决定因素列表榜首。
其次是需要解决不断变化的劳动力或业务动态(尤其是混合劳动力和远程办公)所带来的逐渐演变的风险(41%);解决迁移到云端等数字化转型带来的风险(38%);响应部门内部发生的安全事件(35%);以及对其他部门发生的安全事件做出响应(25%)。
这些因素与未来几个月CISO预计将资金投入哪些方面有关。
安全开支重点
CSO的调查显示,支出分布在多个领域,其中20%投入本地基础设施和硬件,19%用于技术人员,16%用来购买和维护本地工具与软件——所有这些都为向企业交付安全服务奠定了基础。
除此之外,还有基于云的安全解决方案(10%)、咨询服务(7%)、基于云的安全监测服务(7%)、安全意识培训(7%)、外包评估服务(6%)和外部事件响应服务(5%)。
Gartner最近对信息安全和风险管理支出做出了预测,进一步详细说明了资金的流向:2022年将有近770亿美元流入安全服务,令安全服务成为迄今为止最大的支出类别;300亿美元用于基础设施保护;190亿美元投入网络安全设备;170亿美元用于身份与访问管理。
安全预算分配
将获得大量预算的其他领域还包括应用安全(66亿美元)、综合风险管理(64亿美元)、数据安全(40亿美元)、软件(27亿美元)和云安全(14亿美元)。
Gartner新兴技术和趋势高级总监分析师Shawn Eftink表示,CISO支出可分为四大块。
第一大块用来支持与位置无关的安全,主要是创建网络安全计划,将身份视为需要保护的事实边界。
第二大块用于支持安全部门的发展。Eftink表示,随着董事会引入更多具有网络安全经验的董事,安全部门正面临越来越严格的审查;这些董事会成员希望看到安全部门的效能提升和明显成熟,而降低安全产品的复杂性是实现这些期望的关键。
第三块预算面向不断发展的技术:漏洞和攻击模拟工具等逐渐成熟的新兴技术,以及保护企业不断延伸的云环境所需的那些技术。
第四块预算用于外包,也就是帮助提高安全运营效率和应对内部人员配备挑战的开支。
新投入零信任和增加云数据保护开支
其他安全主管的观察所得与之类似。他们表示,CISO计划投资访问与身份管理软件、基于角色的访问控制(RBAC)、用户行为分析和微分隔等身份验证技术,从而支持不断走向成熟的零信任架构。在云安全解决方案上投钱也是CISO的打算之一。他们预备购买自动化和分析攻击,从而更高效地处理海量安全数据,也计划引入托管安全服务提供商(MSSP),增强自家员工的工作。
Nocera称:“身份与访问管理、第三方风险管理、实时情报和零信任都是安全投资的重点领域。”
预算花在刀刃上
普华永道第24期《年度全球CEO调查》中,受访CEO将网络威胁票选为商业前景的第二大风险,仅次于疫情和其他健康危机。北美和西欧的CEO则将网络威胁列为第一大风险。
但与此同时,专家表示,CEO不愿意给CISO许诺无限资金支持。安全主管的2022年预算反映出了这一现实。
专家认为,这么做也是情有可原的。
Eftink分享了这一行的普遍想法:“开支并不一定等同于安全。”
事实上,CISO可以预期自己将不得不继续提高效率,在预算持平或微量增加的条件下产出更高安全效能。要做到这一点,他们将不得不继续安全左移,从一开始就将安全嵌入到驱动业务的运营流程和数字产品中,并将安全融入公司的架构中。
Eftink表示:“必须转变思维:应当嵌入安全,而不是将安全当作事后才想起来的补救措施。一定得转变范式。”
Nocera对此表示同意。
他说:“在分配资金解决这些问题的同时,公司还需要设立集成进整个组织架构的安全体系,将网络安全变成每个人的责任,而不仅仅是CISO或IT团队的职责。最终,强大的全公司网络安全运营可以在公司、利益相关者和消费者之间建立信任,成为竞争优势。公司当下为强化自身系统而面临的开支,应该被视为对未来商业模式的投资。”
