信息來源：安全內(nèi)參

安全預(yù)算不斷增加，但是，錢去哪兒了？近期調(diào)查研究深入解析未來一年的CISO支出。

企業(yè)2022年網(wǎng)絡(luò)安全支出預(yù)計保持穩(wěn)定，因為研究表明，幾乎所有首席信息安全官（CISO）都將在新的一年迎來預(yù)算增長或持平，只有一小部分安全主管的預(yù)算會下降。

信息安全媒體CSO的《2021年安全重點研究》發(fā)現(xiàn)，44%的安全主管預(yù)期自己的預(yù)算在未來12個月內(nèi)將有所增長，而41%的受訪安全主管見證了自身2021年預(yù)算同比增長。54%的受訪安全主管預(yù)期自己未來12個月的預(yù)算將與去年保持一致。僅2%的受訪者預(yù)計預(yù)算會減少，相較于6%的受訪者見證了2021年安全開支相比2020年縮水，這一數(shù)字可謂小得多了。

安全預(yù)算同比增長

關(guān)于來年安全預(yù)算的趨勢，其他調(diào)查研究的結(jié)果大同小異。

普華永道《2022年全球數(shù)字信任洞察》報告顯示，“投資繼續(xù)涌入網(wǎng)絡(luò)安全領(lǐng)域”，69%的受訪企業(yè)預(yù)計其2022年的網(wǎng)絡(luò)支出將會增加。有些人甚至預(yù)計支出會激增，26%的受訪企業(yè)表示來年的網(wǎng)絡(luò)支出將激增10%或更多。

與此同時，科技市場研究與咨詢公司Gartner估計，2022年信息安全和風(fēng)險管理的支出總額將達(dá)到1720億美元，高于2021年的1550億美元和前一年的1370億美元。

盡管資金狀態(tài)平穩(wěn)，CISO的手頭也不會太充裕。安全主管和執(zhí)行顧問表示，安全部門必須持續(xù)證明所花安全開支帶來了價值，培育了自身運營，并最終改善了企業(yè)的安全狀況。

普華永道網(wǎng)絡(luò)與隱私創(chuàng)新研究所負(fù)責(zé)人Joe Nocera稱：“企業(yè)知道風(fēng)險每天都在增加，因此，持續(xù)向網(wǎng)絡(luò)安全砸錢。我們從業(yè)務(wù)主管那里了解到的是，他們愿意不惜一切代價避免因為黑客事件而登上新聞頭條，但不想多花一分不必要的錢，而且想要確保錢都花在了正確的地方。這就需要CEO和CISO通力合作了。CISO需要知道正確的防護(hù)級別是什么樣的?！?

Nocera補充道：“網(wǎng)絡(luò)投資越來越不在于購買技術(shù)供應(yīng)商的最新產(chǎn)品，而更多地在于首先了解業(yè)務(wù)防護(hù)最薄弱的地方，然后根據(jù)攻擊發(fā)生的概率以及業(yè)務(wù)損失的嚴(yán)重程度來確定安全投資的優(yōu)先級?！?

推動預(yù)算的幾個趨勢

EPAM Systems首席信息安全官Sam Rehman表示，2022年的網(wǎng)絡(luò)安全預(yù)算反映了執(zhí)行團(tuán)隊的其他成員和董事會對企業(yè)網(wǎng)絡(luò)安全計劃的興趣不斷增加。

普華永道的報告表明，“企業(yè)明白風(fēng)險在不斷增加。超過50%的受訪者預(yù)計，相比2021年，明年可上報安全事件的數(shù)量將迎來激增?！?

Rehman表示，攻擊增多只是許多企業(yè)增加安全支出的因素之一。他認(rèn)為，高管同時也看到了數(shù)據(jù)泄露事件的重大影響。以及在匿名加密貨幣時代，攻擊貨幣化如此簡單，以致于攻擊者一直很有動力主動出擊。

Rehman稱：“這三個因素激化了網(wǎng)絡(luò)安全攻防戰(zhàn)?！?

決定安全開支的因素

相對應(yīng)的，企業(yè)領(lǐng)導(dǎo)現(xiàn)在想要知道自家公司正處在良好防護(hù)狀態(tài)下，而且自己足以響應(yīng)攻擊：防護(hù)和彈性兩手都要硬。他們逐漸明白，沒有100%防御這樣的事情，但強大的防御可以贏得時間，可以在造成重大（甚至任何）損害之前，有時間進(jìn)行檢測、響應(yīng)和恢復(fù)。

Nocera補充道：“為了保護(hù)自身及客戶免遭網(wǎng)絡(luò)攻擊侵害，大多數(shù)企業(yè)都會大幅增加其網(wǎng)絡(luò)安全開支預(yù)算?！?

與此同時，安全主管表示，除了高級管理層的同事和董事會成員之外，他們還感受到來自外部實體的成果交付壓力。他們會聽到來自客戶、業(yè)務(wù)合作伙伴和監(jiān)管機構(gòu)說：安全也是我們的首要考慮。

作為KLC咨詢公司總裁的Kyle H. Lai同時也是三個中型公司的虛擬CISO，他指出，美國總統(tǒng)拜登于2021年5月簽署的強化美國網(wǎng)絡(luò)安全行政令，也是影響安全預(yù)算的一個因素。他還提到了美國聯(lián)邦政府和各州政府陸續(xù)頒布的多項消費者數(shù)據(jù)隱私法案和其他立法舉措，認(rèn)為這些立法是影響CISO需要多少錢和怎么花錢的因素。

Lai表示：“對許多公司而言，這些[監(jiān)管和立法]動作非常重要，因為他們必須滿足這些要求，尤其是與聯(lián)邦政府和國防部合作的公司?！?

調(diào)查結(jié)果支持上述觀察所得。

CSO的《安全重點研究》表明，49%的受訪安全主管將最佳實踐作為其安全支出的決定性因素，49%的受訪者還將合規(guī)、監(jiān)管或強制要求作為決定性因素：這兩個類別并列安全開支決定因素列表榜首。

其次是需要解決不斷變化的勞動力或業(yè)務(wù)動態(tài)（尤其是混合勞動力和遠(yuǎn)程辦公）所帶來的逐漸演變的風(fēng)險（41%）；解決遷移到云端等數(shù)字化轉(zhuǎn)型帶來的風(fēng)險（38%）；響應(yīng)部門內(nèi)部發(fā)生的安全事件（35%）；以及對其他部門發(fā)生的安全事件做出響應(yīng)（25%）。

這些因素與未來幾個月CISO預(yù)計將資金投入哪些方面有關(guān)。

安全開支重點

CSO的調(diào)查顯示，支出分布在多個領(lǐng)域，其中20%投入本地基礎(chǔ)設(shè)施和硬件，19%用于技術(shù)人員，16%用來購買和維護(hù)本地工具與軟件——所有這些都為向企業(yè)交付安全服務(wù)奠定了基礎(chǔ)。

除此之外，還有基于云的安全解決方案（10%）、咨詢服務(wù)（7%）、基于云的安全監(jiān)測服務(wù)（7%）、安全意識培訓(xùn)（7%）、外包評估服務(wù)（6%）和外部事件響應(yīng)服務(wù)（5%）。

Gartner最近對信息安全和風(fēng)險管理支出做出了預(yù)測，進(jìn)一步詳細(xì)說明了資金的流向：2022年將有近770億美元流入安全服務(wù)，令安全服務(wù)成為迄今為止最大的支出類別；300億美元用于基礎(chǔ)設(shè)施保護(hù)；190億美元投入網(wǎng)絡(luò)安全設(shè)備；170億美元用于身份與訪問管理。

安全預(yù)算分配

將獲得大量預(yù)算的其他領(lǐng)域還包括應(yīng)用安全（66億美元）、綜合風(fēng)險管理（64億美元）、數(shù)據(jù)安全（40億美元）、軟件（27億美元）和云安全（14億美元）。

Gartner新興技術(shù)和趨勢高級總監(jiān)分析師Shawn Eftink表示，CISO支出可分為四大塊。

第一大塊用來支持與位置無關(guān)的安全，主要是創(chuàng)建網(wǎng)絡(luò)安全計劃，將身份視為需要保護(hù)的事實邊界。

第二大塊用于支持安全部門的發(fā)展。Eftink表示，隨著董事會引入更多具有網(wǎng)絡(luò)安全經(jīng)驗的董事，安全部門正面臨越來越嚴(yán)格的審查；這些董事會成員希望看到安全部門的效能提升和明顯成熟，而降低安全產(chǎn)品的復(fù)雜性是實現(xiàn)這些期望的關(guān)鍵。

第三塊預(yù)算面向不斷發(fā)展的技術(shù)：漏洞和攻擊模擬工具等逐漸成熟的新興技術(shù)，以及保護(hù)企業(yè)不斷延伸的云環(huán)境所需的那些技術(shù)。

第四塊預(yù)算用于外包，也就是幫助提高安全運營效率和應(yīng)對內(nèi)部人員配備挑戰(zhàn)的開支。

新投入零信任和增加云數(shù)據(jù)保護(hù)開支

其他安全主管的觀察所得與之類似。他們表示，CISO計劃投資訪問與身份管理軟件、基于角色的訪問控制（RBAC）、用戶行為分析和微分隔等身份驗證技術(shù)，從而支持不斷走向成熟的零信任架構(gòu)。在云安全解決方案上投錢也是CISO的打算之一。他們預(yù)備購買自動化和分析攻擊，從而更高效地處理海量安全數(shù)據(jù)，也計劃引入托管安全服務(wù)提供商（MSSP），增強自家員工的工作。

Nocera稱：“身份與訪問管理、第三方風(fēng)險管理、實時情報和零信任都是安全投資的重點領(lǐng)域。”

預(yù)算花在刀刃上

普華永道第24期《年度全球CEO調(diào)查》中，受訪CEO將網(wǎng)絡(luò)威脅票選為商業(yè)前景的第二大風(fēng)險，僅次于疫情和其他健康危機。北美和西歐的CEO則將網(wǎng)絡(luò)威脅列為第一大風(fēng)險。

但與此同時，專家表示，CEO不愿意給CISO許諾無限資金支持。安全主管的2022年預(yù)算反映出了這一現(xiàn)實。

專家認(rèn)為，這么做也是情有可原的。

Eftink分享了這一行的普遍想法：“開支并不一定等同于安全。”

事實上，CISO可以預(yù)期自己將不得不繼續(xù)提高效率，在預(yù)算持平或微量增加的條件下產(chǎn)出更高安全效能。要做到這一點，他們將不得不繼續(xù)安全左移，從一開始就將安全嵌入到驅(qū)動業(yè)務(wù)的運營流程和數(shù)字產(chǎn)品中，并將安全融入公司的架構(gòu)中。

Eftink表示：“必須轉(zhuǎn)變思維：應(yīng)當(dāng)嵌入安全，而不是將安全當(dāng)作事后才想起來的補救措施。一定得轉(zhuǎn)變范式?！?

Nocera對此表示同意。

他說：“在分配資金解決這些問題的同時，公司還需要設(shè)立集成進(jìn)整個組織架構(gòu)的安全體系，將網(wǎng)絡(luò)安全變成每個人的責(zé)任，而不僅僅是CISO或IT團(tuán)隊的職責(zé)。最終，強大的全公司網(wǎng)絡(luò)安全運營可以在公司、利益相關(guān)者和消費者之間建立信任，成為競爭優(yōu)勢。公司當(dāng)下為強化自身系統(tǒng)而面臨的開支，應(yīng)該被視為對未來商業(yè)模式的投資?！?