近年來，全球網絡安全市場保持了快速平穩增長態勢，有研究顯示，2022年這一增長趨勢仍將持續，幾乎所有的企業首席信息安全官( CISO )都表示在新的一年都將增加預算或持平。在2022年，推動企業安全預算增長的原因是什么?哪些企業安全開支將成為優先事項?

網絡安全支出整體呈增長趨勢

據《2021年安全優先事項研究》發現， 44% 的安全領導者將在未來 12 個月內增加其預算，相較去年的結果—— 41% 的受訪者認為 2021 年預算將比 2020 年有所增長，今年的數字略有提升;54% 的受訪者表示，他們預計未來12個月的預算將保持不變;只有 2% 的受訪者預計預算會減少，相較于去年的結果——6%的受訪者認為2021年安全支出將低于2020年，這一數字明顯要小得多。

根據普華永道發布的《 2022 年全球數字信任洞察》報告指出，投資持續涌入網絡安全領域，69% 的受訪組織預計其 2022 年網絡支出將有所增長;26% 的受訪者預計其來年網絡支出將激增 10% 或更多。與此同時，市場研究和咨詢公司 Gartner 估計， 2022 年信息安全和風險管理的支出總額將達到 1720 億美元，高于 2021 年的 1550 億美元和 2020 年的 1370 億美元。

盡管資金處于平穩狀態，但CISO的手頭并不充裕。安全部門必須繼續證明他們正在為安全開支創造價值，以不斷改善其自身運營，并最終改善組織的安全狀況。

普華永道網絡與隱私創新研究所負責人Joe Nocera表示，“組織知道風險每天都在增加，因此，資金將源源不斷地融入網絡安全領域。我們從業務領導者那里聽說，他們愿意不惜一切代價避免因黑客攻擊事件而登上新聞頭條，但他們不想多花一分不必要的錢，必須要確保錢都花在了正確的地方。這就需要 CEO 和 CISO 共同努力，而且 CISO 需要知道什么是正確的防護級別。”

Nocera補充道，“網絡投資越來越不在于購買技術供應商的新產品，而更多地在于了解業務較薄弱的地方，然后根據攻擊發生的可能性，以及業務損失的嚴重程度來確定投資的優先級。”

推動預算增長的原因

EPAM Systems 首席信息安全官 Sam Rehman 表示， 2022 年的網絡安全預算反映了執行團隊和董事會對企業網絡安全計劃的興趣不斷增加。不斷增加的網絡攻擊量只是組織增加安全支出的原因之一。他認為，高管們也看到了數據泄露事件帶來的重大影響，及在匿名加密貨幣時代，攻擊貨幣化的簡單程度也足以吸引攻擊者實施攻擊活動。這三個因素讓網絡安全攻防戰變得愈發復雜和激烈。

作為回應，企業領導現在想要確保其正在充分保護自己的組織，并且可以充分應對攻擊，他們需要安全防護和系統彈性兩手抓。企業領導逐漸明白，無法100% 防御攻擊，但強大的防御能力可以贏得時間——在造成重大(甚至任何)損害之前，有時間進行檢測、響應和恢復。Nocera 補充道，“大多數組織將大幅增加開支預算，以保護自身和客戶免遭網絡攻擊。”

與此同時，安全領導者表示，除了高級管理層和董事會成員之外，他們還感受到來自外部實體的成果交付壓力。他們愈發頻繁地從客戶、業務合作伙伴和監管機構那里獲得反饋稱，安全也是其首要任務。KLC 咨詢公司總裁 Kyle H. Lai 指出，美國總統拜登于 2021 年 5 月簽署強化美國網絡安全的行政令，也將成為影響安全預算的一個因素。

Kyle H. Lai 還提到，隨著越來越多的國家/地區頒布消費者數據隱私法案和其他立法舉措，此舉也將成為影響 CISO 需要多少錢和怎么花錢的因素。對許多企業而言，這些監管和立法行動非常重要，因為他們必須滿足這些要求，尤其是與聯邦政府和國防部存在合作關系的公司。調查結果支持了這一觀察結果。《 2021 年安全優先事項研究》結果表明， 49% 的受訪者將“最佳實踐”作為其安全支出的決定性因素， 49% 的受訪者還將“合規性、監管或強制要求”作為決定性因素。

除此之外，企業還需要解決不斷變化的勞動力或業務動態，尤其是混合勞動力和遠程辦公所帶來的風險( 41% );解決數字化轉型(例如遷移到云端)帶來的風險( 38% );響應部門內部發生的安全事件( 35% );以及對另一個組織發生的安全事件做出響應( 25% )等。這些因素都會影響未來幾個月內 CISO 將資金投入在哪些方面。

安全開支優先事項

調查顯示，安全支出分布在多個領域，其中 20% 分配給本地基礎設施和硬件， 19% 分配給技術人員， 16% 分配給本地工具與軟件，這些為向企業交付安全服務奠定了基礎。另外，安全支出還會用在基于云的安全解決方案( 10% )、咨詢服務( 7% )、基于云的安全監測服務( 7% )、安全意識培訓( 7% )、外包評估服務( 6% )以及外部事件響應服務( 5% )等。

Gartner 對信息安全和風險管理支出的預測，進一步詳細說明了資金流向：2022年將有近770 億美元用于安全服務，使其成為迄今為止較大的支出類別;300 億美元將用于基礎設施保護;190 億美元用于網絡安全設備;170 億美元用于身份與訪問管理。其他將獲得大量預算的領域還包括應用程序安全( 66 億美元)、綜合風險管理( 64 億美元)、數據安全( 40 億美元)、軟件( 27 億美元)和云安全( 14 億美元)。

Gartner 新興技術和趨勢高級總監分析師 Shawn Eftink 表示， CISO 支出大致可分為四大領域：一是支持與位置無關的安全性，主要是創建一個網絡安全計劃，將身份視為需要保護的事實邊界;二是支持安全組織發展，隨著董事會引入更多具有網絡安全經驗的董事，安全部門正面臨越來越嚴格的審查，這些董事會成員希望看到安全部門提升效能;三是不斷發展的技術，組織會在新興和成熟的安全技術(例如漏洞和攻擊模擬工具)，以及保護其不斷增長的云環境所需技術上投入更多資金;最后一個是外包，也就是幫助提高安全運營效率及應對內部安全人員缺失的支出。

此外，身份和訪問管理、第三方風險管理、實時情報和零信任都是安全投資的重點領域。其他安全領導者還表示， CISO 正計劃投資訪問與身份管理軟件、基于角色的訪問控制( RBAC )、用戶行為分析和微隔離等身份驗證技術，以支持其不斷成熟的零信任架構。此外， CISO 也正計劃在云安全解決方案上投錢。他們計劃購買自動化和分析工具，以更高效地處理海量安全數據。他們還計劃聘請托管安全服務提供商( MSSP )來輔助員工工作。

支出≠安全性

在普華永道第 24 期《年度全球 CEO 調查》中，受訪 CEO 將網絡威脅列為影響商業前景的第二大風險，僅次于疫情和其他健康危機。北美和西歐的 CEO 則將網絡威脅列為第一大風險。但與此同時，專家表示， CEO 不愿意給 CISO 許諾無限資金支持。專家認為，這么做情有可原。Eftink 分享了該行業的普遍想法：“更多的支出并不等同于相同程序的安全性。”

事實上， CISO 可以預期，他們將不得不繼續提高效率，并在預算持平或微量增加的情況下變得更加高效。要做到這一點，他們將不得不繼續安全左移，從一開始就將安全性嵌入到驅動業務的運營流程和數字產品中，并將安全性融入組織的架構中。這一過程中，較關鍵的就是思維的轉變——安全性應該是嵌入系統開發的一部分，而非事后才想起來的補救措施。這種范式轉變勢在必行。

除此之外，當分配資金解決這些問題時，企業還需要構建跨組織集成的系統，使網絡安全成為每個人的責任，而不僅僅是 CISO 或 IT 團隊的職責。最終，強大的“全公司式”網絡安全運營可以在企業、利益相關者和消費者之間建立信任，成為競爭優勢。企業今天為強化自身系統而面臨的成本，應該被視為對未來商業模式的投資。

原文參考鏈接：

https://www.csoonline.com/article/3645091/cybersecurity-spending-trends-for-2022-investing-in-the-future.html

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文