本文来自微信公众号“安全牛”。
2024年,企业网络安全管理者普遍面临的一大挑战就是获得并维持必要的预算支持,以保持在符合组织预期的风险容忍度内,高效开展网络安全能力建设。由于网络安全预算的用途不仅是为了风险缓解,还需要能够为企业创造附加的商业利益,因此预算编制往往一个艰辛的过程,跨越多个利益相关者、业务部门以及公司董事会等机构。日前,IT专业媒体Helpnetsecurity对2023年企业组织的网络安全预算情况进行了调查总结,旨在帮助企业更好地应对数字化转型发展中的风险挑战。
01
企业网络安全预算继续保持温和增长的态势
根据IANS和Artio Search的最新研究,尽管经济不确定性和通货膨胀,但网络安全预算总体上仍在继续增长,只是增速低于往年。调查数据显示,74%的IT和安全决策者表示,与去年相比,他们组织的IT或安全预算有所增加,63%的人表示,他们组织的IT或安全团队人数有所增加。
虽然安全预算以较低的速度增长,但安全预算在IT预算中的份额呈上升趋势,这表明与IT支出相比,对安全支出的影响是温和的。自2020年以来,安全支出占IT支出的比例从8.6%上升到11.6%,其中技术公司的支出比例最大,为19%。
02
增加的网络安全支出并没有转化为网络安全态势的改善
调查数据显示,尽管到2023年,企业阻止的网络安全预算平均增长29%,但受访者表示,他们需要进一步增长40%,才能对自己降低安全风险的能力充满信心。之所以需要更多的投资,可能是因为35%的网络预算没有用于改善安全状况,因此可能被认为是浪费。
74%的受访者表示,由于缺乏安全资源,他们管理组织网络安全状况的能力受到了负面影响。但解决方案并非简单地找到更多的人才,还需要关注自动化技术可以优化工作的地方,以及整合可以降低复杂性并在整个IT基础设施中实现统一管理的地方。超过一半的受访者表示希望花钱聘请更多的安全专家,其次是投资安全意识培训(50%)和提升安全团队的技能(44%)。
03
成本优化已经成为网络安全预算编制时的重要任务
研究人员发现,虽然组织中的很多部门都在2023年经历了预算削减,但IT和网络安全方面的预算仍然维持增加,以应对不断发展的IT基础设施和基于人工智能的攻击等新策略带来的威胁。不过,即使预算不断增加,成本优化仍然是全球IT和安全决策者的首要任务。87%的人正在优先考虑增强云基础设施,85%的人优先考虑在未来12个月内优化IT成本。
IT和安全决策者正在接受变革,以适应新的技能需求和新兴技术的崛起。近五分之三的IT和安全决策者认为,未来的IT和安全工作将涉及对专业技能组合的需求不断增长,并采用新兴技术来实现高级安全措施。
04
对AI技术的安全担忧将推动未来企业网络安全预算支出
根据Gartner的数据,2024年全球IT支出预计将达到5.1万亿美元,比2023年增长8%。虽然生成式人工智能(GenAI)尚未对IT支出产生实质性影响,但更广泛的人工智能投资正在支持整体IT支出的增长。
Gartner预计,在2023年和2024年,与GenAI相关的直接IT支出将非常少。然而,组织仍在继续投资于人工智能和自动化,以提高运营效率并弥合IT人才缺口。围绕GenAI的炒作正在支持这一趋势,因为首席信息官们认识到,在2025年GenAI成为其IT预算的一部分之前,今天的人工智能项目将有助于制定人工智能战略。
05
云服务的低效率占用了企业大量IT方面的预算支出
Aptum公司调查发现,71%的受访IT专业人士表示,与云计算相关的成本占其IT总支出的30%或更多。在当前不确定的经济环境中,虽然近年来云为组织带来了灵活性、可扩展性、敏捷性和成本效率等好处,但仍然存在不可预见的成本。
52%的IT专业人士承认,由于云平台和服务的效率低下,他们的组织浪费了大量的IT支出。事实上,73%的IT受访者表示,在过去的12个月里,他们的云计算投资导致了高于预期的IT成本,与2021年的数据相比增长了28%。此外,92%的IT专业人士表示,他们可能会对云计算支出进行全面的投资回报率(ROI)分析,这一比例高于2022年的89%。
对此,Aptum的分析师认为,对企业而言成本高昂的不是云计算,而是缺乏可观察性和治理,这阻碍了管理效率的提升,也严重阻碍了对云服务的成本控制。
06
由于预算分配不均衡,企业内部的安全风险正在快速上升
根据DTEX Systems的调研数据显示,2023年企业花费了比以往更多的时间来控制内部威胁事件,内部风险的平均成本已达到有史以来最高水平1620万美元,四年来增长了40%。与此同时,企业用于控制内部安全事件的平均时间也增加到86天。响应时间越长,成本就越高(对于需要91天以上才能控制的事件,成本为1833万美元)。
不过,尽管内部风险的成本不断增加,但88%的受访组织在内部风险管理上的预算支出还不到其网络安全总预算的10%。而且,就已花费的内部管理预算而言,只有10%用于了事前预防,包括将潜在的未来内部事件最小化的活动以及与主要利益相关者沟通建议的步骤。其余90%都用在了对已发生安全事件的遏制、补救、调查、响应和措施升级等。
07
紧张的网络安全预算将推动托管网络安全服务发展
根据Cobalt调查数据显示,2024年,超过60%的受访网络安全专业人员表示其安全预算并不充分,可能导致其专业人员的招聘计划放缓。这可能会进一步加剧网络安全专业人才不足和现有人员职业倦怠的程度。
持续的经济不确定性、不断增加的网络威胁和IT专业人员的短缺为托管服务提供商(MSP)提供更多的业务发展机会。很多企业组织需要将更多的网络安全服务外包给MSP。数据显示,近80%的受访者表示,他们会将一项或多项IT服务外包给MSP,高于去年的64%。
08
影响企业网络安全预算支出的主要因素
Netrix Global调查发现,企业网络安全管理者迫切希望在2024年拥有更先进的安全工具和解决方案,以帮助其应对日益严重的网络安全威胁。22%的受访者表示,他们希望今年在网络安全领域使用更多的人工智能,这一比例几乎是排名第2的自动化(5%)的五倍,紧随其后的是威胁检测、改进的云安全和身份验证方法(各占4%)。
有趣的是,在考虑有关支出决策的其他发现时,安全高管表示,供应链问题和不断增长的远程办公模式可能会对2024年的IT安全支出产生比迫在眉睫的经济衰退更大的影响。研究发现,只有38%的高管表示,不稳定的宏观经济形势会显著影响他们今年的IT安全支出。相反地,48%的受访者表示,他们日益增长的远程办公模式将产生重大影响,其次是供应链安全防护的问题(46%)。
