不過,安全領(lǐng)導(dǎo)者還需開始考慮他們需要多少資金以及如何分配預(yù)算。咨詢公司W(wǎng)est Monroe的網(wǎng)絡(luò)安全主管David Chaddock表示,“在宏觀層面上,當(dāng)定義戰(zhàn)略目標(biāo)和制定安全預(yù)算時,CISO應(yīng)該知道,網(wǎng)絡(luò)安全現(xiàn)狀可能會使安全領(lǐng)導(dǎo)者深陷‘維持運營和推進(jìn)新舉措’的兩難處境。雖然一些成熟度較高或遭受過網(wǎng)絡(luò)攻擊的企業(yè),已經(jīng)了解了變革的價值并且可能已經(jīng)做好了準(zhǔn)備,但不幸的現(xiàn)實是,大多數(shù)企業(yè)仍苦苦掙扎于用傳統(tǒng)預(yù)算滿足需求,而對安全的需求只會越來越大。”
以下是可能決定2023年預(yù)算的5大關(guān)鍵因素:
• 不斷變化的威脅形勢
• 經(jīng)濟(jì)趨勢及其對威脅行為者行為的影響
• 地緣政治事件,例如俄烏戰(zhàn)爭
• 不斷變化的政府和其他法規(guī)和指導(dǎo)
• 不斷變化的網(wǎng)絡(luò)保險要求
CISO需要慎重考慮這些因素,以便找出確保企業(yè)安全的最佳方法。
1. 不斷變化的威脅形勢
網(wǎng)絡(luò)安全威脅格局正在不斷變化,而隨著新型勒索軟件威脅的出現(xiàn)、向云計算的持續(xù)發(fā)展以及勞動力模式的轉(zhuǎn)變,這種變化步伐似乎已經(jīng)加快。其次,許多公司正在加速數(shù)字化轉(zhuǎn)型進(jìn)程。
Gartner高級研究總監(jiān)Ruggero Contu表示,“數(shù)字化轉(zhuǎn)型計劃進(jìn)一步擴(kuò)大了攻擊面。CISO預(yù)算必須滿足來自外部風(fēng)險的新要求,而傳統(tǒng)預(yù)算的重點是關(guān)注內(nèi)部基礎(chǔ)設(shè)施。”
Contu補(bǔ)充道,暴露的漏洞(例如未修補(bǔ)的服務(wù)器和互聯(lián)網(wǎng)連接設(shè)備中的開放端口)、云系統(tǒng)配置錯誤、泄露的關(guān)鍵信息(例如憑據(jù))和受損資產(chǎn)(例如欺騙域和企業(yè)移動應(yīng)用程序)都將是未來幾年的重點攻擊目標(biāo)。
此外,端點設(shè)備的快速增長——包括物聯(lián)網(wǎng) (IoT) 的增長——以及固有的安全風(fēng)險也將影響預(yù)算。
Contu表示,制造、能源、運輸和醫(yī)療保健領(lǐng)域的安全預(yù)算將不得不專注于保護(hù)工業(yè)環(huán)境和系統(tǒng)免受IoT引入漏洞的影響,以及IT和運營技術(shù) (OT) 的融合。
2. 經(jīng)濟(jì)趨勢導(dǎo)致網(wǎng)絡(luò)安全資源稀缺
經(jīng)濟(jì)趨勢(尤其是通貨膨脹)可能會對網(wǎng)絡(luò)安全支出以及威脅行為者的行為產(chǎn)生重大影響。咨詢公司Plante Moran的合伙人兼網(wǎng)絡(luò)安全實踐負(fù)責(zé)人Raj Patel表示,網(wǎng)絡(luò)資源的稀缺加上通貨膨脹將是未來12到18個月網(wǎng)絡(luò)安全預(yù)算和支出增加的最重要因素。
他認(rèn)為,“網(wǎng)絡(luò)人才來之不易,企業(yè)愿意為此付出代價。這也導(dǎo)致工資成本增加了至少10%到15%。由于資源稀缺,8-12年工作經(jīng)驗的員工薪資增長幅度更大。至于安全產(chǎn)品和服務(wù),在過去四年中,用于更好地管理網(wǎng)絡(luò)風(fēng)險的工具和技術(shù)顯著增加。”
Chaddock補(bǔ)充道,貧富差距及其帶來的經(jīng)濟(jì)不確定性也將不可避免地導(dǎo)致黑客行為和其他可能破壞穩(wěn)定的網(wǎng)絡(luò)安全事件進(jìn)一步增加?,F(xiàn)在,隨著企業(yè)變得更加數(shù)字化并且越來越容易受到安全漏洞的影響,這種情況只會進(jìn)一步加劇。
3. 地緣政治事件加劇安全風(fēng)險
世界各地的事件,也許最引人注目的當(dāng)屬俄羅斯和烏克蘭之間的戰(zhàn)爭,這可能會繼續(xù)對網(wǎng)絡(luò)安全和風(fēng)險產(chǎn)生重大影響。對于某些行業(yè)尤為如此,例如政府和其他支持國家關(guān)鍵基礎(chǔ)設(shè)施的行業(yè)。
Patel解釋稱,“當(dāng)前的地緣政治事件將攻擊者的形象轉(zhuǎn)變?yōu)閲屹Y助的黑客,他們擁有深厚的技術(shù)技能和所需的資源來攻擊關(guān)鍵基礎(chǔ)設(shè)施和公司。”
West Monroe通過每季度對收入超過5億美元公司的250名C級高管進(jìn)行調(diào)查,形成的最新季度《高管調(diào)查報告》顯示,當(dāng)被問及“由于地緣政治和供應(yīng)鏈不穩(wěn)定,高管所屬公司今年正在考慮采取哪些行動”時,大多數(shù)高管 (60%) 表示,他們正在考慮增加支出或關(guān)注網(wǎng)絡(luò)安全,因為網(wǎng)絡(luò)戰(zhàn)已成為獲得競爭優(yōu)勢的越來越常用的工具。
Chaddock補(bǔ)充道,民族國家贊助的針對烏克蘭的攻擊工具現(xiàn)在可以很容易地提供給更廣泛的受眾。而大多數(shù)企業(yè)都不具備充分的防護(hù)能力來抵御民族國家資助的攻擊活動。這意味著大多數(shù)安全計劃已經(jīng)明顯落后,需要在運營資金之外進(jìn)行大量投資以保持正常運轉(zhuǎn)。
4. 不斷變化的監(jiān)管要求
在過去幾年間,監(jiān)管要求一直在變化,包括處理數(shù)據(jù)隱私的法律。Patel表示,遵守各種隱私法規(guī)和合同中的安全義務(wù)的成本正在上升。例如,一些合同可能需要第三方審計師進(jìn)行獨立測試。由于通貨膨脹和工資上漲,審計師和顧問的費用也在不斷提高。
Chaddock認(rèn)為,企業(yè)應(yīng)該專注于建立強(qiáng)大的安全性,而非專門關(guān)注法規(guī)遵從性。當(dāng)一個企業(yè)真正安全時,實現(xiàn)和維護(hù)合規(guī)性的成本應(yīng)該也會降低。特別是對于那些支持關(guān)鍵基礎(chǔ)設(shè)施的企業(yè)來說,不斷發(fā)展的監(jiān)管合規(guī)要求需要大量支持。
5. 不斷變化的網(wǎng)絡(luò)保險要求和不斷上漲的成本
在經(jīng)歷勒索軟件等廣為人知的攻擊之后,越來越多的企業(yè)開始購買或至少考慮購買網(wǎng)絡(luò)保險計劃。如果支付此類政策的費用超出了安全預(yù)算,CISO將需要考慮不斷上升的覆蓋成本和其他因素。
Patel表示,“網(wǎng)絡(luò)保險成本正在上漲20%到25%。企業(yè)可以通過降低覆蓋水平或增加免賠額來降低成本。不過,那將意味著承擔(dān)更多風(fēng)險。一些保險公司會評估您的網(wǎng)絡(luò)控制以衡量您的保費。通過更好的控制,您也可以降低保費。”
Chaddock補(bǔ)充道,隨著時間的推移,公司應(yīng)確保將網(wǎng)絡(luò)保險的成本包括在內(nèi),更重要的是與維護(hù)有效和安全的備份/恢復(fù)能力相關(guān)的成本。“雙重勒索”時代的到來已經(jīng)致使許多目標(biāo)企業(yè)陷入財務(wù)困境。那些具有安全和彈性備份和恢復(fù)能力的企業(yè),受到網(wǎng)絡(luò)事件實質(zhì)性影響的可能性要小得多。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號