逆風行舟：2023年企業網絡安全預算熱點解讀

2022年，雖然網絡安全資本市場首次降溫，風險投資規模銳減、IPO停滯、上市公司收入大幅下滑，但是根據ESG的最新報告，2023年全球企業網絡安全預算仍將保持強勁趨勢，因為全球網絡威脅持續升級，企業優先考慮網絡安全支出，這也使網絡安全市場成為2023年投資者和戰略買家為數不多的重要投資機會。

根據ESG的調查，53%的企業將在2023年增加IT支出，30%的企業表示IT支出將在2023年保持不變，只有18%的企業預測IT支出將減少。至于網絡安全，65%的企業計劃在2023年增加網絡安全支出。

上述調查結果表明，即便是一些IT預算持平或減少的企業，2023年仍將會增加網絡安全支出。40%的受訪者聲稱，改善網絡安全是2023年IT投資的最重要理由，調查結果進一步支持了這一趨勢。該項研究是在2022年底進行的，當時受訪者非常清楚經濟處于逆風期，并在預算規劃中充分考慮了不利因素。

雖然數據表明企業網絡安全支出增長相當強勁，但網絡安全企業也不能過于樂觀，因為百分之七十的受訪者表示，今年可能面臨預算削減或凍結。如果發生裁員，則可能引發招聘凍結，項目延遲和更嚴格的供應商審查。

四大趨勢與熱點

在樂觀的安全支出增長數據背后，網絡安全廠商也需要警惕企業隨時可能踩下預算剎車。此外，2023年CISO們的策略也將發生轉變，四個趨勢和熱點值得關注：

• 首席信息安全官將專注于內功修煉。隨著IT支出放緩，首席信息安全官將重新審視現有的安全計劃，并將精力集中在兩個領域：安全衛生與態勢管理，以及積極改進安全流程和控制。安全衛生和態勢管理將包括發現、分析和監控所有IT資產，該領域的網絡安全技術供應商應該會受益。此外，流程和控制改進將包括整合安全和IT運營、流程自動化和、實施MITRE ATT&CK以及更頻繁的安全測試。
• 企業安全投資將更偏戰術性而非戰略性。企業安全團隊已經在回避長期合同，推遲復雜的資源密集型項目。這意味著他們將把項目和平臺計劃分解成易于消化的模塊，重點投資高優先級需求。2023年安全和IT團隊將專注于應用程序和數據分類、訪問策略、策略實施和網絡分段，而不是大爆炸式的零信任計劃。同樣，安全運營團隊可能不愿意在2023年更換傳統的SIEM平臺。相反，他們將用安全數據湖、XDR和SOAR工具圍繞SIEM，支持他們更加重視的安全工程、自主開發和人員擴充服務。雖然經濟衰退通常會導致培訓預算削減，但這不會在2023年發生。為了提高員工保留率和生產力，大多數受訪首席信息安全官計劃增加對員工培訓和教育的投資。
• 合并將讓位于聯合。網絡安全行業的兼并整合仍將繼續，但速度將放緩。同時，廠商將把精力集中在細分安全領域——云安全、電子郵件安全、端點安全、網絡安全等。這將催生更多基于細分領域的開放平臺，將各廠商的產品通過API和越來越多的開放標準拼接在一起。2023年對于在2022年黑帽大會上推出的開放網絡安全架構框架（OCSF，類似安全運營和分析平臺架構SOAPA） 來說將是重要的一年，安全技術聯盟將成為行業熱詞。
• 服務支出將主導預算。ESG研究表明，近一半（45%）的企業表示他們缺乏網絡安全技能。這意味著他們沒有足夠數量的員工，且缺乏一些先進但必要的網絡安全技能。盡管各行業普遍面臨裁員，但網絡安全專業人員的需求量仍然很大。首席信息安全官別無選擇，只能在托管威脅情報計劃、托管檢測和響應以及身份即服務等領域與安全服務提供商一起增強內部員工和技能。

總結：

網絡安全投資回歸本質

網絡安全是如今是最高優先級的企業IT計劃，市場需求正持續增長，安全支出也將繼續增長，但2023年企業安全投資將回歸本質。CISO們將在新的一年對網絡安全支出規劃進行務實調整，新的計劃將側重于重點優先事項、充分利用企業現有資源，并力爭將安全投資收益最大化。