三分技術七分人：網絡安全預算該怎么花？

網絡安全行業面臨的挑戰比以往任何時候都更為嚴峻。公開報告的數據泄露數量持續增加，疫情導致的遠程辦公常態化和經濟動蕩對安全態勢的惡化無異于雪上加霜。盡管網絡安全已經成為大多數企業的首要任務，但企業對當下安全態勢并不滿意，這反映在不斷增長的安全預算上。

增加安全預算并努力跟上不斷變化的威脅對網絡安全決策者來說至關重要。2021年即將收官，如何理性制定和分配安全預算？以下是NewtonX走訪了上百名企業網絡安全領導者后，總結的在未來幾個月與安全預算規劃有關的四個重點問題：

01網絡安全預算怎么分配

企業的網絡安全預算正在增加。Gartner估計，2022年全球IT支出將達到4.4萬億美元，比2021年增長5.3%。領導者如何分配這些緩慢但穩步增長的預算？不同規模的公司分配安全預算的方式是否存在差異？

網絡安全預算的最大障礙之一是決定是將安全資金嵌套在IT預算中還是保留單獨的項目。無論哪種方式，大約40%的組織將其IT預算的10%到15%用于網絡安全用途。

大約80%的預算分為四類：

• 監控和運營
• 端點和網絡安全
• 身份和訪問管理
• 應用程序和數據保護

另一個關鍵考慮因素是網絡安全人員配備。雖然40%的組織由于網絡安全工作的高度敏感性質而選擇不雇用分包商，但我們的研究發現，56%的公司現在將多達四分之一的網絡安全員工分包出去。

當全球該行業已有數百萬個職位空缺時，尋找合適的安全人才變得越來越具有挑戰性，僅在美國就有近50萬個職位空缺。這種無情的招聘環境可能需要創造性地重新規劃組織預算，以在競爭對手緊鑼密鼓招聘工作時吸引足夠的人才。

02了解威脅動態并制定對策

研究表明，幾乎所有技術領導者都報告說網絡事件有所增加或趨于平穩，其中大多數人在過去一年中至少面臨過一次安全事件。數據泄露給組織帶來的平均損失高達424萬美元，并且通常需要數月時間才能檢測到。其他數據表明，在披露數據泄露后，公司股價損失約5%，在勒索軟件攻擊后損失約22%。攻擊者熟悉這些數字，并有動力繼續擴大攻擊規模并為他們的武器庫添加新武器。

雖然網絡釣魚電子郵件等傳統攻擊形式依然流行，但黑客現在正在提高勒索軟件的頻率，以從越來越多的目標群體中攫取數百萬美元。2021年上半年，有1097個組織遭受了勒索軟件攻擊，而2020年全年為1112個。其中一些攻擊事件（例如Colonial Pipeline黑客攻擊）具有極大的破壞性。

組織在如何處理勒索軟件攻擊方面存在明顯分歧。在接受調查的公司中，大約三分之二的公司沒有專項預算來處理勒索軟件攻擊。規模較小的組織根本不太可能有任何解決方案，而只有10%到12%的員工規模超過1000人的企業沒有勒索軟件防御解決方案。當組織確實實施以勒索軟件為中心的安全解決方案時，它通常與不同的產品或服務捆綁在一起。

03重新平衡遠程和混合工作的計劃

向遠程辦公的轉變在網絡安全領導者中引起了巨大的動蕩，因為他們失去了將關鍵信息限制在物理場所的好處。

現在，員工更加分散，憑證泄露和其他基于員工的風險的問題正浮出水面。調查發現，大約60%的領導者報告稱用戶憑據遭到泄漏，另外50%的領導者與惡意軟件或安全策略違規進行過斗爭。

隨著與遠程辦公相關的安全事件不斷增加，安全領導者將不得不根據可用預算和遠程辦公面臨的威脅，重新評估并提升員工安全意識培訓以及監控解決方案等措施的優先級。

04挑選出最有效的網絡安全解決方案

企業界已經達成共識，只有在第三方安全解決方案的幫助下企業才能打造卓越的網絡安全態勢。企業面臨的攻擊矢量太多，攻擊頻率越來越高，安全賭注只會越來越大。但是，選擇有效的，合適的安全解決方案并不容易。

由于網絡安全供應商環境變得如此擁擠且難以篩選，許多安全領導者通過口碑來尋找首選解決方案。雖然通過對類似公司有效的方法來縮小選擇范圍是一個好主意，但在選擇可以實現或破壞組織安全目標的產品時，盡職調查始終是必要的。根據最佳實踐，安全領導者需要從四個維度對供應商產品進行評分：

• 易于實施和管理
• 整體解決方案的成熟度
• 與現有基礎設施集成
• 靈活性和價值

最好的解決方案不一定是最昂貴的，而且要在功能與可用預算之間找到適當的平衡，往往需要付出比許多領導者預期的更多的工作。

用數據推動更明智的決策

網絡安全決策者比以往任何時候都更依賴高質量數據來了解競爭對手和行業領導者正在做什么以應對2022年最突出的安全挑戰。通過挖掘數字并找出有效答案，企業安全決策者可以少走彎路，捷足先登。