三分技术七分人：网络安全预算该怎么花？

网络安全行业面临的挑战比以往任何时候都更为严峻。公开报告的数据泄露数量持续增加，疫情导致的远程办公常态化和经济动荡对安全态势的恶化无异于雪上加霜。尽管网络安全已经成为大多数企业的首要任务，但企业对当下安全态势并不满意，这反映在不断增长的安全预算上。

增加安全预算并努力跟上不断变化的威胁对网络安全决策者来说至关重要。2021年即将收官，如何理性制定和分配安全预算？以下是NewtonX走访了上百名企业网络安全领导者后，总结的在未来几个月与安全预算规划有关的四个重点问题：

01 网络安全预算怎么分配

企业的网络安全预算正在增加。Gartner估计，2022年全球IT支出将达到4.4万亿美元，比2021年增长5.3%。领导者如何分配这些缓慢但稳步增长的预算？不同规模的公司分配安全预算的方式是否存在差异？

网络安全预算的最大障碍之一是决定是将安全资金嵌套在IT预算中还是保留单独的项目。无论哪种方式，大约40%的组织将其IT预算的10%到15%用于网络安全用途。

大约80%的预算分为四类：

• 监控和运营
• 端点和网络安全
• 身份和访问管理
• 应用程序和数据保护

另一个关键考虑因素是网络安全人员配备。虽然40%的组织由于网络安全工作的高度敏感性质而选择不雇用分包商，但我们的研究发现，56%的公司现在将多达四分之一的网络安全员工分包出去。

当全球该行业已有数百万个职位空缺时，寻找合适的安全人才变得越来越具有挑战性，仅在美国就有近50万个职位空缺。这种无情的招聘环境可能需要创造性地重新规划组织预算，以在竞争对手紧锣密鼓招聘工作时吸引足够的人才。

02 了解威胁动态并制定对策

研究表明，几乎所有技术领导者都报告说网络事件有所增加或趋于平稳，其中大多数人在过去一年中至少面临过一次安全事件。数据泄露给组织带来的平均损失高达424万美元，并且通常需要数月时间才能检测到。其他数据表明，在披露数据泄露后，公司股价损失约5%，在勒索软件攻击后损失约22%。攻击者熟悉这些数字，并有动力继续扩大攻击规模并为他们的武器库添加新武器。

虽然网络钓鱼电子邮件等传统攻击形式依然流行，但黑客现在正在提高勒索软件的频率，以从越来越多的目标群体中攫取数百万美元。2021年上半年，有1097个组织遭受了勒索软件攻击，而2020年全年为1112个。其中一些攻击事件（例如Colonial Pipeline黑客攻击）具有极大的破坏性。

组织在如何处理勒索软件攻击方面存在明显分歧。在接受调查的公司中，大约三分之二的公司没有专项预算来处理勒索软件攻击。规模较小的组织根本不太可能有任何解决方案，而只有10%到12%的员工规模超过1000人的企业没有勒索软件防御解决方案。当组织确实实施以勒索软件为中心的安全解决方案时，它通常与不同的产品或服务捆绑在一起。

03 重新平衡远程和混合工作的计划

向远程办公的转变在网络安全领导者中引起了巨大的动荡，因为他们失去了将关键信息限制在物理场所的好处。

现在，员工更加分散，凭证泄露和其他基于员工的风险的问题正浮出水面。调查发现，大约60%的领导者报告称用户凭据遭到泄漏，另外50%的领导者与恶意软件或安全策略违规进行过斗争。

随着与远程办公相关的安全事件不断增加，安全领导者将不得不根据可用预算和远程办公面临的威胁，重新评估并提升员工安全意识培训以及监控解决方案等措施的优先级。

04 挑选出最有效的网络安全解决方案

企业界已经达成共识，只有在第三方安全解决方案的帮助下企业才能打造卓越的网络安全态势。企业面临的攻击矢量太多，攻击频率越来越高，安全赌注只会越来越大。但是，选择有效的，合适的安全解决方案并不容易。

由于网络安全供应商环境变得如此拥挤且难以筛选，许多安全领导者通过口碑来寻找首选解决方案。虽然通过对类似公司有效的方法来缩小选择范围是一个好主意，但在选择可以实现或破坏组织安全目标的产品时，尽职调查始终是必要的。根据最佳实践，安全领导者需要从四个维度对供应商产品进行评分：

• 易于实施和管理
• 整体解决方案的成熟度
• 与现有基础设施集成
• 灵活性和价值

最好的解决方案不一定是最昂贵的，而且要在功能与可用预算之间找到适当的平衡，往往需要付出比许多领导者预期的更多的工作。

用数据推动更明智的决策

网络安全决策者比以往任何时候都更依赖高质量数据来了解竞争对手和行业领导者正在做什么以应对2022年最突出的安全挑战。通过挖掘数字并找出有效答案，企业安全决策者可以少走弯路，捷足先登。