展望2025年,保障收入和最小化业务风险必须成为CISO预算的核心,投资应与业务运营相协调,以推动优先事项。
Forrester最新的安全和风险预算规划指南明确指出,保护业务关键的IT资产需要成为明年的首要任务。Forrester在报告中写道:“CISO在2025年获得的预算增长应优先用于应对应用安全、人员安全和业务关键基础设施中的威胁和控制措施。”
CISO必须加倍重视威胁和控制措施,以确保应用安全、保护业务关键基础设施并改善人员风险管理。Forrester认为,软件供应链安全、API安全和物联网/OT威胁检测是业务运营的核心,并建议CISO在这些领域进行投资。
通过在有限预算下保护新数字业务并保持IT基础设施的安全,从而实现收入增长,这已被证明是CISO提升职业发展的有效途径。
首先将网络安全视为业务决策
Forrester规划指南中最有价值的见解是,网络安全投资必须首先被视为业务决策。报告的关键发现和指导方针强调了CISO为何以及如何在工具和支出上进行权衡,以最大化收入增长并实现稳健的投资回报。
Forrester建议CISO仔细审查任何导致技术蔓延的应用程序、工具或套件,并在引入新技术时将其从技术堆栈中移除。
Forrester的安全和风险预算规划指南中提出的重要见解包括:
• 90%的CISO将在明年看到预算增加。平均而言,网络安全预算仅占IT年度支出的5.7%。考虑到CISO保护新收入来源和加固基础设施的广泛职责,这一比例显得相对薄弱。Forrester在其《2024年预算规划调查》中预测,未来12个月预算将继续增加。10%的人预计在未来12个月内预算将增长超过10%。三分之一的CISO预计增长幅度在5%到10%之间,近一半的人预计增长幅度在1%到4%之间。只有7%的预算将保持不变,只有3%的人预计2025年预算会减少。
• 现在就控制技术蔓延。Forrester警告说,技术蔓延是预算增长的无形杀手。据最近的ISG研究显示,CISO的预算中平均有超过三分之一用于软件,几乎是硬件支出的两倍,也超过了人力成本。Forrester在报告中写道:“为了应对已经困扰安全领导者的真正问题——技术蔓延,我们建议采用保守的方法引入新工具和供应商,遵循这一务实原则:在增加新工具之前,先淘汰掉其他工具。”
• 云安全、升级后的新安全技术在本地运行,以及安全意识/培训计划预计将在2025年使安全预算增加10%或更多。值得注意的是,81%的安全技术决策者预计他们在2025年的云安全支出将增加,其中37%预计增长5-10%,30%预计增长超过10%。云安全的高度优先级反映了云环境、平台和集成在企业整体安全态势中的关键作用。随着更多企业采用并构建跨IaaS、PaaS和SaaS的内部平台和应用,云安全支出将继续增长。
保护收入从API和软件供应链开始
每位CISO的核心工作之一是寻找新的方法来保护收入,特别是那些企业开发运营团队正在加班加点推出的数字优先项目。
以下是报告中的优先建议:
• 强化软件供应链和API安全是必需的。Forrester指出,随着攻击面的复杂性、多样性和数量在软件供应链和API库中不断增加,这两个领域的安全性迫在眉睫。令人震惊的是,仅在一年内就有91%的企业遭遇了软件供应链事件,这突显了对持续集成/部署(CI/CD)管道更好保护的需求。开源库、第三方开发工具以及几年前创建的旧API只是使软件供应链和API更易受攻击的几个威胁向量。
• 恶意攻击者通常试图通过广泛分布的开源组件来进行攻击,Log4j漏洞就是一个例子。定义一个直接集成到DevOps工作流程中的API安全策略,并将持续集成和持续交付(CI/CD)过程视为独特的威胁面,是当今任何从事DevOps的企业的基本要求。API检测与响应、修复策略、风险评估和API使用监控对于企业更好地保护这一潜在的攻击向量也是紧迫的。
物联网传感器继续成为攻击的焦点
物联网(IoT)是攻击者用来攻击工业控制系统(ICS)以及每天依赖它们的众多处理厂、配送中心和制造中心的最受欢迎的攻击向量。美国网络安全和基础设施安全局(CISA)不断警告,国家级攻击者正在针对易受攻击的工业控制资产,今天该机构又发布了三项新的工业控制系统公告。
Forrester在今年早些时候发布的《2024年物联网安全的顶级趋势》中,VentureBeat进行了报道,发现经历过针对物联网设备的漏洞的企业相比于经历非物联网设备网络攻击的组织,更有可能报告累积损失在500万至1000万美元之间。
“2024年,物联网创新的潜力无疑具有变革性,但伴随着机遇而来的还有风险。每个连接的设备都可能成为恶意行为者的潜在访问点,” Keyfactor的物联网战略与运营高级副总裁Ellen Boehm表示,在其最近发布的《连接世界中的数字信任:导航物联网安全现状》物联网安全报告中,Keyfactor发现,93%的企业在保护其物联网和连接产品方面面临挑战。
“我们正在连接所有这些物联网设备,而所有这些连接都会带来漏洞和风险。我认为,在OT(操作技术)网络安全方面,涉及的价值和整体风险可能比IT网络安全还要高。当你想到我们正在保护的基础设施和资产类型时,这个风险是相当高的,”Honeywell Connected Enterprise的总裁兼首席执行官Kevin Dehoff在去年接受采访时表示。
“大多数客户仍在了解其OT网络和基础设施的现状。我认为他们将会逐渐意识到问题的严重性。我们正在提供OT网络安全风险的实时视图。”Dehoff补充说道。
确保使用零信任模型来保护物联网设备的访问权限是降低漏洞威胁的基本措施。国家标准与技术研究院(NIST)发布了NIST特别出版物800-207,这对于保护物联网设备非常适用,因为它专注于保护那些传统基于边界的安全无法有效覆盖的网络中的每一个端点。
2025年CISO预算需要以务实为主导
“Forrester警告说,在一个支离破碎、技术密集的网络安全供应商生态系统中,过多的工具、技术和严重不足的人力仍然是主要问题。”
考虑将网络安全支出首先视为一项商业投资是Forrester认为其客户需要更多接受的优先事项,因为这一信息在整个指南中得到了强调。Forrester传递的信息是削减技术扩展,这也是他们之前关于整合网络安全应用、工具和套件的必要性时所传达的。
现在是时候将网络安全作为增长引擎来获得资金支持,而不仅仅是用于威慑的工具。
CISO可以通过寻找机会将自己的角色提升为直接向CEO汇报,并理想情况下加入董事会,帮助引导公司应对日益复杂的威胁环境,从而达到平衡。
