Gartner 近期預(yù)測(cè), 2018 年全球安全支出將達(dá)到 960 億美元,將比 2017 年的 890 億美元增長(zhǎng) 8%。
今年 8 月份,Gartner 也曾有過(guò)類(lèi)似預(yù)測(cè)(2017 年的支出 864 億美元,2018 年支出 930 億美元。),但與那時(shí)候的數(shù)據(jù)相比,最近這份最新數(shù)據(jù)數(shù)值增長(zhǎng)較大。據(jù) Gartner 表示,監(jiān)管法規(guī)的實(shí)施、買(mǎi)方心態(tài)的轉(zhuǎn)變、對(duì)新出現(xiàn)威脅的認(rèn)識(shí)以及數(shù)字化商業(yè)戰(zhàn)略的演變,這些都推動(dòng)著企業(yè)在安全方面投入更多。
Gartner 的研究總監(jiān) Ruggero Contu 稱(chēng):
總體而言,大部分安全支出是組織對(duì)安全漏洞的響應(yīng)花費(fèi)。近期發(fā)生了很多大型網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件,對(duì)全球的組織機(jī)構(gòu)及企業(yè)都產(chǎn)生了影響。WannaCry、NotPetya 等網(wǎng)絡(luò)攻擊,以及最近的 Equifax 數(shù)據(jù)泄露等安全事件都影響深遠(yuǎn),甚至可能持續(xù)三年,會(huì)直接影響安全支出。
2016 年,有人對(duì)來(lái)自八個(gè)國(guó)家(澳大利亞、加拿大、法國(guó)、德國(guó)、印度、新加坡、英國(guó)和美國(guó))的 512 名受訪(fǎng)者進(jìn)行調(diào)查,結(jié)果顯示安全風(fēng)險(xiǎn)與安全支出之間存在直接聯(lián)系。 53% 的受訪(fǎng)者認(rèn)為安全風(fēng)險(xiǎn)是整體安全支出的首要?jiǎng)右颍黄渲写蟛糠质茉L(fǎng)者認(rèn)為安全入侵事件是導(dǎo)致安全支出的主要風(fēng)險(xiǎn)。Gartner 認(rèn)為,2017 年的入侵事件將影響到 2018 年的安全支出。“安全測(cè)試、IT 外包以及安全信息與事件管理(SIEM)將成為增長(zhǎng)最快的部分,促進(jìn)基礎(chǔ)設(shè)施保護(hù)和安全服務(wù)的發(fā)展與增長(zhǎng)。”
Segment 分支 |
2016 | 2017 | 2018 |
---|---|---|---|
Identity Access Management 身份識(shí)別和訪(fǎng)問(wèn)管理 |
3,911 | 4,279 | 4,695 |
Infrastructure Protection 基礎(chǔ)設(shè)施保護(hù) |
15,156 | 16,217 | 17,467 |
Network Security Equipment 網(wǎng)絡(luò)安全設(shè)備 |
9,789 | 10,934 | 11,669 |
Security Services 安全服務(wù) |
48,796 | 53,065 | 57,719 |
Consumer Security Software 消費(fèi)者安全軟件 |
4,573 | 4,637 | 4,746 |
Total 合計(jì) | 82,225 | 89,133 | 96,296 |
表 1 2016-2018 全球安全支出分支詳情(單位:百萬(wàn)美元)
安全法規(guī)刺激下的安全支出增長(zhǎng)
這些增長(zhǎng)與全球合規(guī)的發(fā)展不無(wú)關(guān)系。法律監(jiān)管的數(shù)量、范圍和規(guī)模越來(lái)越大,并逐漸涉及個(gè)人領(lǐng)域。歐洲的“一般數(shù)據(jù)保護(hù)條例”(GDPR)將于 2018 年 5 月生效,屆時(shí)引起的罰款可能高達(dá)全球營(yíng)業(yè)額的 4%。這些法規(guī)對(duì)私營(yíng)企業(yè)領(lǐng)導(dǎo)者以及整個(gè)公司都帶來(lái)影響(通過(guò)簡(jiǎn)單的測(cè)試方法來(lái)解決安全問(wèn)題已經(jīng)遠(yuǎn)遠(yuǎn)不夠),很可能會(huì)引發(fā)反射反應(yīng),導(dǎo)致安全支出增長(zhǎng)。
在過(guò)去的三年里,監(jiān)管合規(guī)和數(shù)據(jù)隱私都刺激了安全開(kāi)支。在美國(guó),有《健康保險(xiǎn)隱私及責(zé)任法案》、國(guó)家標(biāo)準(zhǔn)技術(shù)研究所的相關(guān)法案、印度海外公民證等機(jī)制和法規(guī)。而近段時(shí)間,歐洲即將于 2018 年 5 月實(shí)施的 GDPR(General Data Protection Regulation,一般數(shù)據(jù)保護(hù)法)引起了廣泛探討。此外,中國(guó)在 2017 年 6 月份正式施行的《網(wǎng)絡(luò)安全法》也備受關(guān)注。這些安全相關(guān)的法律法規(guī)都直接或間接地促進(jìn)了安全支出的增加,其中數(shù)據(jù)安全工具、特權(quán)訪(fǎng)問(wèn)管理和SIEM方面的支出漲幅最大。
然而,大量的調(diào)查和分析表明,許多企業(yè)根本不了解 GDPR,也根本沒(méi)有為此做好準(zhǔn)備;還有一些企業(yè)甚至認(rèn)為 GDPR 并不適用于自己的企業(yè)。因此,一旦 GDPR 對(duì)違規(guī)行為的處罰出現(xiàn)首例,隨后的企業(yè)安全支出可能出現(xiàn)激增。所以,企業(yè)不能抱有僥幸心理,歐洲監(jiān)管機(jī)構(gòu)不會(huì)設(shè)置“緩沖期”。
安全意識(shí)增強(qiáng)以及商業(yè)數(shù)字化
十一月底,三名歐洲活動(dòng)家(Max Schrems,其針對(duì) Facebook 的行動(dòng)最終導(dǎo)致歐盟/美國(guó)安全港協(xié)議崩潰; 歐盟委員會(huì)司法部基本權(quán)利與公民聯(lián)盟主管 Paul Nemitz;歐洲自由聯(lián)盟司法與家庭事務(wù)發(fā)言人兼 GDPR 報(bào)告員 Jan Philippe Albrecht)共同宣布了“NOYB(none of your business,與你無(wú)關(guān)) –歐洲數(shù)字權(quán)利中心”。
NOYB 的主要目的是提升公眾隱私意識(shí),監(jiān)督企業(yè)數(shù)據(jù)保護(hù)實(shí)踐(例如就企業(yè)的不合規(guī)行為向法院提起訴訟等)。由于這些人是積極分子而不是監(jiān)管者,他們可能會(huì)在監(jiān)管機(jī)構(gòu)猶豫不決的情況下采取私人行動(dòng)。 Gartner 在八月份的預(yù)測(cè)中表示:“歐盟的 GDPR 已經(jīng)引起了人們的關(guān)注,到 2018 年將促成 65% 的 DLP(數(shù)據(jù)泄露預(yù)防)購(gòu)買(mǎi)決策”。但根據(jù)發(fā)展趨勢(shì)來(lái)看, 65% 這個(gè)預(yù)測(cè)值,其實(shí)還是有些保守。
在此次的預(yù)測(cè)中,Gartner 表示,到 2020 年,將有超過(guò) 60% 的企業(yè)組織購(gòu)買(mǎi)多種數(shù)據(jù)安全工具(如 數(shù)據(jù)泄露預(yù)防、加密、以數(shù)據(jù)為中心的安全審計(jì)與保護(hù)等工具),如今這個(gè)比例只有 35% 左右。
Gartner 表示,技術(shù)短缺、技術(shù)復(fù)雜性和威脅風(fēng)險(xiǎn)將繼續(xù)推動(dòng)自動(dòng)化和 IT 外包“技術(shù)工具稀缺,因此價(jià)格持續(xù)走高,組織與企業(yè)不得不向安全顧問(wèn)、管理得當(dāng)?shù)陌踩?wù)提供商和外包商尋求幫助。“2018 年,安全外包服務(wù)的支出將達(dá)到 185 億美元,比 2017 年增長(zhǎng) 11%。IT 外包服務(wù)將成為繼咨詢(xún)之后的第二大安全支出細(xì)分領(lǐng)域。
基于這種趨勢(shì),Gartner 預(yù)測(cè),到 2019 年,安全外包服務(wù)的總支出將占到安全軟件和硬件產(chǎn)品支出的 75%,與 2016 年的 63% 相比將增長(zhǎng) 12%。
AsTech 首席安全戰(zhàn)略家 Nathan Wenzler 對(duì) Gartner 的大部分評(píng)估結(jié)果表示贊同:“ 2018 年的支出可能會(huì)繼續(xù)增長(zhǎng)。更重要的一點(diǎn)是,技能的全面短缺將最終促使更多的公司在安全服務(wù)方面在安全方面支出更多。”
他認(rèn)為,企業(yè)在安全軟件方面的支出正達(dá)到飽和,因?yàn)檫^(guò)去幾年企業(yè)的安全支出主要集中在在購(gòu)買(mǎi)以不同方式保護(hù) IT 環(huán)境的安全產(chǎn)品上。但是企業(yè)沒(méi)有也沒(méi)辦法聘請(qǐng)到 “經(jīng)驗(yàn)豐富的安全專(zhuān)業(yè)人員,讓他們有效地部署、使用和維護(hù)這些安全產(chǎn)品,以便使這些工具能夠正常工作。企業(yè)別無(wú)選擇,只能在安全服務(wù)上繼續(xù)支出,以保護(hù)自己的網(wǎng)絡(luò)和關(guān)鍵數(shù)據(jù)安全。”
此外,企業(yè)安全預(yù)算也正在偏向于檢測(cè)和響應(yīng),這一趨勢(shì)將推動(dòng)未來(lái)五年安全市場(chǎng)的增長(zhǎng)。Contu 表示:“隨著安全事件檢測(cè)和響應(yīng)的關(guān)注持續(xù)增加,端點(diǎn)檢測(cè)和響應(yīng)、用戶(hù)實(shí)體和行為分析等技術(shù)已經(jīng)打破了端點(diǎn)保護(hù)平臺(tái)和SIEM等傳統(tǒng)市場(chǎng)。
但是“更多支出”必然能確保“更安全”嗎?High-Tech Bridge 首席執(zhí)行官 Ilia Kolochenko 向企業(yè)發(fā)出警告:“更多支出”并不意味著“更安全”。他認(rèn)為,更加一致且基于風(fēng)險(xiǎn)評(píng)估的安全方法可能有助于在不增加支出的情況下適當(dāng)提升安全性。
很多公司其實(shí)可以使用基于風(fēng)險(xiǎn)的手段來(lái)應(yīng)對(duì)威脅和漏洞,以減少安全預(yù)算。此外,嚴(yán)格根據(jù)技術(shù)而非市場(chǎng)要求來(lái)選擇供應(yīng)商,也有助于降低安全支出。