咨询公司Gartner预测,2018年,全球安全开支将达960亿美元。这比2017年的890亿美元上升了8%。有趣的是,最新的2017和2018数据,都比今年8月份的预测有了明显的上涨。之前的预测是,2017年全球安全开支在864亿美元左右,而2018的数字是930亿美元。
Gartner认为,造成安全开支增多的因素包括:监管、买方思维转变、对新兴威胁的重视,以及向数字商业战略的演变。
Gartner研究主管拉格洛·坎图称:“基本上,随着越来越多的高调网络攻击和数据泄露影响到全球各类公司企业,一大部分安全开支,是受到企业对安全事件反应的驱动的。WannaCry和NotPetya之类的网络攻击,还有最近的Equifax数据泄露事件,对安全开支有着直接影响,因为此类攻击可持续3年。”
2016年覆盖8国512家受访者的一项调查显示,安全风险和安全支出之间有着直接联系。Gartner认为,2017年的安全事件将影响到2018年的安全开支。因此,安全测试、IT外包和安全信息及事件管理(SIEM),将成为基础设施防护及安全服务领域里,增长最快的安全细分市场。
该趋势有可能受到合规影响的加持。监管在数量、范围和惩罚力度上不断加码,且越来越个性化。欧洲的《通用数据保护条例》(GDPR)将在2018年5月生效,最高可达全球营业额4%的罚款。在美国,新引入的《数据安全和泄露通告法案》,对未遵从者提出了最高判处5年监禁的建议。随着这些规定对个体商户和公司企业的影响不断渗入——简单的照单打勾式表面化方法不再适用,一个很自然的反应就是增加安全开支。
其中一些效果可能会打点折扣。在美国,过去3年,监管合规和数据隐私就在推动着安全开支的增长(HIPAA、NIST和OCI之类法律法规)。最近在欧洲则是围绕2018年5月28日生效的GDPR。还有中国在2016年6月付诸实践的《网络安全法》。这些监管规定直接转变成了开支的增长,尤其是在数据安全工具、访问权限管理和SIEM上。
然而,由于各种调查和分析都已表明,很多公司不了解GDPR,远未准备好应对GDPR,或者不认为该法案适用在自己身上,有可能会在第一起违规处罚后,爆发陡然的开支增长。觉得欧洲监管机构容许有个“缓冲期”的想法,太过天真。
11月末,3名欧洲激进人士共同宣布了“NOYB(不关你事)——欧洲数字权利中心”。这3人分别是:马克斯·施雷姆斯——反对Facebook的行为最终导致欧盟/美国安全港协定流产;保罗·尼米兹——欧洲委员会司法总局基本权利和民权主任;让·菲利普·阿尔布雷希特——欧洲绿党司法及内政发言人,GDPR起草人。
NOYB的目的,是弥合公众对隐私的认知度与企业实践现实之间的差距,包括立案调查等等。因为这几人只是活动家而非立法者,他们有可能在立法者会犹豫拖延的方面采取私人行动。在8月的预测中,Gartner评论道:“欧盟的GDPR制造了新一轮热点,将驱动2018年数据丢失预防购买决定增加65%。”这可能还只是个保守估计。
人才短缺、技术复杂性和威胁态势,将继续推动向自动化和外包的转变。人才稀缺导致企业向安全顾问、托管安全服务提供商和外包公司寻求外部帮助。2018年,安全外包服务开支总额将达185亿美元,比2017年上升11%。IT外包紧随咨询服务之后,成为第二大安全支出领域。
向服务提供商和外包企业的迁移,让Gartner预测,到2019年,企业在安全外包服务上的开销,将达到安全软硬件产品开销的75%,比2016年的63%上升了12%。
AsTech首席安全策略师内森·温兹勒称:“我基本同意Gartner对2018年安全开支整体持续增长的论断。尤其是在人才短缺将最终导致更多公司诉诸安全服务这方面。”
他认为,公司企业将达到安全软件的饱和点,因为过去几年来他们一直在购买可以各种方式保护自身环境的产品。但他们并没有,也雇不到经验丰富的安全人士来有效部署、使用和维护这些产品,无法发挥这些产品的效能。企业别无选择,只能将自己的开支投向安全服务,以保护他们的网络和关键数据。
但是,更多投入未必带来更好的安全。倒是更清晰一致的基于风险的安全方法,可以在未必增加开支的情况下,带来安全改善效果。通过实现基于风险的方法来缓解恰当的威胁和漏洞,通过基于技术而非市场宣传来严格选择供应商,很多公司甚至可以减少当前安全预算。
相关阅读