逆风行舟：2023年企业网络安全预算热点解读

2022年，虽然网络安全资本市场首次降温，风险投资规模锐减、IPO停滞、上市公司收入大幅下滑，但是根据ESG的最新报告，2023年全球企业网络安全预算仍将保持强劲趋势，因为全球网络威胁持续升级，企业优先考虑网络安全支出，这也使网络安全市场成为2023年投资者和战略买家为数不多的重要投资机会。

根据ESG的调查，53%的企业将在2023年增加IT支出，30%的企业表示IT支出将在2023年保持不变，只有18%的企业预测IT支出将减少。至于网络安全，65%的企业计划在2023年增加网络安全支出。

上述调查结果表明，即便是一些IT预算持平或减少的企业，2023年仍将会增加网络安全支出。40%的受访者声称，改善网络安全是2023年IT投资的最重要理由，调查结果进一步支持了这一趋势。该项研究是在2022年底进行的，当时受访者非常清楚经济处于逆风期，并在预算规划中充分考虑了不利因素。

虽然数据表明企业网络安全支出增长相当强劲，但网络安全企业也不能过于乐观，因为百分之七十的受访者表示，今年可能面临预算削减或冻结。如果发生裁员，则可能引发招聘冻结，项目延迟和更严格的供应商审查。

四大趋势与热点

在乐观的安全支出增长数据背后，网络安全厂商也需要警惕企业随时可能踩下预算刹车。此外，2023年CISO们的策略也将发生转变，四个趋势和热点值得关注：

• 首席信息安全官将专注于内功修炼。随着IT支出放缓，首席信息安全官将重新审视现有的安全计划，并将精力集中在两个领域：安全卫生与态势管理，以及积极改进安全流程和控制。安全卫生和态势管理将包括发现、分析和监控所有IT资产，该领域的网络安全技术供应商应该会受益。此外，流程和控制改进将包括整合安全和IT运营、流程自动化和、实施MITRE ATT&CK以及更频繁的安全测试。
• 企业安全投资将更偏战术性而非战略性。企业安全团队已经在回避长期合同，推迟复杂的资源密集型项目。这意味着他们将把项目和平台计划分解成易于消化的模块，重点投资高优先级需求。2023年安全和IT团队将专注于应用程序和数据分类、访问策略、策略实施和网络分段，而不是大爆炸式的零信任计划。同样，安全运营团队可能不愿意在2023年更换传统的SIEM平台。相反，他们将用安全数据湖、XDR和SOAR工具围绕SIEM，支持他们更加重视的安全工程、自主开发和人员扩充服务。虽然经济衰退通常会导致培训预算削减，但这不会在2023年发生。为了提高员工保留率和生产力，大多数受访首席信息安全官计划增加对员工培训和教育的投资。
• 合并将让位于联合。网络安全行业的兼并整合仍将继续，但速度将放缓。同时，厂商将把精力集中在细分安全领域——云安全、电子邮件安全、端点安全、网络安全等。这将催生更多基于细分领域的开放平台，将各厂商的产品通过API和越来越多的开放标准拼接在一起。2023年对于在2022年黑帽大会上推出的开放网络安全架构框架（OCSF，类似安全运营和分析平台架构SOAPA） 来说将是重要的一年，安全技术联盟将成为行业热词。
• 服务支出将主导预算。ESG研究表明，近一半（45%）的企业表示他们缺乏网络安全技能。这意味着他们没有足够数量的员工，且缺乏一些先进但必要的网络安全技能。尽管各行业普遍面临裁员，但网络安全专业人员的需求量仍然很大。首席信息安全官别无选择，只能在托管威胁情报计划、托管检测和响应以及身份即服务等领域与安全服务提供商一起增强内部员工和技能。

总结：

网络安全投资回归本质

网络安全是如今是最高优先级的企业IT计划，市场需求正持续增长，安全支出也将继续增长，但2023年企业安全投资将回归本质。CISO们将在新的一年对网络安全支出规划进行务实调整，新的计划将侧重于重点优先事项、充分利用企业现有资源，并力争将安全投资收益最大化。