2023年，企业的网络安全支出可能无法阻止衰退，但却可以帮助企业在衰退中脱颖而出。话虽如此，网络安全决策者们仍然面临着巨大压力，因为管理层要求他们优先考虑能够产生最大收益的安全技术。

根据Forrester上周发布的“CISO新安全和风险规划指南”，过去五年中的重大网络安全事件已经让高管们充分认识到了全面网络安全控制的重要性，但是企业的安全和风险决策者同时也面临着新的挑战，例如安全工具/厂商快速增长、人才短缺，以及被经济衰退阴影笼罩的2023年，网络安全预算有可能无法延续过去几年的增长势头。

安全预算和投资的6+3热点

“很难评估2023年的预算情况，因为大多数公司正在制定2023年的预算计划，但我认为大多数公司都在采取谨慎的态度。”Forrester副总裁兼研究总监Merritt Maxim说。

“可能会出现一些增长或持平，如果明年出现更严重的下滑，那么可能有必要进行局部减产，”Maxim继续说道：“不过，就目前而言，我没有看到因预期宏观经济状况而立即削减（安全）预算。”

虽然整个企业IT市场被萧条和不确定性笼罩，但是Forrester建议企业重点关注并增加以下六个网络安全领域的预算和投资：

• API安全
• 云工作负载安全
• 多因素身份验证
• 安全分析
• 零信任网络访问
• 危机模拟演练

因为上述功能都能兑现可证明价值，并且已经有很多解决方案提供商能够提供服务。

报告还建议企业即使在经济低迷期也应关注并投资一些有前途的新兴安全技术，积极对其评估和概念证明。有三类技术值得重点关注：

• 扩展检测和响应
• 攻击面管理
• 隐私保护技术

报告还指出，2023年企业网络安全预算支出有以下三大趋势值得关注：

公司在云安全上的支出不足，在本地安全上的支出过多

报告指出，企业往往在云安全方面投入不足。虽然很多安全团队已经在云安全上花费了大量资金，但是鉴于未来两年58%的组织将其应用程序组合迁移到公共云，因此云安全是一个需要持续增加投入的领域。

报告还认为，企业可能在本地安全相关项目上花费过多。调查发现，综合考虑维护、许可、升级和新投资的支出，本地部署支出是安全预算中最大的支出——对于将少于20%IT预算用于安全性的组织来说，本地安全支出占比41%；对于那些将超过20%IT预算用于安全投资的企业来说，这一比例为38%。

报告指出：“尽管上云是大势所趋，但可能不适用于某些类型的数据。”“某些本地技术可能没有合适的云等效技术，特别是定制化应用程序，因此可能不存在云迁移路径。此外还可能存在安全风险问题。”

支出转向托管安全服务提供商

Forrester预测，迁移到云不会减少组织在服务上的支出，但托管安全服务的竞争加剧为企业提供了更多更好的选择。企业在传统托管安全服务提供商（MSSP）的支出将转向那些能够提供更好结果的新产品和新提供商。

“如今企业拥有一个广泛而深入的安全服务提供商生态系统，可以支持任何范围的网络安全功能，比五年前要丰富得多，”报告指出：“企业需要充分了解服务提供商的能力，以及他们为同行业或同等规模的公司客户提供服务的品质。”

从长远来看，减少安全意识培训预算得不偿失

报告指出，预算制定者削减安全开支的常见领域是安全意识和其他类型的安全技能培训。当经济形势不佳时，削减这些领域的支出似乎很诱人，但与其他安全性支出相比，消减安全意识培训预算不会节省太多，反而会加剧技能短缺，并导致依赖远程办公的企业快速丧失安全性能力。

“人员依然是网络攻击的最大漏洞之一，”报告指出：“任何有助于提高员工的警惕性和复原力的投入都会使你受益。企业可能被误导的地方是，安全意识培训就是制作一个用户每年观看一次的30分钟视频。这不是有效的安全意识培训方法，安全意识和行为必须持续融入企业文化才能真正发挥效力。”

来源：GoUpSec