信息化觀察網(wǎng)

本文來自數(shù)世咨詢。

安全主管將托管安全服務(wù)提供商看作是挖掘?qū)I(yè)人才的機(jī)會，因為行業(yè)內(nèi)長期存在的人才緊缺問題正使得企業(yè)內(nèi)部網(wǎng)絡(luò)安全戰(zhàn)略復(fù)雜化。

安全軟件和服務(wù)支出的增長速度超過了人員預(yù)算的增長速度，使安全負(fù)責(zé)人更像是一位工料測量師，而非企業(yè)的安全建筑師。

根據(jù)Gartner的預(yù)測，預(yù)計到2025年，安全服務(wù)支出將增長15.8%，總額達(dá)到861億美元。這一增長主要受到網(wǎng)絡(luò)安全領(lǐng)域長期存在的全球技能短缺的影響，迫使企業(yè)在應(yīng)對基礎(chǔ)設(shè)施保護(hù)方面重新考慮其投資策略。

首席信息安全官(CISO)正越來越多地尋求托管安全服務(wù)來彌補(bǔ)他們在內(nèi)部無法招到并留任經(jīng)驗豐富專業(yè)人才的缺口。

盡管未來幾年安全軟件和服務(wù)支出將繼續(xù)增長，但許多公司已經(jīng)實施了招聘凍結(jié)和晉升限制。

據(jù)IDC預(yù)測，從2023年到2028年，全球托管安全服務(wù)將以12.2%的年復(fù)合增長率穩(wěn)步發(fā)展。

IDC的安全服務(wù)研究副總裁Craig Robinson表示，許多企業(yè)選擇外包其安全服務(wù)，這一趨勢的部分原因在于他們的基礎(chǔ)設(shè)施變得越來越復(fù)雜和依賴于云計算資源，特別是在新冠疫情之后。

Robinson表示：“隨著IT職能不斷向云端轉(zhuǎn)移，我們的攻擊面也隨之?dāng)U大。現(xiàn)有工具已無法滿足需求。面對大量警報，外包給專業(yè)團(tuán)隊來負(fù)責(zé)托管檢測與響應(yīng)(MDR)等任務(wù)變得越來越有必要。”

根據(jù)Foundry的2024年安全優(yōu)先事項研究，CISO在來年可能外包給托管服務(wù)提供商的主要IT安全功能包括：威脅檢測與響應(yīng)以24%的票數(shù)位居第一，其次為安全意識培訓(xùn)(23%)、安全運(yùn)營(23%)。其他受重視的功能需求還包括威脅情報(22%)、漏洞評估(22%)和備份與恢復(fù)(22%)。

在接受調(diào)查的人中，有高達(dá)82%的人表示計劃在未來一年內(nèi)將他們的安全功能委托給托管安全服務(wù)供應(yīng)商或其他第三方機(jī)構(gòu)進(jìn)行管理。

根據(jù)IDC的Robinson的說法，擴(kuò)展檢測與響應(yīng)(XDR)以及安全信息和事件管理(SIEM)等外包安全技術(shù)物超所值，特別受到歡迎。Robinson還提到，托管安全服務(wù)的其他優(yōu)勢包括治理、風(fēng)險管理和合規(guī)性(GRC)、防火墻及托管數(shù)字身份，并補(bǔ)充說依靠這些服務(wù)可以實現(xiàn)信息安全的全天候覆蓋。

“CISO們面臨著降低運(yùn)營成本的壓力，同時還要確?；A(chǔ)設(shè)施的安全”，Robinson說：“通過增加自動化水平并采用托管安全服務(wù)，公司能夠有效利用現(xiàn)有員工，從而在控制成本的同時保護(hù)其復(fù)雜的網(wǎng)絡(luò)環(huán)境。”

駕馭不斷變化的威脅形勢

“隨著威脅環(huán)境的日益復(fù)雜和快速演變，外包安全服務(wù)已經(jīng)成為許多首席信息安全官(CISO)的重要戰(zhàn)略選擇，”Forrester的高級分析師Madelein van der Hout解釋道。

隨著監(jiān)管合規(guī)的要求提高、安全策略的制定與執(zhí)行壓力增大以及董事會的期望不斷增長，CISO常常感到力不從心。

在宏觀經(jīng)濟(jì)形勢不容樂觀、人才緊缺問題日益凸顯的背景下，CISO面臨著嚴(yán)峻的預(yù)算壓力，這使得他們維持內(nèi)部網(wǎng)絡(luò)安全團(tuán)隊的能力變得更加困難。在這種情況下，許多CISO選擇尋求外部安全服務(wù)供應(yīng)商的幫助，希望通過這種方式來彌補(bǔ)自身能力的不足。

外包的優(yōu)勢

根據(jù)Forrester咨詢公司最近的調(diào)查結(jié)果顯示，36%的C級或高級管理層人士通過外包方式來緩解內(nèi)部人員的壓力。與此同時，還有35%的管理者傾向于選擇外部伙伴，以獲取更專業(yè)的技能和更高水平的安全保障。

據(jù)Forrester的數(shù)據(jù)顯示，推動企業(yè)采用云服務(wù)的兩大關(guān)鍵因素是實施速度(占比31%)和滿足監(jiān)管要求(占比30%)。

van der Hout 解釋說：“外包的一大優(yōu)勢在于可以根據(jù)項目的不同階段靈活調(diào)動所需的各類人才及技能，這一點在企業(yè)內(nèi)部實施則更為復(fù)雜且成本高昂。”

另一個優(yōu)勢是，通過外包服務(wù)，實現(xiàn)7×24小時全天候的覆蓋變得更加容易和具有成本效益。這些因素有助于降低復(fù)雜性和管理成本，因為許多其他IT功能已經(jīng)實現(xiàn)了外包。因此，將這種方法擴(kuò)展到安全服務(wù)是有意義的，這樣企業(yè)就減少了對于信任第三方提供關(guān)鍵任務(wù)服務(wù)的潛在風(fēng)險的抵觸。

Forrester的最新網(wǎng)絡(luò)安全基準(zhǔn)調(diào)查顯示，網(wǎng)絡(luò)安全預(yù)算按比例分配如下：軟件占35.9%;人員占28.3%;外包占18.1%;硬件占17.7%。

在外包開支中，包括了實際的外包或離岸外包、托管的安全服務(wù)、網(wǎng)絡(luò)安全的咨詢以及托管檢測與響應(yīng)服務(wù)等項目。這些開支在不同規(guī)模的企業(yè)中所占的比例有所差異：小型企業(yè)在這些方面的開支超過了大型企業(yè)，其占比從8%到34%不等。

* 本文為陳發(fā)明編譯，原文地址：https://www.csoonline.com/article/3593324/security-outsourcing-on-the-rise-as-cisos-seek-cyber-relief.html