來(lái)看這樣一組數(shù)據(jù):根據(jù)工信部的統(tǒng)計(jì),,國(guó)產(chǎn)安全廠商中有名有姓的企業(yè)就有1000多家,具備核心研發(fā)能力的企業(yè)也有500多家,。廠商們可細(xì)分為終端,、云、網(wǎng)絡(luò),、內(nèi)容,、應(yīng)用、數(shù)據(jù)等不同類(lèi)別,,又可分為預(yù)防,、管理、認(rèn)證,、分析,、檢測(cè)、處置等不同領(lǐng)域,。此外,,各類(lèi)新興概念也是你方唱罷我方登場(chǎng):零信任、態(tài)勢(shì)感知,、SOAR…
放眼望去,,網(wǎng)絡(luò)安全市場(chǎng)一片繁榮的景象,網(wǎng)安人們都有著美好的未來(lái),。
在網(wǎng)絡(luò)安全市場(chǎng)中,,甲方企業(yè)采購(gòu)預(yù)算是主導(dǎo)市場(chǎng)的關(guān)鍵因素之一,。預(yù)算或增或減、支出重點(diǎn)戰(zhàn)略方向等都是甲方和廠商共同關(guān)心的問(wèn)題,。對(duì)此,,F(xiàn)reeBuf咨詢聯(lián)合FreeBuf甲方智庫(kù)特別策劃了《2021國(guó)內(nèi)甲方企業(yè)安全建預(yù)算調(diào)研報(bào)告》。
在未知的風(fēng)浪面前,,我們希望可以從報(bào)告中看到不同企業(yè)的安全建設(shè)投入狀況,,也得以一探近幾年國(guó)內(nèi)安全發(fā)展的冰山一角。
Key Findings
網(wǎng)絡(luò)安全行業(yè)普遍具備較高的抵抗風(fēng)險(xiǎn)能力,,40%的調(diào)研企業(yè)認(rèn)為2020年疫情對(duì)企業(yè)安全建設(shè)投入絲毫無(wú)影響,。
企業(yè)對(duì)新一年的安全建設(shè)預(yù)算投入保持謹(jǐn)慎態(tài)度并呈現(xiàn)穩(wěn)健發(fā)展趨勢(shì),企業(yè)安全建設(shè)投入聚焦于100W-500W金額區(qū)間,,43%的企業(yè)2021年安全建設(shè)預(yù)算IT占比在3%-10%,。
數(shù)據(jù)安全保護(hù)建設(shè)、安全運(yùn)營(yíng)體系建設(shè),、管理制度體系建設(shè),、應(yīng)急響應(yīng)體系建設(shè)和開(kāi)發(fā)與運(yùn)維安全建設(shè)成為企業(yè)2021年關(guān)注的規(guī)劃重點(diǎn)。同時(shí)個(gè)人隱私保護(hù),、演練對(duì)抗,、DevSecOps、DLP,、SIEM/SOC占據(jù)企業(yè)2021安全熱詞榜前列,。
金融行業(yè)安全建設(shè)現(xiàn)狀已達(dá)到較高的行業(yè)水平,安全建設(shè)投入/預(yù)算IT占比明顯高于全行業(yè)平均水平,,24%的金融企業(yè)2021安全建設(shè)預(yù)算IT占比達(dá)到了10%-15%,。
調(diào)研背景篇
本次調(diào)研的參與者均為國(guó)內(nèi)甲方企業(yè)安全從業(yè)者,從行業(yè)分布數(shù)據(jù)可以看到,,互聯(lián)網(wǎng)/電子商務(wù)行業(yè)與金融行業(yè)占比達(dá)到40%,。同時(shí)從企業(yè)屬性分布來(lái)看,民營(yíng)企業(yè)與國(guó)企占比85%,,是本次調(diào)研的主要組成對(duì)象,。
企業(yè)安全建設(shè)預(yù)算統(tǒng)計(jì)篇
回顧2020年,疫情對(duì)宏觀環(huán)境的短期沖擊是顯而易見(jiàn)的,,企業(yè)普遍緊縮支出,、控制成本。在全行業(yè)普遍受到疫情影響的情況下,,我們發(fā)現(xiàn),,網(wǎng)絡(luò)安全行業(yè)普遍具備較高的抵抗風(fēng)險(xiǎn)能力。調(diào)研結(jié)果顯示,,40%的調(diào)研企業(yè)認(rèn)為2020年疫情對(duì)企業(yè)安全建設(shè)投入絲毫無(wú)影響,,僅有16%的調(diào)研企業(yè)認(rèn)為影響很大,。
與此同時(shí),我們也發(fā)現(xiàn),,企業(yè)對(duì)新一年的安全建設(shè)預(yù)算投入保持謹(jǐn)慎態(tài)度并呈現(xiàn)穩(wěn)健發(fā)展趨勢(shì),,企業(yè)安全建設(shè)投入聚焦于100W-500W金額區(qū)間。對(duì)比2020年與2021年安全建設(shè)投入/預(yù)算數(shù)據(jù),,可以看到整體變化幅度并不大,,有36%的企業(yè)新年安全建設(shè)預(yù)算處于100W-500W區(qū)間。
此外,,調(diào)研也發(fā)現(xiàn):企業(yè)安全建設(shè)投入IT占比逐漸向3%-10%區(qū)間聚集,。網(wǎng)絡(luò)安全已融入到各行業(yè)IT決策的每一個(gè)環(huán)節(jié)中。對(duì)比2021年和2020年企業(yè)安全建設(shè)投入/預(yù)算數(shù)據(jù),,可以清晰看到,,安全建設(shè)投入IT占比在3%以下的企業(yè)數(shù)量逐漸減少,,更多企業(yè)開(kāi)始注重安全建設(shè)的重要性,。
后疫情時(shí)代,衍生于新場(chǎng)景,、新業(yè)態(tài)下的新安全威脅,,正在考驗(yàn)著企業(yè)的安全技術(shù)、團(tuán)隊(duì)和能力儲(chǔ)備,。與此同時(shí)關(guān)于加強(qiáng)網(wǎng)絡(luò)安全建設(shè)的相關(guān)政策紛紛出臺(tái),,促使企業(yè)在嚴(yán)峻安全局勢(shì)和合規(guī)政策緊縮的雙重壓力下,持續(xù)增加在網(wǎng)絡(luò)安全方面的投入,。
企業(yè)安全建設(shè)現(xiàn)狀與展望
首先針對(duì)企業(yè)安全建設(shè)現(xiàn)狀,,我們從安全建設(shè)階段和安全團(tuán)隊(duì)規(guī)模兩方面調(diào)研展示。調(diào)研結(jié)果發(fā)現(xiàn),,企業(yè)安全建設(shè)仍舊具備較高的發(fā)展空間,。僅有15%的企業(yè)處于安全建設(shè)的提升階段,同時(shí)超過(guò)半數(shù)以上的企業(yè)安全團(tuán)隊(duì)規(guī)模僅有5人以下,。
其次針對(duì)企業(yè)2021年安全建設(shè)規(guī)劃重點(diǎn),,調(diào)研發(fā)現(xiàn):數(shù)據(jù)安全保護(hù)建設(shè)、安全運(yùn)營(yíng)體系建設(shè),、管理制度體系建設(shè),、應(yīng)急響應(yīng)體系建設(shè)和開(kāi)發(fā)與運(yùn)維安全建設(shè)成為企業(yè)更加關(guān)注的規(guī)劃重點(diǎn)。
此外,,我們也重點(diǎn)統(tǒng)計(jì)了2021年企業(yè)安全建設(shè)熱詞榜,,值得一提的是,個(gè)人隱私保護(hù),、演練對(duì)抗,、DevSecOps,、DLP、SIEM/SOC成為企業(yè)關(guān)注度及討論頻率最高的熱詞,。
“幸?!钡钠髽I(yè)都是相同的,“不幸”的企業(yè)各有各的“不幸”,。最后關(guān)于企業(yè)安全建設(shè)中的驅(qū)動(dòng)因素與困難點(diǎn),,調(diào)研數(shù)據(jù)顯示:合規(guī)影響、安全監(jiān)管以及企業(yè)高層重視是促使企業(yè)安全建設(shè)不斷前行的動(dòng)力來(lái)源,。與之伴隨地,,則是企業(yè)在安全建設(shè)中遇到的諸多實(shí)際困難點(diǎn),老生常談的有專(zhuān)業(yè)安全人員欠缺,、安全預(yù)算有限,,此外還有安全廠商產(chǎn)品服務(wù)有待提升、安全建設(shè)不受重視等,。
金融行業(yè)特別分析篇
金融行業(yè)一向走在網(wǎng)絡(luò)安全建設(shè)或發(fā)展的前列,,因此我們特別統(tǒng)計(jì)分析了金融行業(yè)的安全建設(shè)預(yù)算狀況。受調(diào)的金融企業(yè)中主要包括銀行,、保險(xiǎn),、證券/基金類(lèi)企業(yè)、金融科技類(lèi),。
首先,,對(duì)比全行業(yè)平均水平來(lái)看,金融行業(yè)安全建設(shè)現(xiàn)狀已達(dá)到較高的行業(yè)水平,。80%的金融企業(yè)處于穩(wěn)定或提升的安全建設(shè)階段,,此外有40%的企業(yè)已具備11人以上的安全團(tuán)隊(duì)規(guī)模。
回顧2020年,,金融行業(yè)安全建設(shè)投入受疫情影響較小,。近四成的金融企業(yè)2020安全建設(shè)投入IT占比在3%-10%區(qū)間,還有21%的企業(yè)安全建設(shè)投入IT占比達(dá)到了10%-15%,。
此外,,金融企業(yè)安全建設(shè)投入/預(yù)算IT占比明顯高于全行業(yè)平均水平。根據(jù)調(diào)研數(shù)據(jù),,24%的金融企業(yè)2021安全建設(shè)預(yù)算IT占比達(dá)到了10%-15%,,是同等區(qū)間全行業(yè)統(tǒng)計(jì)比例的一倍。
調(diào)研番外
預(yù)算掣肘的一?;?,落在甲方安全人頭上就是一座山。
在日常與甲方交流與討論中,對(duì)這一點(diǎn)我們感受頗深,?!鞍踩?個(gè)人,安全預(yù)算0元的企業(yè)多了去了,。那1個(gè)安全人員還是因?yàn)槌隽耸铝瞬耪械?。”FreeBuf甲方群的一位大佬如是說(shuō),。
世界的悲喜并不想通,,甲方群的另一位大佬也分享了他2021的計(jì)劃,“剛重新整了一份半年預(yù)算1500W,,改天去匯報(bào)”,。
還有一位甲方說(shuō)道,“申請(qǐng)預(yù)算也是需要找準(zhǔn)關(guān)鍵點(diǎn),,合規(guī)驅(qū)動(dòng)以及同行業(yè)對(duì)比驅(qū)動(dòng)都是有效的,,比如領(lǐng)導(dǎo)一看同行業(yè)預(yù)算每年都高達(dá)1500W,明年也得給你加預(yù)算了,。如果研發(fā)能力還達(dá)不到的話,,可以基于現(xiàn)有開(kāi)源工具先運(yùn)營(yíng)起來(lái),等以后有預(yù)算了再招合適的人優(yōu)化”,。
也有一位甲方分享道,,“做安全的就是任重道遠(yuǎn),。最簡(jiǎn)單來(lái)說(shuō),,首先把公司信息資產(chǎn)的價(jià)值估算出來(lái),這個(gè)需要去做調(diào)研,。其次生產(chǎn)類(lèi)企業(yè)還要計(jì)算產(chǎn)線受攻擊停線的損失,,梳理出風(fēng)險(xiǎn)點(diǎn)、計(jì)算可能的損失,,這樣就可以定向提出針對(duì)此類(lèi)風(fēng)險(xiǎn)的解決方案和預(yù)算,。”
在這些討論中,,我們看到了安全從業(yè)者的焦慮又或是躊躇滿志,,更多是不斷前行的勇氣與信心,前沿技術(shù),、熱點(diǎn)安全態(tài)勢(shì)永遠(yuǎn)是安全從業(yè)者追逐的方向,,網(wǎng)絡(luò)安全的責(zé)任感也始終承繼在身。
在此以馮唐的一段話結(jié)語(yǔ):“不要怕黑暗,,不要怕窮困,。我們最快樂(lè)的時(shí)光是坐在路邊喝啤酒的時(shí)光,我們最滿足的時(shí)光是發(fā)現(xiàn)前人尚未發(fā)現(xiàn)的幽微的光芒?!?/p>