一份关乎网安人饭碗的报告:2021企业安全建设预算调研
2021-03-11
来源: FreeBuf
来看这样一组数据:根据工信部的统计,国产安全厂商中有名有姓的企业就有1000多家,具备核心研发能力的企业也有500多家。厂商们可细分为终端、云、网络、内容、应用、数据等不同类别,又可分为预防、管理、认证、分析、检测、处置等不同领域。此外,各类新兴概念也是你方唱罢我方登场:零信任、态势感知、SOAR…
放眼望去,网络安全市场一片繁荣的景象,网安人们都有着美好的未来。
在网络安全市场中,甲方企业采购预算是主导市场的关键因素之一。预算或增或减、支出重点战略方向等都是甲方和厂商共同关心的问题。对此,FreeBuf咨询联合FreeBuf甲方智库特别策划了《2021国内甲方企业安全建预算调研报告》。
在未知的风浪面前,我们希望可以从报告中看到不同企业的安全建设投入状况,也得以一探近几年国内安全发展的冰山一角。
Key Findings
网络安全行业普遍具备较高的抵抗风险能力,40%的调研企业认为2020年疫情对企业安全建设投入丝毫无影响。
企业对新一年的安全建设预算投入保持谨慎态度并呈现稳健发展趋势,企业安全建设投入聚焦于100W-500W金额区间,43%的企业2021年安全建设预算IT占比在3%-10%。
数据安全保护建设、安全运营体系建设、管理制度体系建设、应急响应体系建设和开发与运维安全建设成为企业2021年关注的规划重点。同时个人隐私保护、演练对抗、DevSecOps、DLP、SIEM/SOC占据企业2021安全热词榜前列。
金融行业安全建设现状已达到较高的行业水平,安全建设投入/预算IT占比明显高于全行业平均水平,24%的金融企业2021安全建设预算IT占比达到了10%-15%。
调研背景篇
本次调研的参与者均为国内甲方企业安全从业者,从行业分布数据可以看到,互联网/电子商务行业与金融行业占比达到40%。同时从企业属性分布来看,民营企业与国企占比85%,是本次调研的主要组成对象。
企业安全建设预算统计篇
回顾2020年,疫情对宏观环境的短期冲击是显而易见的,企业普遍紧缩支出、控制成本。在全行业普遍受到疫情影响的情况下,我们发现,网络安全行业普遍具备较高的抵抗风险能力。调研结果显示,40%的调研企业认为2020年疫情对企业安全建设投入丝毫无影响,仅有16%的调研企业认为影响很大。
与此同时,我们也发现,企业对新一年的安全建设预算投入保持谨慎态度并呈现稳健发展趋势,企业安全建设投入聚焦于100W-500W金额区间。对比2020年与2021年安全建设投入/预算数据,可以看到整体变化幅度并不大,有36%的企业新年安全建设预算处于100W-500W区间。
此外,调研也发现:企业安全建设投入IT占比逐渐向3%-10%区间聚集。网络安全已融入到各行业IT决策的每一个环节中。对比2021年和2020年企业安全建设投入/预算数据,可以清晰看到,安全建设投入IT占比在3%以下的企业数量逐渐减少,更多企业开始注重安全建设的重要性。
后疫情时代,衍生于新场景、新业态下的新安全威胁,正在考验着企业的安全技术、团队和能力储备。与此同时关于加强网络安全建设的相关政策纷纷出台,促使企业在严峻安全局势和合规政策紧缩的双重压力下,持续增加在网络安全方面的投入。
企业安全建设现状与展望
首先针对企业安全建设现状,我们从安全建设阶段和安全团队规模两方面调研展示。调研结果发现,企业安全建设仍旧具备较高的发展空间。仅有15%的企业处于安全建设的提升阶段,同时超过半数以上的企业安全团队规模仅有5人以下。
其次针对企业2021年安全建设规划重点,调研发现:数据安全保护建设、安全运营体系建设、管理制度体系建设、应急响应体系建设和开发与运维安全建设成为企业更加关注的规划重点。
此外,我们也重点统计了2021年企业安全建设热词榜,值得一提的是,个人隐私保护、演练对抗、DevSecOps、DLP、SIEM/SOC成为企业关注度及讨论频率最高的热词。
“幸福”的企业都是相同的,“不幸”的企业各有各的“不幸”。最后关于企业安全建设中的驱动因素与困难点,调研数据显示:合规影响、安全监管以及企业高层重视是促使企业安全建设不断前行的动力来源。与之伴随地,则是企业在安全建设中遇到的诸多实际困难点,老生常谈的有专业安全人员欠缺、安全预算有限,此外还有安全厂商产品服务有待提升、安全建设不受重视等。
金融行业特别分析篇
金融行业一向走在网络安全建设或发展的前列,因此我们特别统计分析了金融行业的安全建设预算状况。受调的金融企业中主要包括银行、保险、证券/基金类企业、金融科技类。
首先,对比全行业平均水平来看,金融行业安全建设现状已达到较高的行业水平。80%的金融企业处于稳定或提升的安全建设阶段,此外有40%的企业已具备11人以上的安全团队规模。
回顾2020年,金融行业安全建设投入受疫情影响较小。近四成的金融企业2020安全建设投入IT占比在3%-10%区间,还有21%的企业安全建设投入IT占比达到了10%-15%。
此外,金融企业安全建设投入/预算IT占比明显高于全行业平均水平。根据调研数据,24%的金融企业2021安全建设预算IT占比达到了10%-15%,是同等区间全行业统计比例的一倍。
调研番外
预算掣肘的一粒灰,落在甲方安全人头上就是一座山。
在日常与甲方交流与讨论中,对这一点我们感受颇深。“安全1个人,安全预算0元的企业多了去了。那1个安全人员还是因为出了事了才招的。”FreeBuf甲方群的一位大佬如是说。
世界的悲喜并不想通,甲方群的另一位大佬也分享了他2021的计划,“刚重新整了一份半年预算1500W,改天去汇报”。
还有一位甲方说道,“申请预算也是需要找准关键点,合规驱动以及同行业对比驱动都是有效的,比如领导一看同行业预算每年都高达1500W,明年也得给你加预算了。如果研发能力还达不到的话,可以基于现有开源工具先运营起来,等以后有预算了再招合适的人优化”。
也有一位甲方分享道,“做安全的就是任重道远。最简单来说,首先把公司信息资产的价值估算出来,这个需要去做调研。其次生产类企业还要计算产线受攻击停线的损失,梳理出风险点、计算可能的损失,这样就可以定向提出针对此类风险的解决方案和预算。”
在这些讨论中,我们看到了安全从业者的焦虑又或是踌躇满志,更多是不断前行的勇气与信心,前沿技术、热点安全态势永远是安全从业者追逐的方向,网络安全的责任感也始终承继在身。
在此以冯唐的一段话结语:“不要怕黑暗,不要怕穷困。我们最快乐的时光是坐在路边喝啤酒的时光,我们最满足的时光是发现前人尚未发现的幽微的光芒。”