本
文
摘
要
距离2023年只有一周多的时间,权威市场研究机构如普华永道、Gartner、麦肯锡、贝恩以及网络安全巨头如微软、Okta、谷歌等纷纷发布了2023年网络安全市场的预测,GoUpSec择要整理了十点如下:
01、零信任将是成长最快的网络安全细分市场
根据Gartner的预测,零信任网络接入(ZTNA)将成为全球增长最快的网络安全细分市场。预计2022年将增长36%,2023年将增长31%。预计在2021年至2026年间,零信任市场的全球复合年增长率(CAGR)将从6.33亿美元跃升至21亿美元。
美国的零信任软件和服务收入的增长反映了这一强劲的市场势头,从2021年的3.189亿美元增加到2026年的10.4亿美元。
Markets and Markets的另一项预测显示,全球在基于零信任的软件和服务上的支出将从2022年的274亿美元增长到2027年的607亿美元,复合年增长率为17.3%。
Okta的报告显示,97%的公司要么已经实施了零信任计划,要么将在未来12到18个月内实施零信任计划。该调查基于对700名主管级及以上级别的安全决策者的采访,结果远高于四年前的16%和2020年的41%。
Gartner认为远程办公和“去VPN化”趋势是零信任市场增长的主要动力。Gartner预测,到2025年,至少有70%的新远程访问部署将主要由ZTNA而不是VPN服务提供服务,而2021年底这一比例还不到10%。
根据Okta的报告,云基础架构的特权访问(PAM)、API安全访问和基于上下文的访问策略讲视2023年福布斯全球2000强企业零信任方案的最高优先级项目,2023年全球身份访问管理(IAM)软件和解决方案支出规模将达到207.5亿美元。CISO们已经部署以及未来12-18个月即将部署的零信任项目如下(数据来自Okta):
02、风险管理和云安全爆发式增长
根据普华永道的报告,2022年,16%的企业已经从投资云安全、安全意识培训和端点安全中获益,半数受访企业已经开始实施或者计划实施零信任,并规划和实施企业范围的信息治理网络。
Gartner预测,到2023年,40%的企业工作负载将部署在云基础设施和平台服务(集成和独立)中,高于2020年的20%。预计到2023年,信息安全和风险管理产品和服务的支出将增长11.3%,达到1883亿美元以上。
Gartner预测,未来两年云安全是增长最快的网络安全市场之一,到2023年将达到26.8%的增长率。Gartner高级总监分析师Ruggero Contu表示:“疫情加速了混合工作和向云的转变,给首席信息安全官带来了挑战,以确保日益分散的企业的安全。安全服务,包括咨询、硬件支持、实施和外包服务,是最大的网络安全支出类别,2022年接近720亿美元,预计到2023年将达到765亿美元。2021-2023年全球信息安全与风险管理投资优先级热点统计如下(数据来自Gartner):
03、网络安全市场需求远未得到满足,但CISO预算面临压力
根据麦肯锡的调查评估,全球网络安全市场总规模在1.5美元至2万亿美元之间,但市场渗透率很低(下图),目前只有10%由安全解决方案供应商提供服务。
麦肯锡最近的调查定义了比供应商可以解决的规模大得多的网络安全市场潜在需求总量(TAM),这是由于网络攻击的指数级增长和严重性增加。麦肯锡估计,只有30%到35%的数据保护和治理、风险和合规市场得到了安全厂商的服务。
麦肯锡估计,高达25%的组织的身份和访问管理(IAM)网络安全要求可以通过当前的供应商服务来满足,但调查结果表明“许多(如果不是大多数)首席信息安全官(CISO)的预算资金不足。网络安全提供商必须通过安全能力的现代化和重新思考营销战略来应对这种挑战。“
04、端点安全仍有巨大增长空间
根据IDC的市场调查数据,企业端点安全市场是网络安全领域增长最快的市场之一,2021年全球企业端点安全市场增长了29.0%,收入从2020年的80亿美元增加到2021年的103亿美元,增长了23亿美元。
根据IDC 2021年全球端点安全市场份额统计(上图),CrowdStrike拥有2021年103亿美元企业端点安全市场的12.6%,同比增长67.9%。CrowdStrike仍然是现代端点安全细分市场中最大的供应商,其市场份额从2020年的12.0%提升至2021年的15.5%。
05、CISO普遍高估安全成熟度,低估安全风险
贝恩公司最近对其网络安全最佳实践调查的分析表明,首席信息安全官和高级安全领导者低估了没有充分实现网络安全最佳实践的风险。贝恩的分析发现,在1-5分的网络安全成熟度评分机制中,一家典型的公司的评分可能只有1.5到2.5,远低于贝恩推荐的风险和安全管理的最佳实践水平。
事实上,只有3%的首席信息安全官认为他们达到了网络安全的最佳实践水平,而达标企业只有24%。安全成熟度高的企业的安全支出的收入占比远高于安全成熟度低的企业(下图):
贝恩还在报告中指出,NIST和ISO 27002等行业框架是网络安全的重要组成部分。但是,为了在全球不稳定时期充分保护自己,企业需要跳出上述框架的局限,更加聚焦于零信任战略和未来的挑战。
06、人为因素将成为首要安全问题
Netwrix的2023年网络安全趋势报告指出:长期以来,用户一直是IT安全的薄弱环节,他们容易打开受感染的电子邮件附件,点击恶意链接或进行其他危险行为。现在,社会工程学的快速发展和易于使用的深度伪造技术使攻击者能更容易诱骗更多用户。
因此,对用户活动的全面审计对于及时发现异常行为以防止严重事件变得更加重要。此外,实施零长期特权(ZSP)方法将有助于企业防止用户权限滥用。
07、勒索软件攻击将增加
谷歌隐私和安全副总裁汉森指出:“勒索软件仍然是我们面临的最大威胁之一,并且还在继续增长。2022年,勒索软件攻击增加了130%以上。”
从国家黑客到网络犯罪成员,攻击者使用相同的技术,因为它们有效。到2023年,我们将看到攻击者采用人工智能来提高针对关键基础设施和供应链的攻击速度和准确性。
对于防御者来说,2023将是颠覆性的一年。人员与人工智能驱动的威胁情报、创新和投资的结合将使我们能够更快地采取行动,在攻击者造成更多损害之前破坏他们的行动,限制他们获得非法收入并持续攻击的能力。
08、密钥技术将得到广泛采用
谷歌Chrome浏览器副总裁Parisa Tabriz认为:除了密码管理和帐户安全改进之外,我们还将看到越来越多的开发人员甚至普通用户开始采用密钥技术保护账户。
谷歌平台和生态系统高级总监Mark Risher则指出:“随着如此多的泄露数据在暗网上流传,针对个人账户的攻击将激增,黑客不仅会尝试利用重复使用的密码,还会利用泄露的秘密问题字段(出生日期,SSN,街道地址或其他)。
此外,随着个人信息的大量泄露,针对短信/一次性密码(OTP)的双因素认证的网络钓鱼也将继续增长,因此,越来越多的网站和应用程序将更有可能为面向消费者的应用和内部管理工具部署密钥。
“在混合企业环境中,随着网络上发生更多工作,浏览器将成为企业安全更具战略意义的资产。在劳动力方面,私营和公共部门对网络安全经验和能力的需求将继续超过现有人才供应。这强调了未来对多学科网络安全技能发展进行投资的必要性。”
09、主动防御重在预防,人工智能和威胁情报共同提升“免疫力”
微软威胁情报执行副总裁约翰兰伯特指出:预防仍然是最佳方法,但下一个最成功的策略是专注于早期发现和疫情控制,这有助于限制违规的规模。
确保组织能够跨数据、基础架构、身份和应用程序(尤其是IT、OT和IoT)了解从客户端到云的数字资产,这一点至关重要。就像对他们的基础设施采取“由外而内”的视图,以了解攻击者暴露的内容以及如何锁定这些资产一样。
2023年在防御端,我们将看到将人工智能和威胁情报的力量相结合的创新,以便大规模应用威胁情报来检测和阻止攻击的传播。我们还将看到安全业界部更深入的伙伴关系和情报共享,以加强我们的集体理解。
主动防御网络威胁是一项全球使命,全球网络安全人士需要共同解决这个当今最具挑战性的问题。
10、网络犯罪即服务暴增
微软网络安全政策与保护总经理兼副总法律顾问Amy Hogan-Burney指出:Emotet,Conti和Trickbot等恶意软件的回归表明网络犯罪服务的壮大。而勒索软件即服务的增长使没有技术技能的犯罪分子也能实施勒索软件攻击,暗网上向受害者或其竞争对手出售被盗数据来赚钱。
到2023年,我们将继续看到网络犯罪分子适应并找到实施其技术的新方法,从而增加他们托管活动运营基础设施的方式和位置的复杂性。
网络犯罪经济的商业化使任何技能水平的攻击者都更容易执行入侵、泄露数据和部署勒索软件。
这导致越来越多的在线服务助长了各种网络犯罪,包括商业电子邮件泄露和人为操作的勒索软件。基本安全卫生可抵御98%的攻击,但由于网络犯罪没有国界,我们必须继续通过公共和私人伙伴关系共同应对这一威胁。
2023年企业需要为网络钓鱼活动的增长做好准备:重要的防御策略包括及时修补和更新软件,以及部署多因素身份验证(MFA)和特权访问管理(PAM)解决方案来锁定网络访问。
【GoUpSec】简介:升华安全佳,安全看世界。GoUpSec以国际化视野服务于网络安全决策者人群,致力于成为国际一流的调研、分析、媒体、智库机构。