Gartner报告：2018年全球安全支出将达到960亿美元

Gartner 近期预测， 2018 年全球安全支出将达到 960 亿美元，将比 2017 年的 890 亿美元增长 8％。 今年 8 月份，Gartner 也曾有过类似预测（2017 年的支出 864 亿美元，2018 年支出 930 亿美元。），但与那时候的数据相比，最近这份最新数据数值增长较大。据 Gartner 表示，监管法规的实施、买方心态的转变、对新出现威胁的认识以及数字化商业战略的演变，这些都推动着企业在安全方面投入更多。

Gartner 的研究总监 Ruggero Contu 称：

总体而言，大部分安全支出是组织对安全漏洞的响应花费。近期发生了很多大型网络攻击和数据泄露事件，对全球的组织机构及企业都产生了影响。WannaCry、NotPetya 等网络攻击，以及最近的 Equifax 数据泄露等安全事件都影响深远，甚至可能持续三年，会直接影响安全支出。

2016 年，有人对来自八个国家（澳大利亚、加拿大、法国、德国、印度、新加坡、英国和美国）的 512 名受访者进行调查，结果显示安全风险与安全支出之间存在直接联系。 53% 的受访者认为安全风险是整体安全支出的首要动因；其中大部分受访者认为安全入侵事件是导致安全支出的主要风险。Gartner 认为，2017 年的入侵事件将影响到 2018 年的安全支出。“安全测试、IT 外包以及安全信息与事件管理（SIEM）将成为增长最快的部分，促进基础设施保护和安全服务的发展与增长。”

安全法规刺激下的安全支出增长

这些增长与全球合规的发展不无关系。法律监管的数量、范围和规模越来越大，并逐渐涉及个人领域。欧洲的“一般数据保护条例”（GDPR）将于 2018 年 5 月生效，届时引起的罚款可能高达全球营业额的 4％。这些法规对私营企业领导者以及整个公司都带来影响（通过简单的测试方法来解决安全问题已经远远不够），很可能会引发反射反应，导致安全支出增长。

在过去的三年里，监管合规和数据隐私都刺激了安全开支。在美国，有《健康保险隐私及责任法案》、国家标准技术研究所的相关法案、印度海外公民证等机制和法规。而近段时间，欧洲即将于 2018 年 5 月实施的 GDPR（General Data Protection Regulation，一般数据保护法）引起了广泛探讨。此外，中国在 2017 年 6 月份正式施行的《网络安全法》也备受关注。这些安全相关的法律法规都直接或间接地促进了安全支出的增加，其中数据安全工具、特权访问管理和SIEM方面的支出涨幅最大。

然而，大量的调查和分析表明，许多企业根本不了解 GDPR，也根本没有为此做好准备；还有一些企业甚至认为 GDPR 并不适用于自己的企业。因此，一旦 GDPR 对违规行为的处罚出现首例，随后的企业安全支出可能出现激增。所以，企业不能抱有侥幸心理，欧洲监管机构不会设置“缓冲期”。

安全意识增强以及商业数字化

十一月底，三名欧洲活动家（Max Schrems，其针对 Facebook 的行动最终导致欧盟/美国安全港协议崩溃； 欧盟委员会司法部基本权利与公民联盟主管 Paul Nemitz；欧洲自由联盟司法与家庭事务发言人兼 GDPR 报告员 Jan Philippe Albrecht）共同宣布了“NOYB（none of your business，与你无关） - 欧洲数字权利中心”。

NOYB 的主要目的是提升公众隐私意识，监督企业数据保护实践（例如就企业的不合规行为向法院提起诉讼等）。由于这些人是积极分子而不是监管者，他们可能会在监管机构犹豫不决的情况下采取私人行动。 Gartner 在八月份的预测中表示：“欧盟的 GDPR 已经引起了人们的关注，到 2018 年将促成 65% 的 DLP（数据泄露预防）购买决策”。但根据发展趋势来看， 65% 这个预测值，其实还是有些保守。

在此次的预测中，Gartner 表示，到 2020 年，将有超过 60% 的企业组织购买多种数据安全工具（如 数据泄露预防、加密、以数据为中心的安全审计与保护等工具），如今这个比例只有 35% 左右。

Gartner 表示，技术短缺、技术复杂性和威胁风险将继续推动自动化和 IT 外包“技术工具稀缺，因此价格持续走高，组织与企业不得不向安全顾问、管理得当的安全服务提供商和外包商寻求帮助。“2018 年，安全外包服务的支出将达到 185 亿美元，比 2017 年增长 11％。IT 外包服务将成为继咨询之后的第二大安全支出细分领域。

基于这种趋势，Gartner 预测，到 2019 年，安全外包服务的总支出将占到安全软件和硬件产品支出的 75％，与 2016 年的 63％ 相比将增长 12%。

AsTech 首席安全战略家 Nathan Wenzler 对 Gartner 的大部分评估结果表示赞同：“ 2018 年的支出可能会继续增长。更重要的一点是，技能的全面短缺将最终促使更多的公司在安全服务方面支出更多。” 他认为，企业在安全软件方面的支出正达到饱和，因为过去几年企业的安全支出主要集中在在购买以不同方式保护 IT 环境的安全产品上。但是企业没有也没办法聘请到 “经验丰富的安全专业人员，让他们有效地部署、使用和维护这些安全产品，以便使这些工具能够正常工作。企业别无选择，只能在安全服务上继续支出，以保护自己的网络和关键数据安全。”

此外，企业安全预算也正在偏向于检测和响应，这一趋势将推动未来五年安全市场的增长。Contu 表示：“随着安全事件检测和响应的关注持续增加，端点检测和响应、用户实体和行为分析等技术已经打破了端点保护平台和SIEM等传统市场。”

但是“更多支出”必然能确保“更安全”吗？High-Tech Bridge 首席执行官 Ilia Kolochenko 向企业发出警告：“更多支出”并不意味着“更安全”。他认为，更加一致且基于风险评估的安全方法可能有助于在不增加支出的情况下适当提升安全性。

很多公司其实可以使用基于风险的手段来应对威胁和漏洞，以减少安全预算。此外，严格根据技术而非市场要求来选择供应商，也有助于降低安全支出。