准备应对经济放缓的安全投资策略

关键要点

• 根据最新的Spiceworks Ziff Davis（SWZD）研究，50%的企业计划为2023年经济衰退做准备，减少非必要支出并重新评估供应商合同。
• 尽管面临经济压力，51%的组织预计将提升IT预算，特别是在管理安全服务方面。
• 73%的公司预期在2023年加大应用安全（AppSec）投资，特别是在静态和动态应用安全测试工具的整合上。
• 在投资安全工具时，企业应关注自动化、覆盖范围和员工采用程度，确保策略的有效落实。

随着经济放缓的加剧，许多组织打算提前做好准备。一项最近的（SWZD）研究显示，50%调查的公司计划采取预防措施，以应对2023年可能来临的经济萧条。这些企业的策略主要包括重新评估供应商合同和减少非必要支出。

不过，同一项SWZD报告指出，随着对安全性担忧的上升，预计超过一半（51%）的组织将增加IT预算，特别是在管理安全服务方面。对于那些希望保护其业务关键应用的组织来说，增加网络安全预算意味着它们在应对未来经济风暴时将更具准备。

这种趋势与我们最近的一致，该报告发现73%的公司预计将在2023年增加AppSec投资。随着更多组织将静态和动态应用安全测试解决方案整合到开发流程中，并寻找方式弥补安全覆盖的空白，以下几项至关重要的考虑因素可以改善这些努力的整体有效性及采纳率。

投资SAST和DAST工具前需要问的关键问题

在为网络安全努力分配更多预算和构建有效策略时，重要的是要后退一步，思考全局。提出正确的问题以确定哪些工具、服务和流程是真正需要的，将帮助您的组织为成功铺平道路。可以从以下几个问题入手：

• 我们投资AppSec项目的主要原因是什么？ 有时这是对最近数据泄露的反应，有时是为了满足合规标准。虽然对此没有错误答案，但您需要了解最紧迫的问题，以选择最佳路径来应对。
• 我们的主要目标是什么？我们是否有KPI来跟踪如何实现这些目标？ 清晰的目标和KPI可以在成功和可衡量的AppSec程序中发挥至关重要的作用，提供每年不断改进的基础。您的目标可能还会决定您需要满足KPI的特定工具和解决方案类型。
• 我们需要升级哪些工具和服务？还有什么是缺失的？ 仅仅增加新的工具可能导致效率低下并引发更多问题。因此，了解现状是构建关闭安全漏洞、降低风险、改善流程的AppSec策略的重要第一步。

掌握这些答案后，您至少可以勾勒出安全程序拼图的基础元素。但要实现真正的安全改进，并伴随可衡量的投资回报率，您还应关注三个关键考虑因素：自动化、覆盖率与采用率。

安全测试中的自动化应帮助人类更聪明地工作

现代网站开发的规模和速度使得自动化成为必需，而这包括安全测试。可靠的自动安全测试可以减轻开发人员和安全工程师的负担，使他们更容易找到和验证漏洞。了解网络漏洞对于消除您的安全覆盖空白至关重要，尤其是考虑到去年的网络应用是。然而，自动化并不是为了取代，恰恰相反，它是对现有技能的补充，使您的开发人员和安全专业人员能够更高效地工作。

通过整合SAST和DAST工具，自动化沟通和安全检查，加快新旧工作流程，便于扩展安全工作。最值得注意的是，采用合适的工具后，可以消除AppSec中的许多不确定因素。现代安全工具专为自动化和准确性设计，