企业CISO必须密切关注八个问题,确保自己平稳度过厂商的裁员风暴。
2022年是科技行业血腥裁员的一年,从欧美到亚洲,由于经济衰退、预算限制、财务困境等诸多原因,大量科技企业甚至行业巨头都纷纷举起了大幅裁员的的“屠刀”。根据TrueUp的裁员数据统计,2022年至今全球科技企业已经发起1000多轮裁员,超过18.2万人失业。
甚至全球顶流企业也未能幸免,一些顶级科技公司已经宣布大幅裁员,包括亚马逊、Twitter、Meta、Salesforce等,阿里巴巴、腾讯、百度等中国互联网公司也未能幸免。
网络安全难以独善其身
虽然网络安全行业近年来被投资者和分析师认为是科技行业裁员风暴的避风港,但依然有不少网络安全企业未能幸免。今年,包括Snyk、Malwarebytes、Tripwire、Cybereason和Lacework在内的知名安全公司今年进行了大幅裁员,原因各不相同,从改变业务战略到增加现金储备。
根据裁员跟踪网站Layoffs.FYI的数据,自2022年初以来,共有34家安全公司宣布裁员或劳动力重组。原因是市场紧缩和“保持生存能力”。虽然几乎没有证据表明2023年,在整体表现相对良好的科技行业,网络安全企业将进行大规模裁员,但在这个不确性不断增长的经济时期,一切皆可讨论。
根据Momentum Cyber的《2022年第三季度网络安全市场评论》,2022年第三季度网络安全股价下跌了7.2%,表现弱于纳斯达克指数(-5.0%)和标准普尔500指数(-6.3%)。与此同时,《2023年IT状况报告》发现,83%的企业担心2023年会出现经济衰退,50%的企业计划采取预防措施,为经济放缓做好准备,这可能意味着将会有大量企业会大幅削减网络安全产品和服务的采购支出。
上述这些数据并不构成对重大变化的预测,但它们确实反映了捉摸不定的经济形势,也能导致网络安全企业重新评估和调整其战略,正如2022年所发生的那样,这可能导致裁员风暴蔓延到更多网络安全企业。
CISO需要关注的
安全厂商裁员相关八大问题
面对潜在的网络安全供应商大幅裁员,企业CISO必须密切关注以下8个问题,确保自己平稳度过厂商(供应商)的裁员风暴:
1.裁员后的供应商能否提供相同级别的支持和沟通?
首先也是最重要的是,企业担心安全供应商的裁员可能会导致其无法保持相同水平的服务和支持能力,IDC安全和信任研究实践集团副总裁Frank Dickson指出:“厂商的支持能力真的被低估了。在我们的调查中,对供应商感到满意的企业客户中,大多数都认为支持是厂商最重要的能力,这是一个巨大的差异化因素。厂商提供的支持会改变吗?厂商的现场服务工程师,与企业客户一起工作的人,是否会改变?新的云配置、可扩展性之类的东西呢?”
Netskope CISO EMEA Neil Thacker对此表示赞同:“当安全企业宣布大幅裁员时,客户最应该担心的是参与度和沟通的减少。安全供应商和客户应该有一个开放和清晰的沟通渠道来讨论任何问题、挑战和新要求。如果与安全供应商互动和沟通的能力变得困难,这是一个明显的迹象,表明裁员损害了企业客户。”
CISO应该与他们的客户经理甚至高级领导层讨论供应商如何管理裁员,SANS技术研究所所长Ed Skoudis补充道。“企业应该向供应商询问一些关键问题:他们正在做些什么来保护他们在供应链中的部分?我们怎么能确保他们不会把视线从球上移开,而是继续保护我们呢?”他说,“诚实和透明至关重要,在充满挑战的时期,供应商发出清晰果断的信息应该让您放心,尽管裁员,他们仍有能力支持您的业务需求。”
2.安全厂商的哪些人员被裁掉了?
CISO接下来要关注的是安全企业裁员的具体岗位,以及它们是否与提供的安全产品或服务直接相关,Forrester高级分析师Jess Burn认为:在(安全厂商)领导者眼中,被解雇的人员可能是多余的,但他们可能在你(客户)所依赖的该供应商的安全流程或职能中发挥了非常重要的作用。这意味着无论谁留下来,他们手里的活都变多了,他们能做的就是“事半功倍”。
Burn补充说,(厂商的)工程师和开发人员被裁应该是CISO和安全团队最关心的问题,在发现和修复安全威胁方面,技术人员是“煤矿中的金丝雀”。通常,厂商的早期裁员会影响招聘或营销人员,但是,如果你发现厂商的工程师或开发人员被解雇,就需要密切关注了,因为关键的服务或工程人员被裁会直接影响到厂商提供的安全服务水平。客户面临的最大风险将来自DevSecOps人员的减少,“这可能会减少安全监督,功能更新,甚至影响服务的总体可用性”。
UST首席网络官兼董事总经理Yuval Wollman则认为,随着威胁形势的发展和变化,裁撤创新和研究人员可能会直接影响安全产品的效率和可靠性。
因此,CISO应该坦率地询问安全厂商裁员岗位及与重要安全功能的关系的详细信息,安全厂商也应该爽快地提供此类信息。
3.是什么导致了安全厂商的裁员?
Dickson认为,如果企业的安全供应商正在裁员,另一个需要关注的重点是导致其裁员的因素。“我们面临的复杂性是,一些裁员不一定是由缺乏收入驱动的。显然,宏观经济并不好,因此厂商的裁员未必是因为其业务模式出现了问题。”
Dickson补充说,有许多优秀的,甚至是“独角兽型”的安全初创公司,它们确定了需求,获得了资金,然后突然获得了巨幅增长。这种增长的目标是实现某种IPO事件,通过风险投资为收入增长提供资金。只要他们表现出收入增长并且有大量的风险投资可用,他们就可以做到这一点。当经济掉头向南时会发生什么?风险投资也纷纷南下。如果此类安全公司失去了与风险资金匹配的收入增长,他们必须使收入等于支出,即继续增长但保持现金流中性,这种情况下的裁员并非业务问题。
4.裁员的安全厂商提供什么安全服务?
Dickson说,在裁员期间评估供应商提供的安全服务也很重要。“如果裁员的安全厂商提供本地基础设施防护,提供的主要是防火墙、web网关之类的商业化产品,那么问题不大,企业很容易增加或者替换(如果需要)此类产品。”
但是,如果厂商提供的是比较复杂的服务,实践较少,或者针对更新、更不可预测的威胁(例如影响云服务内置Kubernetes的威胁)提供保护,那么风险可能会更大。如果涉及MSSP(托管安全服务提供商),这也可能特别令人不安,Skoudis补充道:“他们的SOC通常在没有很多冗余人员的情况下运行,裁员意味着分析来自您网络的事件的眼睛和大脑更少,这可能意味着狡猾的攻击者被忽视的时间更长。至于SaaS技术,减少员工人数可能会引发一些问题,即错误和漏洞是否被及时发现,修补并修复到相同的标准。”
Thacker说,“降低风险的最佳方法是了解安全供应商提供哪些控制,以及谁负责什么。应该为每个关键的安全供应商绘制责任共担模型,并应定期对这些控制进行审查。”
5.安全厂商裁员会造成人员破坏风险吗?
Skoudis警告说,刚刚失去工作,心怀不满的员工可能会对雇主或客户进行报复。如果不加以妥善解决,可能会使企业(包括客户和厂商)面临的风险显著增加。“他们可以在系统中植入后门,窃取敏感信息在暗网上出售,盲目检测功能,或者在产品和服务中做手脚。一些最危险的供应链攻击,往往是组织内部人员通过后门或以其他方式来破坏产品或服务。”
根据一项研究,45%的员工在离职前会保存、下载或发送公司数据到网络之外,Wollman说:“对于心怀不满的前雇员,保存或下载数据的过程可能看起来像是故意的数据泄露或破坏,但即使分手是友好的,企业也需要考虑文件被删除或损坏,或者知识产权被盗或滥用。”
CISO应该寻求安全厂商的保证,即他们以适当和安全的方式处理任何裁员,并要求厂商证明自己采取了明确有效的离职流程:“对于内部威胁相关的供应链攻击,厂商的软件开发完整性控制和代码检查非常重要,在裁员期间这尤其重要,可以避免让客户面临更大的风险,”Skoudis指出:“供应商可能会被要求在裁员期间和之后审查并证明自己的安全状况。”
6.裁员会不会让安全厂商违约?
Burn指出,安全供应商有责任履行提供服务的合同义务,如果裁员削弱其提供服务的能力,安全厂商可能会卷入法律纠纷:“如果供应商无法证明他们的解决方案在裁员的情况下也能保证企业客户的安全,那么他们可能会违反合同和服务条款。”
7.何时应考虑更换安全供应商?
Dickon建议准备更换安全供应商的CISO保持谨慎,即便他们担心裁员的直接影响。“不要只考虑今天甚至三个月后的短期问题。将目光投向两年后,不更换供应商,将会如何?如果更换其他厂商,会有更好的结果吗?”
Wollman建议关注任何供应商对业务的影响:“彻底调查切换到新产品或供应商会怎样?供应商倒闭或者更换新的供应商导致的财务成本分别是多少?这两种情况对运营的影响是什么?在做出任何最终决定之前,请从各个角度权衡。”
8.安全厂商裁员不都是坏事?
在安全供应商裁员引发的潜在麻烦问题之外,也有一些理论上的好处。“在某些情况下,裁员可能是安全供应商正在精简和扭转低效率的好兆头,特别是当网络安全行业走出高速增长时期时,公司此前可能太快地招募了太多新员工。”Wollman说道。
Burn则敦促CISO首席信息安全官和企业不要忽视从安全厂商裁员中受益的机会,(由于网络安全人才荒依然存在)供应商裁掉的熟练安全人员可能正是企业客户所迫切需要的人才:“安全供应商一般不会从企业客户挖角安全人才,但普遍面临人才短缺问题的企业CISO如今却迎来一个良机,从安全供应商裁员潮中招募紧缺人才。”
