企業CISO必須密切關注八個問題，確保自己平穩度過廠商的裁員風暴。

2022年是科技行業血腥裁員的一年，從歐美到亞洲，由於經濟衰退、預算限制、財務困境等諸多原因，大量科技企業甚至行業巨頭都紛紛舉起了大幅裁員的的“屠刀”。根據TrueUp的裁員資料統計，2022年至今全球科技企業已經發起1000多輪裁員，超過18。2萬人失業。

甚至全球頂流企業也未能倖免，一些頂級科技公司已經宣佈大幅裁員，包括亞馬遜、Twitter、Meta、Salesforce等，阿里巴巴、騰訊、百度等中國網際網路公司也未能倖免。

網路安全難以獨善其身

雖然網路安全行業近年來被投資者和分析師認為是科技行業裁員風暴的避風港，但依然有不少網路安全企業未能倖免。今年，包括Snyk、Malwarebytes、Tripwire、Cybereason和Lacework在內的知名安全公司今年進行了大幅裁員，原因各不相同，從改變業務戰略到增加現金儲備。

根據裁員跟蹤網站Layoffs。FYI的資料，自2022年初以來，共有34家安全公司宣佈裁員或勞動力重組。原因是市場緊縮和“保持生存能力”。雖然幾乎沒有證據表明2023年，在整體表現相對良好的科技行業，網路安全企業將進行大規模裁員，但在這個不確性不斷增長的經濟時期，一切皆可討論。

根據Momentum Cyber的《2022年第三季度網路安全市場評論》，2022年第三季度網路安全股價下跌了7。2%，表現弱於納斯達克指數（-5。0%）和標準普爾500指數（-6。3%）。與此同時，《2023年IT狀況報告》發現，83%的企業擔心2023年會出現經濟衰退，50%的企業計劃採取預防措施，為經濟放緩做好準備，這可能意味著將會有大量企業會大幅削減網路安全產品和服務的採購支出。

上述這些資料並不構成對重大變化的預測，但它們確實反映了捉摸不定的經濟形勢，也能導致網路安全企業重新評估和調整其戰略，正如2022年所發生的那樣，這可能導致裁員風暴蔓延到更多網路安全企業。

CISO需要關注的

安全廠商裁員相關八大問題

面對潛在的網路安全供應商大幅裁員，企業CISO必須密切關注以下8個問題，確保自己平穩度過廠商（供應商）的裁員風暴：

1.裁員後的供應商能否提供相同級別的支援和溝通？

首先也是最重要的是，企業擔心安全供應商的裁員可能會導致其無法保持相同水平的服務和支援能力，IDC安全和信任研究實踐集團副總裁Frank Dickson指出：“廠商的支援能力真的被低估了。在我們的調查中，對供應商感到滿意的企業客戶中，大多數都認為支援是廠商最重要的能力，這是一個巨大的差異化因素。廠商提供的支援會改變嗎？廠商的現場服務工程師，與企業客戶一起工作的人，是否會改變？新的雲配置、可擴充套件性之類的東西呢？”

Netskope CISO EMEA Neil Thacker對此表示贊同：“當安全企業宣佈大幅裁員時，客戶最應該擔心的是參與度和溝通的減少。安全供應商和客戶應該有一個開放和清晰的溝通渠道來討論任何問題、挑戰和新要求。如果與安全供應商互動和溝通的能力變得困難，這是一個明顯的跡象，表明裁員損害了企業客戶。”

CISO應該與他們的客戶經理甚至高階領導層討論供應商如何管理裁員，SANS技術研究所所長Ed Skoudis補充道。“企業應該向供應商詢問一些關鍵問題：他們正在做些什麼來保護他們在供應鏈中的部分？我們怎麼能確保他們不會把視線從球上移開，而是繼續保護我們呢？”他說，“誠實和透明至關重要，在充滿挑戰的時期，供應商發出清晰果斷的資訊應該讓您放心，儘管裁員，他們仍有能力支援您的業務需求。”

2.安全廠商的哪些人員被裁掉了？

CISO接下來要關注的是安全企業裁員的具體崗位，以及它們是否與提供的安全產品或服務直接相關，Forrester高階分析師Jess Burn認為：在（安全廠商）領導者眼中，被解僱的人員可能是多餘的，但他們可能在你（客戶）所依賴的該供應商的安全流程或職能中發揮了非常重要的作用。這意味著無論誰留下來，他們手裡的活都變多了，他們能做的就是“事半功倍”。

Burn補充說，（廠商的）工程師和開發人員被裁應該是CISO和安全團隊最關心的問題，在發現和修復安全威脅方面，技術人員是“煤礦中的金絲雀”。通常，廠商的早期裁員會影響招聘或營銷人員，但是，如果你發現廠商的工程師或開發人員被解僱，就需要密切關注了，因為關鍵的服務或工程人員被裁會直接影響到廠商提供的安全服務水平。客戶面臨的最大風險將來自DevSecOps人員的減少，“這可能會減少安全監督，功能更新，甚至影響服務的總體可用性”。

UST首席網路官兼董事總經理Yuval Wollman則認為，隨著威脅形勢的發展和變化，裁撤創新和研究人員可能會直接影響安全產品的效率和可靠性。

因此，CISO應該坦率地詢問安全廠商裁員崗位及與重要安全功能的關係的詳細資訊，安全廠商也應該爽快地提供此類資訊。

3.是什麼導致了安全廠商的裁員？

Dickson認為，如果企業的安全供應商正在裁員，另一個需要關注的重點是導致其裁員的因素。“我們面臨的複雜性是，一些裁員不一定是由缺乏收入驅動的。顯然，宏觀經濟並不好，因此廠商的裁員未必是因為其業務模式出現了問題。”

Dickson補充說，有許多優秀的，甚至是“獨角獸型”的安全初創公司，它們確定了需求，獲得了資金，然後突然獲得了巨幅增長。這種增長的目標是實現某種IPO事件，透過風險投資為收入增長提供資金。只要他們表現出收入增長並且有大量的風險投資可用，他們就可以做到這一點。當經濟掉頭向南時會發生什麼？風險投資也紛紛南下。如果此類安全公司失去了與風險資金匹配的收入增長，他們必須使收入等於支出，即繼續增長但保持現金流中性，這種情況下的裁員並非業務問題。

4.裁員的安全廠商提供什麼安全服務？

Dickson說，在裁員期間評估供應商提供的安全服務也很重要。“如果裁員的安全廠商提供本地基礎設施防護，提供的主要是防火牆、web閘道器之類的商業化產品，那麼問題不大，企業很容易增加或者替換（如果需要）此類產品。”

但是，如果廠商提供的是比較複雜的服務，實踐較少，或者針對更新、更不可預測的威脅（例如影響雲服務內建Kubernetes的威脅）提供保護，那麼風險可能會更大。如果涉及MSSP（託管安全服務提供商），這也可能特別令人不安，Skoudis補充道：“他們的SOC通常在沒有很多冗餘人員的情況下執行，裁員意味著分析來自您網路的事件的眼睛和大腦更少，這可能意味著狡猾的攻擊者被忽視的時間更長。至於SaaS技術，減少員工人數可能會引發一些問題，即錯誤和漏洞是否被及時發現，修補並修復到相同的標準。”

Thacker說，“降低風險的最佳方法是瞭解安全供應商提供哪些控制，以及誰負責什麼。應該為每個關鍵的安全供應商繪製責任共擔模型，並應定期對這些控制進行審查。”

5.安全廠商裁員會造成人員破壞風險嗎？

Skoudis警告說，剛剛失去工作，心懷不滿的員工可能會對僱主或客戶進行報復。如果不加以妥善解決，可能會使企業（包括客戶和廠商）面臨的風險顯著增加。“他們可以在系統中植入後門，竊取敏感資訊在暗網上出售，盲目檢測功能，或者在產品和服務中做手腳。一些最危險的供應鏈攻擊，往往是組織內部人員通過後門或以其他方式來破壞產品或服務。”

根據一項研究，45%的員工在離職前會儲存、下載或傳送公司資料到網路之外，Wollman說：“對於心懷不滿的前僱員，儲存或下載資料的過程可能看起來像是故意的資料洩露或破壞，但即使分手是友好的，企業也需要考慮檔案被刪除或損壞，或者智慧財產權被盜或濫用。”

CISO應該尋求安全廠商的保證，即他們以適當和安全的方式處理任何裁員，並要求廠商證明自己採取了明確有效的離職流程：“對於內部威脅相關的供應鏈攻擊，廠商的軟體開發完整性控制和程式碼檢查非常重要，在裁員期間這尤其重要，可以避免讓客戶面臨更大的風險，”Skoudis指出：“供應商可能會被要求在裁員期間和之後審查並證明自己的安全狀況。”

6.裁員會不會讓安全廠商違約？

Burn指出，安全供應商有責任履行提供服務的合同義務，如果裁員削弱其提供服務的能力，安全廠商可能會捲入法律糾紛：“如果供應商無法證明他們的解決方案在裁員的情況下也能保證企業客戶的安全，那麼他們可能會違反合同和服務條款。”

7.何時應考慮更換安全供應商？

Dickon建議準備更換安全供應商的CISO保持謹慎，即便他們擔心裁員的直接影響。“不要只考慮今天甚至三個月後的短期問題。將目光投向兩年後，不更換供應商，將會如何？如果更換其他廠商，會有更好的結果嗎？”

Wollman建議關注任何供應商對業務的影響：“徹底調查切換到新產品或供應商會怎樣？供應商倒閉或者更換新的供應商導致的財務成本分別是多少？這兩種情況對運營的影響是什麼？在做出任何最終決定之前，請從各個角度權衡。”

8.安全廠商裁員不都是壞事？

在安全供應商裁員引發的潛在麻煩問題之外，也有一些理論上的好處。“在某些情況下，裁員可能是安全供應商正在精簡和扭轉低效率的好兆頭，特別是當網路安全行業走出高速增長時期時，公司此前可能太快地招募了太多新員工。”Wollman說道。

Burn則敦促CISO首席資訊保安官和企業不要忽視從安全廠商裁員中受益的機會，（由於網路安全人才荒依然存在）供應商裁掉的熟練安全人員可能正是企業客戶所迫切需要的人才：“安全供應商一般不會從企業客戶挖角安全人才，但普遍面臨人才短缺問題的企業CISO如今卻迎來一個良機，從安全供應商裁員潮中招募緊缺人才。”