当安全供应商裁员时，CISO应该关注什么？

裁员追踪网站layoff.FYI显示，自2022年初以来，共有34家安全厂商宣布裁员或员工重组，其中大多数企业声称是为了削减开支亦或是紧缩市场以保障企业运营。Momentum Cyber的《2022年第三季度网络安全市场评论》发现，2022年第3季度网络安全股价下跌7.2%，表现逊于纳斯达克指数-5.0%和标准普尔500指数-6.3%。与此同时，《2023年信息技术状况报告》发现，83%的公司担心2023年的经济衰退，其中50%的公司计划采取预防措施，为经济放缓做好准备，这可能会导致很大一部分公司缩减网络安全方面的采购和服务。

尽管目前没有任何证据表明，2023年网络安全厂商将会迎来前所未有的裁员，但动荡的经济时代下，每一位从业者都应该提高警惕。对于CISO而言，无论安全厂商因为任何理由裁员，甲方企业都需要注意以下风险，以保障企业抵御未知的风险。

IDC安全和信任研究实践小组副总裁Frank Dickson表示，对于甲方来说，当安全供应商的裁员或削减时，首先要关注其是否影响安全服务能力。他表示，安全服务作为当前供应商与甲方合作的桥梁，一旦服务能力下降或缺失，甲方将不得不面临更高的安全风险，甚至是寻求新的供应商，以保障企业自身的安全。

Netskope公司EMEA地区的CISO Neil Thacker对此表示赞同。他表示，当一家安全供应商宣布裁员时，客户应该最担心彼此之间的参与度和沟通的减少，安全供应商应该和客户建立一个公开、明确的沟通渠道，以应对任何突发问题及新的需求。

SANS技术研究所（SANS Technology Institute）总裁Ed Skoudis表示，安全供应商在宣布削减或裁员时，应该向客户确保不会影响服务或产品的迭代。他认为，诚信和透明是至关重要的，当发生裁员事件时，供应商应该迅速并明确地告知客户，并保障其业务需求不受影响。

Forrester高级分析师Jess Burn表示，CISO还应该知晓安全供应商削减了哪里，以及是否与其所提供的安全产品或服务直接相关。在安全供应商看来，被解雇的人员可能是多余的，但对于甲方来说，他们或许在安全流程和功能中扮演相当重要的角色，同时，无论谁被解雇，都意味着安全供应商要用更少的资源做更多的工作。

一般来看，CISO和企业安全团队最担心的应该是供应商工程师和开发人员的下岗，因为销售或营销的削减一般不会影响其产品的安全价值及能力，但关键服务或工程人员的削减很可能会导致其服务或产品质量的下滑。

Thacker表示，如果DevSecOps的人员减少，可能会导致安全监督、功能更新的延迟，甚至会影响服务的普遍可用性。UST首席网络运营官兼总经理Yuval Wollman表示，随着威胁环境的变化，厂商削减创新和研发人员可能会直接影响产品的效率和可靠性。

安全供应商裁员势必会影响创新，随着人员的减少，新的创新可能会放缓，这将导致攻击者在推出新的攻击策略时占据上风。因此，CISO应该主动向供应商询问裁员的细节，以及这些细节与重要安全功能的关系。安全供应商也应该主动向客户提供这类信息。

Dickson表示，当安全供应商裁员时，还需要考虑裁员的原因。网络安全厂商裁员或许并非是因为宏观经济原因。有许多高水平的、几乎是“独角兽型”的安全初创公司，他们的增长在于发现了新的需求，获得了新的资金，而增长的目标是实现某种形式的IPO活动。他们只需要表现出足够的增长，就能获得充足的风投。当经济下滑时，风投也会下滑。这个时候，如果这些厂商试图继续增长，即保障收入和支出的平衡，就会考虑裁员。

因此，当企业安全供应商开始裁员时，一定要弄清是因为风投的下降所采取的补救措施，还是其他原因。同时，还可以调查供应商员工是否存在大量自愿离职的情况，因为这往往意味着内部动荡。CISO可以考虑通过其他知情人获取信息，并要求供应商澄清原因。

在供应商大裁员期间，评估其提供的安全服务也很重要。如果只是一家保护本地基础设施的供应商，那么可能不会带来太大的影响，例如防火墙这类众所周知的产品，无论是寻求新的相关供应商还是继续合作，都不会有太大的阻力，因为这类产品已经存在超过20年了。

但如果是服务较为复杂的，实践较少的或者是针对较新的、不可预测的安全风险的供应商，其裁员可能会影响服务或产品等等。例如，如果涉及到MSSP，这些厂商的SOCs通常在没有很多额外的人员，当分析网络攻击和威胁的眼睛和大脑变少时，善于隐藏的攻击者将会藏得更久；如果涉及到SaaS技术，裁员可能会导致漏洞难以发现、修复等问题。

Thacker表示，企业想要减轻风险的最佳方法是充分掌握安全供应商提供的控制措施以及负责人。同时，为每一个关键供应商制定责任共担模型，并定期审查这些控制措施。

对于某些员工来说，面临失业往往会心怀不满，并因此报复雇主或客户。如果没有增加相应的控制措施或及时解决，可能会让甲方企业面临更高的安全风险。Skoudis表示，这些员工或许会在系统中建立后门，窃取敏感信息并在暗网上出售、屏蔽检测功能，或在产品和服务中进行其他破坏行为。在某些情况下，供应链攻击的来源是其内部人员通过后门或以其他方式破坏自己的产品和服务。

据研究表明，有45%的员工在离职前将公司数据保存、下载或发送到企业网络之外。对于部分心怀不满的员工，保存或下载数据的行为会使故意泄露和破坏数据的风险增加。对于供应商来说，即便是和员工友好分手，也需要考虑文件被删除、损坏或是知识产权被窃取等等。

在这种情况下，CISO应该要求供应商确保其能够正确、敏感、安全地处理任何裁员，并要求提供清晰有效的离职流程证明。鉴于当前供应链攻击的威胁性及破坏性，软件开发的完整性控制和代码检查非常重要，在裁员期间，供应商应该保障这些工作，以免让甲方面临更大的风险。同时，CISO也可以在裁员结束后审查供应商的安全性以避免出现类似的安全状况。

CISO还要注意的是，安全供应商有责任履行其所提供服务的合同义务，如果裁员影响了他们的服务能力，甲方有可能会陷入法律纠纷。Burn表示，如果供应商无法证明他们的产品或解决方案能够在裁员的情况下保持安全性和可用性，那么他们可能违法了合同和签订的条款。CISO应该在签订合同时注意这一点，并考虑寻找替代解决方案的供应商。

尽管安全供应商裁员可能会对企业带来巨大影响，但是还是要谨慎更换供应商。Dickon表示，不要只考虑当下，要考虑几个月或是几年后，供应商以及自身的处境，更换供应商不一定会让企业变得更加安全。

另外，在考虑转向新产品或新的供应商时，需要从各个角度衡量，例如，需要考虑更换供应商或供应商倒闭时，这两种情况下对于企业自身安全运营的影响以及对财务成本的影响。

安全供应商裁员可能会引发很多潜在的风险和麻烦，但同时也会带来新的机会。例如，供应商在高速增长时可能会快速招聘员工，这些员工或许阻碍了供应商的工作效率。因此，出于精简或提高效率等原因，某些供应商会选择裁员。

同时，甲方企业可以在供应商裁员时进行招募。有些供应商因其他原因不得不失去那些资深的安全从业者，甲方企业要把握住这类机会，对被裁员的资深人士进行招募。尤其在当下，资深的安全人士非常短缺，CISO更应该关注这些信息。

普渡科技的安全负责人李红昌表示，当安全供应商裁员时，CISO应该做好以下三点：

首先要和被裁技术人员做好交接，尤其是解决方案、工具、权限等，做好修改和配置，以免被留有后门。

其次，要求供应商的新技术人员了解企业自身的环境和配置，并尽可能与被裁人员保持好关系，避免生事。

最后，要对系统进行安全监控，尤其是裁员前的权限、非工作时间的操作日志等等。

上海非夕机器人科技有限公司CISO&DPO刘歆轶表示，在甲方的信息安全管理中，也包含对供应商的管理，其中涉及供应商的变更管理，安全厂商裁员就属于典型的供应商变更之一。

人员的变动非常有可能影响到服务的正常交付，这可以从安全产品和安全服务两部分来看：

如果厂商裁的是产品开发人员，那么很可能产品后续的更新迭代、漏洞修复、功能更新的周期会变慢；

如果裁的是安全服务人员，那么可能出现外包支持人员不足，资源无法及时调配，人员技能培训时间减少等一系列问题。

因此，当厂商发生人员变化时，应该及时通过正式渠道通知甲方，以便甲方提前做出准备，防止供应商或供应链出现问题。

某信息安全专家表示，当前，国内并没有形成良性的安全服务市场，安全厂商往往用低价或直接白送的安全服务来获取客户。甲方用户也习惯了这种方式，因此安全服务不值钱，驻场安服人员、渗透人员的薪资收入就不会上涨。

当行业变差时，甲方往往第一时间削减安全预算，当生存都出现问题时，企业往往不再考虑安全性。在这种情况下，各大厂商透支支出的安全服务也会相应减少，也势必会迎来裁员。

作为产业链的重要组成部分，安全供应商的一举一动都会波及到各个领域。对于甲方CISO来说，在面对供应商发生变革时，需要从多个角度来判断是否会对自身造成影响，同时也不要忽略其中可能带来的机会，毕竟在当下人才匮乏的网络安全行业，任何一家厂商的裁员或许都是一轮新的毕业。