- 94%的惡意軟件通過電子郵件傳播
- 80%的安全事件是網絡釣魚引起的
- 每分鐘由於釣魚攻擊造成的損失為1.77萬美元
- 60%與漏洞有關的侵入事件,屬於已經有了補丁卻沒有修補的情況
- 63%的企業表示,在最近12個月內,由於硬件或芯片級別的攻擊,導致數據可能已經遭受侵害
- 2019年上半年,針對IoT設備的攻擊翻了三倍,無文件攻擊上升了256%
- 平均每起數據洩露事件給企業帶來的損失為392萬美元
- 40%的IT負責人表示,網絡安全職位最難招人
如果想找一些統計數字來支撐對當今網絡威脅環境的判斷,下面的內容能夠提供幫助:
一、漏洞及脆弱性
威瑞森的報告[1]顯示,94%的惡意軟件通過電子郵件傳播,排名第一的社會工程攻擊是網絡釣魚。40%的網絡釣魚,其命令與控制服務器位於美國[2]。
CVE列表中的1.1萬個可利用通用系統軟件漏洞,34%沒有修補,雖然已經有補丁[3]。打補丁的好處,一個典型的例子就是微軟公式編輯器中的一個漏洞CVE-2017-11882,在升級完系統或是打上補丁後,利用這個漏洞的惡意軟件傳播急劇下降了70%。好處如此明顯,但仍然有60%與漏洞有關的侵入事件,屬於已經有了補丁卻沒有修補的情況[4]。
再來看看底層硬件方面。戴爾的統計報告顯示,63%的企業表示,在最近12個月內,由於硬件或芯片級別的攻擊,導致數據可能已經遭受侵害,只有28%的企業對自己的硬件安全管理提供商感到滿意[5]。
無所不在的IoT設備,威脅趨勢更是觸目驚心。儘管早在2016年爆發的Miral殭屍網絡攻擊,已經給業界敲響了警鐘。2019年上半年,針對IoT設備的攻擊還是翻了三倍[6]。
二、惡意軟件趨勢
卡巴斯基的統計[7]顯示,其Web防病毒平臺在2019年發現了2461萬款惡意軟件,相比於2018年14%的增長,約20%的互聯網用戶受到過這些惡意軟件的攻擊。攻擊手段更加高明,而且攻擊對象也開始向能夠獲取更大利益的目標轉移。據Malware Bytes的統計[8],針對個人消費者的攻擊下降了2%,但針對企業的攻擊卻上升了13%。而且,2019年最流行的惡意軟件攻擊是通過黑客工具,增長了224%。
攻擊手法方面,無文件攻擊持續增長。趨勢科技的研究[9]顯示,2019年上半年,無文件攻擊上升了256%。通過注入web服務器或在線支付客戶端以收集信用卡號的web skimmer攻擊,則上升了187%[9]。
一款名為Emotet的銀行木馬,已經在全球傳播了5年,並且不斷變化。在2019年最後三個月裡,Emotet使用了29萬個被入侵的郵件地址進行傳播,包含了3.3萬個唯一特徵的惡意附件[10]。
三、安全事件的成本
網絡犯罪的最大動機就是金錢。威瑞森的數據洩露報告顯示,71%的侵入都是以經濟利益為目的。侵入帶來的損失也是巨大的,據估計,每分鐘由於釣魚攻擊造成的損失為1.77萬美元[11]。但這只是冰山一角,數據洩露帶來的損失更為驚人。IBM通過對500家機構的調查[12]發現,包括罰款和損失的工作時間等,每起數據洩露事件平均造成392萬美元的損失。
再來看看艾森哲的研究報告[13],惡意軟件攻擊給受害者帶來的損失,最高為260萬美元。最低的是勒索軟件,平均64.6萬美元。值得注意的是,主要的損失不是支付贖金,而是生產率的損失。2019年第三季度,平均支付贖金只有4.1萬美元[13]。但注意,這個數字是在許多機構因為有良好的備份機制,對勒索行為是零支付的情況下。有趣的是,不同的國家,受害者的行為竟然非常不同。在加拿大,77%的勒索軟件受害者會支付贖金,而美國只有3%。德國與英國位居其中[14]。
最後,即便是沒有被入侵也會有損失。谷歌由於違背GDPR,被法國政府罰了5700萬美元[15]。
四、預算與花費
企業已經意識到網絡攻擊帶來的嚴重後果,於是紛紛加強在網絡安全方面的預算與投入。IDG的《2020首席信息官狀況》調查報告[15]顯示,34%的企業在安全與風險管理方面的投入是整個企業IT花費的最大頭。
IDG的另一份調查《安全優先投入調查》[16],則展示了決策者是如何作出投入決策的。73%的受訪者表示,業界的最佳實踐驅動安全的投入決策,66%的受訪者則把部分預算用於合規。這兩個相差不多的數字,會給人一種安全需求和安全合規屬於並駕齊驅的感覺。但許多受訪者並不這麼認為,他們認為合規的強制性反而不利於執行他們自己的安全規劃,原因在於分散了他們的精力和資源。
2019年最大的安全投入趨勢是,企業開始尋求外部的幫助。託管安全服務(MSP),從事件響應協助到基礎設施管理,越來越受到市場的接受。2019年的市場規模達到了642億美元,兩倍於基礎設施保護與網絡安全設備的投入[17]。另據研究機構Kennet的估計,對MSP的需求在未來四年內將保持兩位數的增長率[18]。但令人失望的是中小企業對待安全的態度,2019年Kennet對中小企業決策者的調查顯示,18%的受訪者把網絡安全的位置排到了最後[19]。這種態度或多或少與他們的安全認識有關,66%的人認為網絡攻擊不大可能發生在自己身上,儘管在2019年已經有67%的中小企業遭遇過網絡攻擊。
五、網絡安全人才
相對於網絡安全威脅的嚴重程度不斷上升的壞消息而言,當前對網絡安全人才的巨大需求,是網絡安全從業者的好消息。上文中提到的《2020首席信息官狀況》報告顯示,40%的IT負責人認為網絡安全職位最難招到人。據ISC2的調查[20],網絡安全從業者的失業率為零。人才緊缺問題,女性從業者可能是一個有效的補充,目前網絡安全職位女性只佔20%[21]。
對網絡安全的迫切和關鍵需求,帶來了安全人員地位的提升。《2020首席信息官狀況》在這方面的統計,54%的受訪機構有一名安全主管是C級別,如首席安全官或首席信息安全官。而且,有40%的機構安全主管直接向CEO彙報,而不是CIO或IT高管。還有一個有趣的現象,25%的安全高管受到過其他企業的邀請,請他們跳槽。
薪金方面,在美國入門級的網絡安全人員平均年薪為7.4萬美元,這幾乎是美國的入門級工作平均薪水的兩倍[22]。而更加專業的工作崗位,如應用安全工程師,則達到了年薪18萬美元,信息安全經理21.5萬美元[23]。
安全,大有可為。
[1] https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf
[2] https://cofense.com/wp-content/uploads/2020/01/Q4-2019_Malware-Trends.pdf
[3] https://www.techrepublic.com/article/cybersecurity-alert-34-of-vulnerabilities-found-this-year-remain-unpatched/
[4] https://securityboulevard.com/2019/10/60-of-breaches-in-2019-involved-unpatched-vulnerabilities/
[5] https://www.dellemc.com/en-us/collaterals/unauth/analyst-reports/solutions/dell-bios-security-the-next-frontier-for-endpoint-protection.pdf
[6] https://blog.f-secure.com/attack-landscape-h1-2019-iot-smb-traffic-abound/
[7] https://go.kaspersky.com/rs/802-IJN-240/images/KSB_2019_Statistics_EN.pdf
[8] https://resources.malwarebytes.com/files/2020/02/2020_State-of-Malware-Report.pdf
[9] https://www.darkreading.com/threat-intelligence/malware-variety-grew-by-137--in-2019/d/d-id/1336611
[10] https://cofense.com/wp-content/uploads/2020/01/Q4-2019_Malware-Trends.pdf
[11] https://www.riskiq.com/infographic/evil-internet-minute-2019/
[12] https://www.ibm.com/security/data-breach?cm_mmc=OSocial_Blog-_-Security_Optimize+the+Security+Program-_-WW_WW-_-CODB2019Blog_ov70891&cm_mmca1=000000NJ&cm_mmca2=10000253&_ga=2.120033672.1876126012.1582597382-1520789394.1582597382&cm_mc_uid=80291023292215825973820&cm_mc_sid_50200000=34095871582696857714&cm_mc_sid_52640000=51761481582696857719
[13] https://www.databreachtoday.com/ransomware-average-ransom-payout-increases-to-41000-a-13333
[14] https://phoenixnap.com/blog/ransomware-statistics-facts
[15] https://techcrunch.com/2019/01/21/french-data-protection-watchdog-fines-google-57-million-under-the-gdpr/
[15] https://www.idg.com/tools-for-marketers/2020-state-of-the-cio/
[16] https://www.idg.com/tools-for-marketers/2019-security-priorities-study/
[17] https://securityintelligence.com/articles/11-stats-on-ciso-spending-to-inform-your-2020-cybersecurity-budget/
[18] https://www.marketwatch.com/press-release/datasheet-on-global-cybersecurity-market-overview-and-scope-industry-trendssize-and-forecast-report-by-2023-2019-09-23
[19] https://www.keepersecurity.com/blog/2019/07/24/cyber-mindset-exposed-keeper-unveils-its-2019-smb-cyberthreat-study/
[20] https://www.ciodive.com/news/0-unemployment-rate-and-5-other-numbers-you-need-to-know-about-cybersecuri/566779/
[21] https://cybersecurityventures.com/women-in-cybersecurity/
[22] https://www.ziprecruiter.com/Salaries/Entry-Level-Cyber-Security-Salary
[23] https://www.mondo.com/blog-highest-paid-cybersecurity-jobs/
關鍵詞:惡意軟件;網絡安全人才;
閱讀更多 數世諮詢 的文章
