Josh Fruhlinger 陳琳華

來自研究和調(diào)查的具體數(shù)字可讓我們對網(wǎng)絡安全狀況有個直觀的了解。

你是否正在尋找具體數(shù)字來支持自己對網(wǎng)絡安全世界的感覺？對此，我們找到了一些研究調(diào)查，通過這些威脅以及IT專業(yè)人員的應對舉措來幫助大家了解這個領域。

勒索軟件威脅下降，加密貨幣挖礦（cryptomining）上升為頂級威脅

隨著去年NotPetya的爆發(fā)，加密用戶的文件并要求用比特幣支付贖金來恢復它們的勒索軟件成為了2017年最受關注的惡意軟件形式。然而與此同時，惡意軟件的實際感染率從年中開始大幅下降，直到2017年12月，它們的感染率僅為10%左右。

到底發(fā)生了什么呢？似乎攻擊者已經(jīng)發(fā)現(xiàn)用蜂蜜可以比用醋捕獲到更多的蒼蠅，因此他們不再要求受害者支付比特幣贖金，而是在受害者沒有察覺的情況下悄悄在受害者的電腦里安裝比特幣挖礦軟件。到2018年初，90%的遠程代碼執(zhí)行攻擊都與加密貨幣挖礦有關。

電子郵件仍然是頭疼的問題

你是否已經(jīng)厭倦了不斷提醒公司工作人員不要點擊任何老郵件中的附件？我們擔心你可能不得不堅持下去，因為根據(jù)Verizon的《2018年數(shù)據(jù)泄露調(diào)查》報告顯示，92%的惡意軟件仍然是通過電子郵件發(fā)送的。

在電子郵件惡意軟件感染中，最常見的方法之一是通過網(wǎng)絡釣魚攻擊。這種攻擊如今正變得越來越具有針對性。安全專家已經(jīng)注意到了這一趨勢。在《2018年CyberArk全球高級威脅態(tài)勢報告》對1300名IT安全決策者進行的調(diào)查中，有56%的人表示有針對性的網(wǎng)絡釣魚攻擊是他們面臨的最大安全威脅。

無文件攻擊正在增加

在惡意軟件以.exe文件附加在電子郵件中的階段，防病毒程序可以輕易評估和阻止這些文件。這種方式已經(jīng)過時了。如今，所謂的無文件惡意軟件正變得越來越普遍。無文件攻擊是利用已安裝在受害者計算機上的軟件，而不是嘗試下載大型的可執(zhí)行文件。例如，它們可能會在瀏覽器插件中執(zhí)行，如Microsoft Office宏，或是利用服務器程序中的漏洞注入惡意的可執(zhí)行代碼，就像Equifax數(shù)據(jù)泄露那樣。據(jù)Ponemon Institute的《終端安全風險狀況報告》顯示，2017年77%的攻擊都是無文件的攻擊。

無事可做的代價極為昂貴

有時很難向管理層解釋在受到網(wǎng)絡攻擊時企業(yè)的確切損失。畢竟，除非實際盜竊（或支付贖金），否則資金不會從違規(guī)企業(yè)的銀行賬戶中流出，那么最重要的東西是什么呢？Ponemon在其關于勒索軟件真實成本的報告中提供了一種思考方式，即對企業(yè)資產(chǎn)負債表的最大打擊是迫使員工無事可做，因為受到破壞的網(wǎng)絡和無法正常使用的計算機實際上是無法用于工作的。Ponemon將單次攻擊的平均損失限定為500萬美元，其中125萬美元（占總數(shù)的四分之一）是系統(tǒng)宕機損失，另外150萬美元（占30%）是IT和最終用戶的生產(chǎn)力損失。

數(shù)據(jù)泄露事件仍不斷出現(xiàn)

你可能無法阻止對基礎設施的所有攻擊。這就是為什么必須確定已出現(xiàn)的數(shù)據(jù)泄露事件并盡快修復漏洞的原因。在這方面，事情似乎基本上沒有什么改善。Ponemon的《2017年數(shù)據(jù)泄露成本》研究發(fā)現(xiàn)，企業(yè)平均可在191天內(nèi)發(fā)現(xiàn)數(shù)據(jù)泄露事件。這數(shù)字可能聽起來令人十分震驚——超過六個月！然而這已經(jīng)比2016年略有好轉(zhuǎn)，2016年為201天。

政府監(jiān)管逐漸受到認可

在企業(yè)中，通常很少有人對政府的法規(guī)有好感。但Thales的《2018年數(shù)據(jù)威脅報告》稱，在保護敏感數(shù)據(jù)方面，企業(yè)還是對監(jiān)管機構(gòu)表示認可的。據(jù)Thales的調(diào)查顯示，全球64%的受訪者（74%的受訪者在美國境內(nèi)）認為在確保數(shù)據(jù)安全方面遵守合規(guī)要求是“非?！被颉皹O為”有效的方式。這也許就解釋了個中原因?！?018年IDG安全優(yōu)先事項研究》顯示，69%的企業(yè)認為合規(guī)性要求會推動支出。

遵守GDPR需要付出巨額費用

也就是說，合規(guī)性的費用是昂貴的，特別是在所有數(shù)據(jù)法規(guī)的始祖——歐盟《通用數(shù)據(jù)保護條例》（GDPR）出現(xiàn)之后。在2017年，普華永道對在歐盟開展業(yè)務的美國、英國和日本企業(yè)中300名技術(shù)高管進行的一項調(diào)查中發(fā)現(xiàn)，幾乎所有人（88%）都表示其所在企業(yè)在為遵守2018年5月實施的GDPR的準備過程中花費了超過100萬美元。40%的受訪者表示他們的花費高達1000萬美元甚至更多。所有這些支出對某些人來說是好事。該調(diào)查還顯示，69%的高管計劃雇用外部技術(shù)公司來幫助他們遵守這些法規(guī)。

安全性是否獨立？

你的企業(yè)是否在高級管理層中設有安全主管，如果有，那么他們需要向誰報告？這個問題不僅涉及高層級的辦公室政治，還涉及到誰在企業(yè)里做什么，以及他們?nèi)绾魏献鬟@一核心。例如，在《2018年IDG安全優(yōu)先級研究》中，75%的受訪企業(yè)將安全和IT團隊劃歸同一部門，25%的企業(yè)擁有獨立的安全部門。但是，如果一家企業(yè)擁有專職的首席安全官或首席信息安全官，那么他們更有可能將安全問題分散到這些企業(yè)的單獨部門中。調(diào)查顯示，在這種企業(yè)中，40%的時間會出現(xiàn)上述情況。

工業(yè)控制系統(tǒng)易受攻擊

工業(yè)控制系統(tǒng)，尤其是為制造工廠和核電站等各種智能設備提供智能的專用計算機硬軟件，對于黑客來說一直是具有誘惑力的目標。根據(jù)《2017年關于工業(yè)網(wǎng)絡安全的業(yè)務優(yōu)勢報告》，54%的企業(yè)在過去12個月內(nèi)出現(xiàn)過工業(yè)控制系統(tǒng)安全事故，其中16%出現(xiàn)過三次或更多。

那么可能的原因是什么呢？沒有將足夠的注意力放在到底該控制哪些人能夠訪問這些關鍵系統(tǒng)。該報告發(fā)現(xiàn)，55%的抽樣企業(yè)允許外部各方（如合作伙伴或服務提供商）訪問其工業(yè)控制網(wǎng)絡。

物聯(lián)網(wǎng)系統(tǒng)也是如此

接入互聯(lián)網(wǎng)的工業(yè)控制系統(tǒng)代表了物聯(lián)網(wǎng)的第一波浪潮。如今那里已經(jīng)擁有數(shù)以百萬計的物聯(lián)網(wǎng)設備，這意味著你需要保護這些對黑客來說極具誘惑力的龐大攻擊面。在物聯(lián)網(wǎng)安全方面，Trustwave公布的2018年報告給出了一些令人沮喪的數(shù)字：

●? 64%的受訪企業(yè)已部署了物聯(lián)網(wǎng)設備，另有20%的受訪企業(yè)計劃在明年部署這些設備

●? 但只有28%的企業(yè)認為他們的物聯(lián)網(wǎng)安全策略“非常重要”，超過三分之一的企業(yè)認為只是有點重要，或者根本不重要

考慮到這兩個事實，你還會對61%的受訪者遇到過物聯(lián)網(wǎng)安全事件而感到震驚嗎？

我們正變得更加積極主動

在文章的最后，我們還是對未來充滿希望的。讓我們通過《2018年IDG安全優(yōu)先事項研究》看看推動安全支出的因素都有哪些。（受訪者可以選擇多個因素，這就是為什么這些因素加起來會超過100%。）

●? 74%：最佳實踐

●? 69%：合規(guī)要求

●? 36%：對自己企業(yè)中發(fā)生的安全事件做出響應

●? 33%：董事會授權(quán)

●? 29%：對發(fā)生在其他企業(yè)中的安全事件做出響應

為什么我們說這是有希望的呢？因為公司如今正根據(jù)未來規(guī)劃和法規(guī)中的指導方針主動提高自己的安全支出，而不是事后追加開支，被動應對這些攻擊。信息安全官還能要求什么呢？