Josh Fruhlinger

你是否正在尋找一些具體的數(shù)據(jù)來印證自己直覺中的網(wǎng)絡(luò)安全世界的變化？為了更好地了解網(wǎng)絡(luò)安全最新動態(tài)以及行業(yè)領(lǐng)袖們的應(yīng)對舉措，我們對大量的調(diào)查和研究報告進(jìn)行了深入的研究和分析。哪些系統(tǒng)最容易受到攻擊？哪些惡意軟件高居榜單前列？處理這些問題的專家的薪酬是多少？以下是我們的一些研究結(jié)果。

9個關(guān)鍵的網(wǎng)絡(luò)安全數(shù)據(jù)

·? 94%的惡意軟件是通過電子郵件傳播的。

·? 在已公布的網(wǎng)絡(luò)安全事件中，80%以上是由釣魚攻擊造成的。

·? 釣魚攻擊每分鐘造成的損失為17700美元。

·? 60%的與漏洞有關(guān)的侵入事件是由于沒有及時安裝補丁程序?qū)е碌摹?/p>

·? 63%的企業(yè)表示，硬件級或芯片級安全漏洞導(dǎo)致其數(shù)據(jù)在過去12個月受到了潛在的威脅。

·? 2019年上半年，物聯(lián)網(wǎng)設(shè)備遭受的攻擊數(shù)量翻了三倍。

·? 無文件攻擊在2019年上半年增長了256%。

·? 數(shù)據(jù)泄露導(dǎo)致企業(yè)每年平均損失392萬美元。

·? 40%的IT主管表示，網(wǎng)絡(luò)安全人才是最難以補充的人才。

網(wǎng)絡(luò)安全漏洞百出

無論你在討論網(wǎng)絡(luò)安全的文章中看到了多少新的漏洞和奇怪的漏洞，只有一種漏洞高居榜首。在對大量的網(wǎng)絡(luò)安全事件進(jìn)行分析之后，Verizon發(fā)現(xiàn)幾乎所有的惡意軟件都是通過電子郵件進(jìn)行傳播的（94%的惡意軟件均是如此）。

在社交工程攻擊當(dāng)中，排名第一的攻擊類型是釣魚攻擊。在已報告的網(wǎng)絡(luò)安全事件中，80%以上是由釣魚攻擊造成的，其最終目的通常是誘導(dǎo)用戶安裝惡意軟件?，F(xiàn)在，想要改善自己的網(wǎng)絡(luò)安全態(tài)勢，你應(yīng)當(dāng)知道從哪里著手了吧。（在將網(wǎng)絡(luò)釣魚攻擊理解為類似于“尼日利亞騙局”之前，你需要知道實際上40%的網(wǎng)絡(luò)釣魚攻擊的命令與控制服務(wù)器都位于美國境內(nèi)。）

當(dāng)然，這并不代表其他的網(wǎng)絡(luò)安全漏洞就不重要。國際知名的漏洞知識庫CVE（通用漏洞披露）數(shù)據(jù)庫列出了常用的系統(tǒng)和軟件中存在的11000多個可能被利用的漏洞，其中34%的漏洞直到2019年年中仍然沒有可用的補丁。編號為CVE-2017-11882的微軟公式編輯器漏洞為我們展示了用補丁程序修復(fù)漏洞后的效果。在微軟IT部門針對Windows 7升級了服務(wù)器并安裝了補丁程序后，通過該漏洞傳播的惡意軟件在幾個月內(nèi)就減少了70%。

但是據(jù)網(wǎng)絡(luò)安全公司Security Boulevard的調(diào)查顯示，僅僅有補丁程序還遠(yuǎn)遠(yuǎn)不夠，60%的與漏洞有關(guān)的侵入事件是由于沒有及時安裝補丁程序?qū)е碌摹?/p>

想要更好地了解安全漏洞，我們還必須深入研究我們的計算機，深入研究硬件與操作系統(tǒng)之間的BIOS層。據(jù)戴爾的調(diào)查報告顯示，63%的企業(yè)稱其數(shù)據(jù)在過去一年內(nèi)由于硬件級或芯片級的漏洞而受到潛在威脅。那么也就不難理解，在這份報告中只有28%的企業(yè)對其供應(yīng)商的硬件安全管理感到滿意。

最后一個值得關(guān)注的攻擊面是正在日益普及的物聯(lián)網(wǎng)設(shè)備。如今，從生產(chǎn)控制到在家里播放音樂，我們已經(jīng)越來越依賴于物聯(lián)網(wǎng)設(shè)備。盡管網(wǎng)絡(luò)安全專家一再對物聯(lián)網(wǎng)安全發(fā)出警告，但是自從Mirai僵尸網(wǎng)絡(luò)出現(xiàn)以來，物聯(lián)網(wǎng)的安全形勢一直在急劇惡化。據(jù)安全廠商F-Secure估計，僅2019年上半年針對物聯(lián)網(wǎng)設(shè)備的攻擊就翻了三倍。

惡意軟件的發(fā)展趨勢

大量的惡意軟件正在瘋狂地嘗試?yán)眠@些漏洞。安全廠商卡巴斯基表示，2019年其網(wǎng)頁殺毒平臺識別出了2461萬多個“獨特的惡意對象”，相比2018年增長了14%。此外，卡巴斯基還指出，全球近20%的互聯(lián)網(wǎng)用戶都遭受過某種程度的病毒攻擊。這些攻擊行為分布并不平均，攻擊者正變得越來越狡猾，并逐漸將重點放在了那些價值更高的目標(biāo)身上。據(jù)網(wǎng)絡(luò)安全公司Malware Bytes的數(shù)據(jù)顯示，消費者個人遭遇的惡意軟件攻擊實際上下降了2%，而企業(yè)則成為了黑客的主要目標(biāo)，針對企業(yè)的惡意軟件攻擊上升了13%。

那么在過去的一年中，哪種類型的惡意軟件最為猖獗呢？Malware Bytes指出，黑客工具型的惡意軟件的感染數(shù)量增加了224%。這種惡意軟件能夠探測系統(tǒng)和網(wǎng)絡(luò)，然后針對存在的漏洞上載大量的惡意負(fù)載。

除了上述類型，還有兩種惡意軟件也在2019年大為肆虐。一種是無文件惡意軟件（攻擊代碼僅駐留在內(nèi)存上而不將文件寫入磁盤中）。安全廠商趨勢科技稱，這類攻擊在2019年上半年增長了256%。另一種是Web Skimmer攻擊，這類攻擊增長了187%。不法分子會將代碼注入到服務(wù)器（有時甚至是在線交易的客戶端），然后竊取信用卡賬號。

此外，已困擾全球用戶五年之久的銀行木馬程序Emotet在2019年仍然在不斷演化并持續(xù)泛濫。目前其主要為傳播TrickBot等木馬程序的垃圾郵件僵尸網(wǎng)絡(luò)提供服務(wù)。網(wǎng)絡(luò)安全初創(chuàng)公司Cofense稱，僅在2019年最后一季度，Emotet就利用了290000多個被泄露的電子郵件地址傳播惡意軟件，其中包括了33000個唯一特征的惡意附件。

安全事件的代價

臭名昭著的銀行搶劫犯Willie Sutton說過，他之所以去搶銀行是因為“錢就在那兒”。Verizon的數(shù)據(jù)泄露事件報告證實，網(wǎng)絡(luò)犯罪分子也是出于同樣動機。在被公布的數(shù)據(jù)泄露事件中，有71%的動機是出于經(jīng)濟(jì)目的。顯然，網(wǎng)絡(luò)犯罪分子的所得都是守法公民的損失，這些損失累加之后的金額相當(dāng)可觀。

我們前面提到過，電子郵件和釣魚攻擊仍然是當(dāng)前惡意軟件的主要傳播方式。它們造成的損失十分驚人。據(jù)網(wǎng)絡(luò)安全初創(chuàng)公司RiskIQ估算，釣魚攻擊造成的損失每分鐘達(dá)17700美元，而這僅僅只是開始。在數(shù)據(jù)泄露事件當(dāng)中，盡管所有的受害者并不都像美國知名征信機構(gòu)Equifax那樣損失慘重，但是這些受害者通常也要蒙受很大的損失。在對500多家企業(yè)的數(shù)據(jù)泄露事件進(jìn)行了調(diào)查后，IBM發(fā)現(xiàn)受影響企業(yè)的平均財務(wù)損失，算上罰款、工時損失等，這一數(shù)字約為392萬美元。

咨詢顧問公司埃森哲也對各類網(wǎng)絡(luò)攻擊所造成的損失進(jìn)行了研究，并得出了一些結(jié)論。排名榜首的是惡意軟件，一次攻擊可給受害者造成高達(dá)260萬美元的損失。令人意外的是，臭名昭著的勒索軟件的排名幾乎墊底，平均每次攻擊“僅僅”帶來64.6萬美元的損失，而且這還包括了生產(chǎn)力損失之類的附帶成本，并不光是贖金本身。在此類攻擊中，贖金通常比我們想象的要低很多。據(jù)Data Breach Today估算，2019年第三季度勒索軟件的平均贖金為4.1萬美元。值得注意的是，不少擁有良好備份機制或者堅決不向網(wǎng)絡(luò)犯罪屈服的企業(yè)都拒絕付款，所以很多情況下贖金為零。實際上，不同國家支付贖金的受害者比例也有很大差異。在加拿大，77%的受害者選擇支付贖金，而在美國這一數(shù)字僅為3%，德國和英國介于兩者之間。

最后，我們需要知道的是，隨著法規(guī)制度對不安全和對用戶不友好的數(shù)據(jù)實踐的約束越來越嚴(yán)格，即使公司沒有被黑客攻擊，也很有可能會因為不恰當(dāng)?shù)木W(wǎng)絡(luò)安全措施而遭到經(jīng)濟(jì)處罰。谷歌去年就因為違反了歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）而不得不在法國支付了5700萬美元的罰款。

預(yù)算和優(yōu)先支出項

隨著這些潛在的損失逐步顯現(xiàn)出來，企業(yè)開始意識到必須在網(wǎng)絡(luò)安全方面投入資金以保護(hù)自身安全，并且做好相應(yīng)的預(yù)算規(guī)劃。據(jù)美國CIO.com網(wǎng)站的《2020年首席信息官現(xiàn)狀》調(diào)查顯示，34%的受訪者把安全與風(fēng)險管理視為企業(yè)IT支出的頭號推動力。

IDG的《安全優(yōu)先事項研究》為企業(yè)如何決策一些特定支出提供了深刻的洞察力。73%的受訪企業(yè)表示他們增加支出是為了與行業(yè)最佳實踐保持一致。這是一個令人感到鼓舞的結(jié)果，表明大多數(shù)企業(yè)都有意愿在安全方面增加支出。另一方面，66%的受訪企業(yè)表示他們將編列部分預(yù)算以確保公司的運營符合法律規(guī)定。盡管有觀點認(rèn)為這表明政府的強制指令符合最佳實踐，但是許多企業(yè)并不是這樣認(rèn)為。一些受訪者表示，強制性的合規(guī)要求對其戰(zhàn)略規(guī)劃的執(zhí)行來說是一種“干擾”。

在2019年，支出方面的最大變化是企業(yè)決定尋求外部支持以提升他們的網(wǎng)絡(luò)安全性。從事件響應(yīng)援助到基礎(chǔ)設(shè)施管理，托管安全服務(wù)變得越來越普及。整個2019年，此類服務(wù)的支出達(dá)到了642億美元，是基礎(chǔ)設(shè)施保護(hù)和網(wǎng)絡(luò)安全設(shè)備支出的兩倍多。Kennet Research評估認(rèn)為，這項支出在未來四年內(nèi)將以兩位數(shù)的速度增長。

此外，Kennet Research還帶來了一些不好的消息，即中小企業(yè)在網(wǎng)絡(luò)安全方面正面臨嚴(yán)峻的形勢。據(jù)一份2019年針對中小企業(yè)決策者的調(diào)查顯示，18%的受訪者把網(wǎng)絡(luò)安全列為優(yōu)先等級最低的事項。這種態(tài)度在一定程度上是由于自滿情緒導(dǎo)致的，有66%的受訪者認(rèn)為網(wǎng)絡(luò)攻擊不會發(fā)生在他們身上，而實際上67%的中小企業(yè)在2019年都遭到了網(wǎng)絡(luò)攻擊。

網(wǎng)絡(luò)安全人才極為緊缺

網(wǎng)絡(luò)安全從業(yè)人員的數(shù)量反映出一個重要信息，那就是目前網(wǎng)絡(luò)安全人才非常緊缺?！?020首席信息官現(xiàn)狀》研究報告顯示，40%的IT領(lǐng)導(dǎo)者表示，網(wǎng)絡(luò)安全人才是最難補充的。另據(jù)ISC2的一項研究顯示，網(wǎng)絡(luò)安全專業(yè)人員的失業(yè)率實際上為0%。

由于網(wǎng)絡(luò)安全至關(guān)重要且需求量很大，因此信息安全在許多企業(yè)中獲得實權(quán)并不令人感到意外。據(jù)《首席信息官現(xiàn)狀》報告顯示，54%受訪企業(yè)中在公司高層設(shè)置了首席安全官（CSO）和首席信息安全官（CISO）等安全主管職位。這些職位并不僅僅負(fù)責(zé)IT部分，超過40%的安全主管是直接向首席執(zhí)行官匯報工作的，而不是向首席信息官或其他IT高管匯報工作。（另一個有趣的現(xiàn)象也表明，高級網(wǎng)絡(luò)安全專家的需求量很大。25%的安全主管曾經(jīng)被外部公司盯上，這些公司試圖將這些安全主管挖過來。）

所有這些因素加在一起，使得網(wǎng)絡(luò)安全成為一個收入豐厚的工作。據(jù)ZipRecruiter的數(shù)據(jù)顯示，截至2020年初，一名初級網(wǎng)絡(luò)安全專家在美國的平均年薪為74340美元（這幾乎是美國全國所有初級崗位的平均收入水平的兩倍）。據(jù)Mondo的數(shù)據(jù)顯示，更為專業(yè)的工作崗位的收入更高，其中應(yīng)用程序安全工程師的年薪最高可達(dá)18萬美元，信息安全主管的年薪最高可達(dá)21.5萬美元。與我們在本文中提到的許多其他令人不安的數(shù)字不同，上述這些數(shù)字對于網(wǎng)絡(luò)安全專業(yè)人員來說應(yīng)該聽起來很順耳。

本文作者Josh Fruhlinger為作家兼編輯，現(xiàn)居于洛杉磯。

原文網(wǎng)址

https：//www.csoonline.com/article/3153707/top-cybersecurity-facts-figures-and-statistics.html