94%的恶意软件通过电子邮件传播
80%的安全事件是网络钓鱼引起的
每分钟由于钓鱼攻击造成的损失为1.77万美元
60%与漏洞有关的侵入事件,属于已经有了补丁却没有修补的情况
63%的企业表示,在最近12个月内,由于硬件或芯片级别的攻击,导致数据可能已经遭受侵害
2019年上半年,针对iot设备的攻击翻了三倍,无文件攻击上升了256%
平均每起数据泄露事件给企业带来的损失为392万美元
40%的it负责人表示,网络安全职位最难招人
如果想找一些统计数字来支撑对当今网络威胁环境的判断,下面的内容能够提供帮助:
一、漏洞及脆弱性
威瑞森的报告[1]显示,94%的恶意软件通过电子邮件传播,排名第一的社会工程攻击是网络钓鱼。40%的网络钓鱼,其命令与控制服务器位于美国[2]。
cve列表中的1.1万个可利用通用系统软件漏洞,34%没有修补,虽然已经有补丁[3]。打补丁的好处,一个典型的例子就是微软公式编辑器中的一个漏洞cve-2017-11882,在升级完系统或是打上补丁后,利用这个漏洞的恶意软件传播急剧下降了70%。好处如此明显,但仍然有60%与漏洞有关的侵入事件,属于已经有了补丁却没有修补的情况[4]。
再来看看底层硬件方面。戴尔的统计报告显示,63%的企业表示,在最近12个月内,由于硬件或芯片级别的攻击,导致数据可能已经遭受侵害,只有28%的企业对自己的硬件安全管理提供商感到满意[5]。
无所不在的iot设备,威胁趋势更是触目惊心。尽管早在2016年爆发的miral僵尸网络攻击,已经给业界敲响了警钟。2019年上半年,针对iot设备的攻击还是翻了三倍[6]。
二、恶意软件趋势
卡巴斯基的统计[7]显示,其web防病毒平台在2019年发现了2461万款恶意软件,相比于2018年14%的增长,约20%的互联网用户受到过这些恶意软件的攻击。攻击手段更加高明,而且攻击对象也开始向能够获取更大利益的目标转移。据malware bytes的统计[8],针对个人消费者的攻击下降了2%,但针对企业的攻击却上升了13%。而且,2019年最流行的恶意软件攻击是通过黑客工具,增长了224%。
攻击手法方面,无文件攻击持续增长。趋势科技的研究[9]显示,2019年上半年,无文件攻击上升了256%。通过注入web服务器或在线支付客户端以收集信用卡号的web skimmer攻击,则上升了187%[9]。
一款名为emotet的银行木马,已经在全球传播了5年,并且不断变化。在2019年最后三个月里,emotet使用了29万个被入侵的邮件地址进行传播,包含了3.3万个唯一特征的恶意附件[10]。
三、安全事件的成本
网络犯罪的最大动机就是金钱。威瑞森的数据泄露报告显示,71%的侵入都是以经济利益为目的。侵入带来的损失也是巨大的,据估计,每分钟由于钓鱼攻击造成的损失为1.77万美元[11]。但这只是冰山一角,数据泄露带来的损失更为惊人。ibm通过对500家机构的调查[12]发现,包括罚款和损失的工作时间等,每起数据泄露事件平均造成392万美元的损失。
再来看看艾森哲的研究报告[13],恶意软件攻击给受害者带来的损失,最高为260万美元。最低的是勒索软件,平均64.6万美元。值得注意的是,主要的损失不是支付赎金,而是生产率的损失。2019年第三季度,平均支付赎金只有4.1万美元[13]。但注意,这个数字是在许多机构因为有良好的备份机制,对勒索行为是零支付的情况下。有趣的是,不同的国家,受害者的行为竟然非常不同。在加拿大,77%的勒索软件受害者会支付赎金,而美国只有3%。德国与英国位居其中[14]。
最后,即便是没有被入侵也会有损失。谷歌由于违背gdpr,被法国政府罚了5700万美元[15]。
四、预算与花费
企业已经意识到网络攻击带来的严重后果,于是纷纷加强在网络安全方面的预算与投入。idg的《2020首席信息官状况》调查报告[15]显示,34%的企业在安全与风险管理方面的投入是整个企业it花费的最大头。
idg的另一份调查《安全优先投入调查》[16],则展示了决策者是如何作出投入决策的。73%的受访者表示,业界的最佳实践驱动安全的投入决策,66%的受访者则把部分预算用于合规。这两个相差不多的数字,会给人一种安全需求和安全合规属于并驾齐驱的感觉。但许多受访者并不这么认为,他们认为合规的强制性反而不利于执行他们自己的安全规划,原因在于分散了他们的精力和资源。
2019年最大的安全投入趋势是,企业开始寻求外部的帮助。托管安全服务(msp),从事件响应协助到基础设施管理,越来越受到市场的接受。2019年的市场规模达到了642亿美元,两倍于基础设施保护与网络安全设备的投入[17]。另据研究机构kennet的估计,对msp的需求在未来四年内将保持两位数的增长率[18]。但令人失望的是中小企业对待安全的态度,2019年kennet对中小企业决策者的调查显示,18%的受访者把网络安全的位置排到了最后[19]。这种态度或多或少与他们的安全认识有关,66%的人认为网络攻击不大可能发生在自己身上,尽管在2019年已经有67%的中小企业遭遇过网络攻击。
五、网络安全人才
相对于网络安全威胁的严重程度不断上升的坏消息而言,当前对网络安全人才的巨大需求,是网络安全从业者的好消息。上文中提到的《2020首席信息官状况》报告显示,40%的it负责人认为网络安全职位最难招到人。据isc2的调查[20],网络安全从业者的失业率为零。人才紧缺问题,女性从业者可能是一个有效的补充,目前网络安全职位女性只占20%[21]。
对网络安全的迫切和关键需求,带来了安全人员地位的提升。《2020首席信息官状况》在这方面的统计,54%的受访机构有一名安全主管是c级别,如首席安全官或首席信息安全官。而且,有40%的机构安全主管直接向ceo汇报,而不是cio或it高管。还有一个有趣的现象,25%的安全高管受到过其他企业的邀请,请他们跳槽。
薪金方面,在美国入门级的网络安全人员平均年薪为7.4万美元,这几乎是美国的入门级工作平均薪水的两倍[22]。而更加专业的工作岗位,如应用安全工程师,则达到了年薪18万美元,信息安全经理21.5万美元[23]。
安全,大有可为。
参考资料:
[1] https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf
[2] https://cofense.com/wp-content/uploads/2020/01/q4-2019_malware-trends.pdf
[3] https://www.techrepublic.com/article/cybersecurity-alert-34-of-vulnerabilities-found-this-year-remain-unpatched/
[4] https://securityboulevard.com/2019/10/60-of-breaches-in-2019-involved-unpatched-vulnerabilities/
[5] https://www.dellemc.com/en-us/collaterals/unauth/analyst-reports/solutions/dell-bios-security-the-next-frontier-for-endpoint-protection.pdf
[6] https://blog.f-secure.com/attack-landscape-h1-2019-iot-smb-traffic-abound/
[7] https://go.kaspersky.com/rs/802-ijn-240/images/ksb_2019_statistics_en.pdf
[8] https://resources.malwarebytes.com/files/2020/02/2020_state-of-malware-report.pdf
[9] https://www.darkreading.com/threat-intelligence/malware-variety-grew-by-137--in-2019/d/d-id/1336611
[10] https://cofense.com/wp-content/uploads/2020/01/q4-2019_malware-trends.pdf
[11] https://www.riskiq.com/infographic/evil-internet-minute-2019/
[12] https://www.ibm.com/security/data-breach?cm_mmc=osocial_blog-_-security_optimize the security program-_-ww_ww-_-codb2019blog_ov70891&cm_mmca1=000000nj&cm_mmca2=10000253&_ga=2.120033672.1876126012.1582597382-1520789394.1582597382&cm_mc_uid=80291023292215825973820&cm_mc_sid_50200000=34095871582696857714&cm_mc_sid_52640000=51761481582696857719
[13] https://www.databreachtoday.com/ransomware-average-ransom-payout-increases-to-41000-a-13333
[14] https://phoenixnap.com/blog/ransomware-statistics-facts
[15] https://techcrunch.com/2019/01/21/french-data-protection-watchdog-fines-google-57-million-under-the-gdpr/
[15] https://www.idg.com/tools-for-marketers/2020-state-of-the-cio/
[16] https://www.idg.com/tools-for-marketers/2019-security-priorities-study/
[17] https://securityintelligence.com/articles/11-stats-on-ciso-spending-to-inform-your-2020-cybersecurity-budget/
[18] https://www.marketwatch.com/press-release/datasheet-on-global-cybersecurity-market-overview-and-scope-industry-trendssize-and-forecast-report-by-2023-2019-09-23
[19] https://www.keepersecurity.com/blog/2019/07/24/cyber-mindset-exposed-keeper-unveils-its-2019-smb-cyberthreat-study/
[20] https://www.ciodive.com/news/0-unemployment-rate-and-5-other-numbers-you-need-to-know-about-cybersecuri/566779/
[21] https://cybersecurityventures.com/women-in-cybersecurity/
[22] https://www.ziprecruiter.com/salaries/entry-level-cyber-security-salary
[23] https://www.mondo.com/blog-highest-paid-cybersecurity-jobs/
关键词:恶意软件;网络安全人才;
试用申请