全球网络安全状况、数字及统计 (2020版) 安全资讯

admin 7月前 132

托管安全服务(MSP),从事件响应协助到基础设施管理,越来越受到市场的接受。2019年的市场规模达到了642亿美元,两倍于基础设施保护与网络安全设备的投入。未来四年内,对MSP的需求将保持两位数的增长率。

  • 94%的恶意软件通过电子邮件传播

  • 80%的安全事件是网络钓鱼引起的

  • 每分钟由于钓鱼攻击造成的损失为1.77万美元

  • 60%与漏洞有关的侵入事件,属于已经有了补丁却没有修补的情况

  • 63%的企业表示,在最近12个月内,由于硬件或芯片级别的攻击,导致数据可能已经遭受侵害

  • 2019年上半年,针对IoT设备的攻击翻了三倍,无文件攻击上升了256%

  • 平均每起数据泄露事件给企业带来的损失为392万美元

  • 40%的IT负责人表示,网络安全职位最难招人

如果想找一些统计数字来支撑对当今网络威胁环境的判断,下面的内容能够提供帮助:

一、漏洞及脆弱性

威瑞森的报告[1]显示,94%的恶意软件通过电子邮件传播,排名第一的社会工程攻击是网络钓鱼。40%的网络钓鱼,其命令与控制服务器位于美国[2]。

CVE列表中的1.1万个可利用通用系统软件漏洞,34%没有修补,虽然已经有补丁[3]。打补丁的好处,一个典型的例子就是微软公式编辑器中的一个漏洞CVE-2017-11882,在升级完系统或是打上补丁后,利用这个漏洞的恶意软件传播急剧下降了70%。好处如此明显,但仍然有60%与漏洞有关的侵入事件,属于已经有了补丁却没有修补的情况[4]。

再来看看底层硬件方面。戴尔的统计报告显示,63%的企业表示,在最近12个月内,由于硬件或芯片级别的攻击,导致数据可能已经遭受侵害,只有28%的企业对自己的硬件安全管理提供商感到满意[5]。

无所不在的IoT设备,威胁趋势更是触目惊心。尽管早在2016年爆发的Miral僵尸网络攻击,已经给业界敲响了警钟。2019年上半年,针对IoT设备的攻击还是翻了三倍[6]。

二、恶意软件趋势

卡巴斯基的统计[7]显示,其Web防病毒平台在2019年发现了2461万款恶意软件,相比于2018年14%的增长,约20%的互联网用户受到过这些恶意软件的攻击。攻击手段更加高明,而且攻击对象也开始向能够获取更大利益的目标转移。据Malware Bytes的统计[8],针对个人消费者的攻击下降了2%,但针对企业的攻击却上升了13%。而且,2019年最流行的恶意软件攻击是通过黑客工具,增长了224%。

攻击手法方面,无文件攻击持续增长。趋势科技的研究[9]显示,2019年上半年,无文件攻击上升了256%。通过注入web服务器或在线支付客户端以收集信用卡号的web skimmer攻击,则上升了187%[9]。

一款名为Emotet的银行木马,已经在全球传播了5年,并且不断变化。在2019年最后三个月里,Emotet使用了29万个被入侵的邮件地址进行传播,包含了3.3万个唯一特征的恶意附件[10]。

三、安全事件的成本

网络犯罪的最大动机就是金钱。威瑞森的数据泄露报告显示,71%的侵入都是以经济利益为目的。侵入带来的损失也是巨大的,据估计,每分钟由于钓鱼攻击造成的损失为1.77万美元[11]。但这只是冰山一角,数据泄露带来的损失更为惊人。IBM通过对500家机构的调查[12]发现,包括罚款和损失的工作时间等,每起数据泄露事件平均造成392万美元的损失。

再来看看艾森哲的研究报告[13],恶意软件攻击给受害者带来的损失,最高为260万美元。最低的是勒索软件,平均64.6万美元。值得注意的是,主要的损失不是支付赎金,而是生产率的损失。2019年第三季度,平均支付赎金只有4.1万美元[13]。但注意,这个数字是在许多机构因为有良好的备份机制,对勒索行为是零支付的情况下。有趣的是,不同的国家,受害者的行为竟然非常不同。在加拿大,77%的勒索软件受害者会支付赎金,而美国只有3%。德国与英国位居其中[14]。

最后,即便是没有被入侵也会有损失。谷歌由于违背GDPR,被法国政府罚了5700万美元[15]。

四、预算与花费

企业已经意识到网络攻击带来的严重后果,于是纷纷加强在网络安全方面的预算与投入。IDG的《2020首席信息官状况》调查报告[15]显示,34%的企业在安全与风险管理方面的投入是整个企业IT花费的最大头。

IDG的另一份调查《安全优先投入调查》[16],则展示了决策者是如何作出投入决策的。73%的受访者表示,业界的最佳实践驱动安全的投入决策,66%的受访者则把部分预算用于合规。这两个相差不多的数字,会给人一种安全需求和安全合规属于并驾齐驱的感觉。但许多受访者并不这么认为,他们认为合规的强制性反而不利于执行他们自己的安全规划,原因在于分散了他们的精力和资源。

2019年最大的安全投入趋势是,企业开始寻求外部的帮助。托管安全服务(MSP),从事件响应协助到基础设施管理,越来越受到市场的接受。2019年的市场规模达到了642亿美元,两倍于基础设施保护与网络安全设备的投入[17]。另据研究机构Kennet的估计,对MSP的需求在未来四年内将保持两位数的增长率[18]。但令人失望的是中小企业对待安全的态度,2019年Kennet对中小企业决策者的调查显示,18%的受访者把网络安全的位置排到了最后[19]。这种态度或多或少与他们的安全认识有关,66%的人认为网络攻击不大可能发生在自己身上,尽管在2019年已经有67%的中小企业遭遇过网络攻击。

五、网络安全人才

相对于网络安全威胁的严重程度不断上升的坏消息而言,当前对网络安全人才的巨大需求,是网络安全从业者的好消息。上文中提到的《2020首席信息官状况》报告显示,40%的IT负责人认为网络安全职位最难招到人。据ISC2的调查[20],网络安全从业者的失业率为零。人才紧缺问题,女性从业者可能是一个有效的补充,目前网络安全职位女性只占20%[21]。

对网络安全的迫切和关键需求,带来了安全人员地位的提升。《2020首席信息官状况》在这方面的统计,54%的受访机构有一名安全主管是C级别,如首席安全官或首席信息安全官。而且,有40%的机构安全主管直接向CEO汇报,而不是CIO或IT高管。还有一个有趣的现象,25%的安全高管受到过其他企业的邀请,请他们跳槽。

薪金方面,在美国入门级的网络安全人员平均年薪为7.4万美元,这几乎是美国的入门级工作平均薪水的两倍[22]。而更加专业的工作岗位,如应用安全工程师,则达到了年薪18万美元,信息安全经理21.5万美元[23]。

安全,大有可为。

参考资料:

[1] https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf

[2] https://cofense.com/wp-content/uploads/2020/01/Q4-2019_Malware-Trends.pdf

[3] https://www.techrepublic.com/article/cybersecurity-alert-34-of-vulnerabilities-found-this-year-remain-unpatched/

[4] https://securityboulevard.com/2019/10/60-of-breaches-in-2019-involved-unpatched-vulnerabilities/

[5] https://www.dellemc.com/en-us/collaterals/unauth/analyst-reports/solutions/dell-bios-security-the-next-frontier-for-endpoint-protection.pdf

[6] https://blog.f-secure.com/attack-landscape-h1-2019-iot-smb-traffic-abound/

[7] https://go.kaspersky.com/rs/802-IJN-240/images/KSB_2019_Statistics_EN.pdf

[8] https://resources.malwarebytes.com/files/2020/02/2020_State-of-Malware-Report.pdf

[9] https://www.darkreading.com/threat-intelligence/malware-variety-grew-by-137--in-2019/d/d-id/1336611

[10] https://cofense.com/wp-content/uploads/2020/01/Q4-2019_Malware-Trends.pdf

[11] https://www.riskiq.com/infographic/evil-internet-minute-2019/

[12] https://www.ibm.com/security/data-breach

[13] https://www.databreachtoday.com/ransomware-average-ransom-payout-increases-to-41000-a-13333

[14] https://phoenixnap.com/blog/ransomware-statistics-facts

[15] https://techcrunch.com/2019/01/21/french-data-protection-watchdog-fines-google-57-million-under-the-gdpr/

[15] https://www.idg.com/tools-for-marketers/2020-state-of-the-cio/

[16] https://www.idg.com/tools-for-marketers/2019-security-priorities-study/

[17] https://securityintelligence.com/articles/11-stats-on-ciso-spending-to-inform-your-2020-cybersecurity-budget/

[18] https://www.marketwatch.com/press-release/datasheet-on-global-cybersecurity-market-overview-and-scope-industry-trendssize-and-forecast-report-by-2023-2019-09-23

[19] https://www.keepersecurity.com/blog/2019/07/24/cyber-mindset-exposed-keeper-unveils-its-2019-smb-cyberthreat-study/

[20] https://www.ciodive.com/news/0-unemployment-rate-and-5-other-numbers-you-need-to-know-about-cybersecuri/566779/

[21] https://cybersecurityventures.com/women-in-cybersecurity/

[22] https://www.ziprecruiter.com/Salaries/Entry-Level-Cyber-Security-Salary

[23] https://www.mondo.com/blog-highest-paid-cybersecurity-jobs/

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。


少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者admin少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者admin少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:研究发现微软Edge浏览器会共享隐私遥测数据
下一篇:研究人员在Pwn2Own 2020上破解Windows,Ubuntu,macOS
Whatever is worth doing is worth doing well. juvenile hacker league
最新回复 (0)
    • 少客联盟
      2
        登录 注册 QQ登录(停用)
返回