2023年对企业网络安全人士并不友好:数字化转型深入、攻击面快速增长,人工智能技术爆发,网络犯罪正在成为第三大“经济体”,地缘政治和战争进一步加剧技术去中立化和巴尔干化,黑客攻击技术日趋复杂化和“民主化”,而企业网络安全预算和人力资源却拙荆见肘。

面对雨后春笋般快速增长的安全威胁,企业网络安全人士只有聚焦关键业务需求、关键威胁趋势才能制定有效的网络安全计划。

以下,我们整理了2023年全球数十位安全专家关注的34个关键统计数据,涉及网络犯罪、职业发展和威胁趋势,希望能为广大网络安全人士制定2023年安全计划提供参考。

数据安全(1-10)

到2025年,人类的数据总量将达到175ZB,这些数据包括从流媒体视频和约会应用程序到医疗数据库,数据安全的重要性和面临的威胁正同步增长。

1.供应链攻击将影响近半数企业。过去几年没有比供应链攻击危害更大的安全威胁了。例如开源世界中软件管理供应商SolarWinds和Log4j的漏洞,使全球的组织面临风险。分析公司Gartner预测,到2025年,45%的全球组织将以某种方式受到供应链攻击的影响。

2.漏洞数量持续增长。HackerOne 2022“黑客驱动的安全报告”发现,道德黑客仅在2022年就能够发现超过65,000个漏洞,比2021年增加21%。

3.防御技术跟不上攻击技术的发展。根据世界经济论坛“2022年全球风险报告”,网络犯罪份子的攻击技术和策略日趋复杂,企业、政府和个人采取的网络安全措施越来越过时。

4.2023年网络犯罪造成的损失将高达8万亿美元。根据由eSentire赞助的Cybersecurity Ventures的“2022年官方网络犯罪报告”,网络犯罪的成本预计到2023年将达到8万亿美元,到2025年将增长到10.5万亿美元。

5.身份欺诈损失高达520亿美元(美国)。虽然企业试图保护自己的敏感文件免受攻击,但客户信息却存储在世界各地易受攻击的数据库中。根据Javelin Strategy &Research的“2022年身份欺诈研究:虚拟战场”,身份欺诈损失总计520亿美元,影响了4200万美国成年人。

6.数据泄漏平均检测时间为277天。根据IBM和Ponemon Institute发布的一份报告“2022年数据泄露成本”,安全团队平均需要277天才能识别和控制数据泄露。

7.加密劫持快速增长。根据卡巴斯基实验室的数据,加密劫持非常普遍,到2022年将增长230%。

8.加密劫持月入1600美元。卡巴斯基同一项研究显示,大多数黑客从加密劫持中赚取的金额不定,平均每月约1600美元。

9.凭证数据泄漏成本远高于普通数据泄漏。根据IBM的“2022年数据泄露成本”报告,涉及凭证丢失或被盗的数据泄露需要更长的时间来识别,并且比普通数据泄露造成的成本高出150,000美元。

10.网络犯罪投诉量创新高。FBI的互联网犯罪投诉中心报告称,2021年的投诉量为847,376件,创历史新高。这些投诉造成的总损失超过69亿美元。

重大网络安全威胁(11-17)

安全威胁有很多种。安全事件并不一定意味着数据已经泄露,有时只是数据面临威胁。最主要的安全威胁类型分别是:恶意软件、勒索软件、社会工程、网络钓鱼、凭据盗窃和分布式拒绝服务(DDoS)攻击:

11.82%的数据泄漏源自人为因素。根据Verizon“2022年数据泄露调查报告”,82%的数据泄露的根本原因是人为因素。人为因素在网络钓鱼攻击和被盗凭证中扮演着重要角色。网络钓鱼通常通过电子邮件、短信和协作工具和社交媒体进行,诱使用户点击恶意链接或交出敏感信息。

12.移动恶意软件感染数量锐减。根据卡巴斯基实验室的一份报告,2022年第三季度移动恶意软件感染数量锐减至560万。

13.勒索软件威胁持续增长。勒索软件攻击是所有行业和企业面临的共同威胁,而且只会越来越严重。卡巴斯基实验室报显示,在2022年前10个月,受针对性勒索软件影响的用户比例翻了一番。

14.网络钓鱼攻击暴增。根据SlashNext的“2022年网络钓鱼状况”报告,2022年网络钓鱼攻击增加了61%。反网络钓鱼工作组(APWG)报告称,在2022年第三季度总共观察到300万次网络钓鱼攻击,这是该组织观察到的最糟糕的一个季度。

15.预付费欺诈卷土重来。根据APWG的数据,预付费欺诈诈骗在2022年最有害的电子邮件攻击类型中再次出现,该诈骗在2022年第三季度增长了1,000%以上。在预付费用欺诈骗局中,如果毫无戒心的用户能够预先支付预付费用,攻击者就会得到一笔意外之财。

16.DDoS攻击带宽增加。2022年最大的DDoS攻击之一是Cloudflare在今年第三季度报告的2.5 Tbps攻击。根据Netscout的2022年《DDoS威胁情报报告》,2022年上半年的最大DDoS攻击带宽较2021年下半年增长57%至957.9 Gbps,全球攻击总数超过600万次。在全球范围内,亚太地区的攻击频率实际上减少了9%。相比之下,北美的DDoS攻击频率增加了2%。

17.勒索DDoS呈上升趋势。Cloudflare还报告了勒索赎金的DDoS攻击呈上升趋势,到2022年同比增长67%。勒索DDoS攻击者声称他们只有在收到赎金后才会停止攻击。

网络犯罪带来的损失(18-24)

网络犯罪活动可能会影响企业多年。与网络攻击相关的成本,包括诉讼、保险费率上涨、刑事调查和负面报道,可能会使公司迅速倒闭。

18.数据泄漏成本飙升,安全意识培训是数据安全战略的重点之一。根据埃森哲的《2021年网络安全弹性状况》报告,数据泄露的成本将从每年3万亿美元增加到2024年的5万亿美元以上。

维持企业网络安全弹性和数据安全的关键是确保非网络安全员工知道安全如何识别和应对安全威胁。建立安全意识培训计划是任何公司安全战略的必要组成部分。从员工到CEO,企业成员经常被网络钓鱼电子邮件淹没。当企业环境中有移动和物联网设备时,必须制定移动事件响应计划。

19.单次攻击损失暴增。根据《2022年Hiscox网络就绪报告》,2022年单次攻击(无论是数据泄露、恶意软件、勒索软件还是DDoS攻击)给美国公司造成的损失中位数为18,000美元,高于2021年的10,000美元,其中47%的美国企业在某些地区遭受网络攻击。

20.平均数据泄漏成本高达435万美元。根据上述IBM/Ponemon Institute报告,2022年数据泄露事件的平均总成本为435万美元。医疗保健行业的违规行为损失最高,平均为1010万美元。美国的数据泄露成本最高,高达944万美元。

21.中小企业成为热门目标。据埃森哲称,虽然43%的攻击针对中小企业,但这些企业中只有14%准备好自卫。

22.美国政府网络安全年度预算超过100亿美元。不包括国防部在内,美国政府已为2023年制定了108.9亿美元的网络安全支出预算。国土安全部将在2023年收到约26亿美元。

23.失窃数据超过330亿条。到2023年,网络犯罪分子将窃取超过330亿条数据记录,比2018年增长175%。

24.全球网络安全培训市场规模将达到100亿美元。根据Cyber security Ventures的数据,到2027年,全球网络安全培训支出将达到100亿美元。随着在线用户数量的增加,内部威胁与来自企业外部的威胁同样重要。培训员工识别并报告安全威胁可以有效增强企业的网络防御策略。

网络安全行业的热点趋势(25-29)

从2022年起,网络犯罪并不是安全专家应该考虑的唯一新闻。以下是与事件响应、攻击和测试相关的一些主要行业热点趋势:

25.六成企业遭遇深度伪造攻击。根据VMware的2022年《全球事件响应威胁报告》,66%的组织发现了深度伪造(deepfake)。该报告还发现,65%的组织报告称在俄罗斯入侵乌克兰后网络攻击有所增加。

26.FBI网络通缉名单超过100人。FBI的网络通缉犯名单列出了100多个密谋对美国犯下最具破坏性罪行的个人和团体。这些罪行包括计算机入侵、电汇欺诈、身份盗窃、间谍活动、商业机密盗窃和许多其他罪行。

27.VPN市场面临垄断。安全研究公司VPNpro的报告显示,VPN市场正在被国家力量垄断。97家顶级VPN由23家母公司运营,其中许多母公司位于隐私法松懈的国家。

28.企业提高软件安全测试频率。根据Veracode“软件安全状况,第12卷”报告,企业正在执行比以往更多的应用程序安全测试扫描。2021年,大多数公司大约每周扫描3次申请——高于2010年的每年3次。

29.移动设备安全恶化。已获得root权限或越狱的设备,以及可能安装了恶意软件的设备是企业面临的重大风险。另一个移动风险来自越来越多的基于短信的商业电子邮件泄露攻击(BEC)。根据美国联邦通信委员会的数据,2022年未经请求的短信数量是2019年的三倍。

网络安全人才与技能短缺(30-34)

网络安全行业的人才短缺问题由来已久。Forrester Research的安全与风险研究主管约瑟夫·布兰肯希普(Joseph Blankenship)建议企业从内部挖掘适合安全岗位的员工,并提供必要的培训。企业有很多适合转岗网络安全的人才,例如网络管理员、开发人员、系统工程师都具备从事网络安全工作所需的能力。

其他安全就业统计数据如下:

30.全球网络安全人才缺口为340万人。根据2022年“(ISC)²网络安全劳动力研究”,到2022年底,美国的安全劳动力缺口为436,080个,全球为340万个。

31.六成企业难以留住安全人才。ISACA的“2022年网络安全状况”报告指出,62%的企业认为他们在网络安全专业人员方面人手不足。雪上加霜的是,该研究发现60%的企业难以留住合格的网络安全人员。

32.网络安全人员离职的主要原因是被挖角。同一项调查显示,网络安全人员离职的主要原因是他们被其他公司招聘。调查显示,员工离职的其他主要原因是工作压力大和缺乏管理支持。

33.网络安全主管离职率惊人。据赛门铁克称,三分之二的网络安全决策者想要辞职,五分之四的安全专业人员表示他们已经筋疲力尽。调查受访者表示,他们觉得长期超负荷状态的职业注定会失败。

34.不同地区网络安全薪酬待遇差距巨大。网络安全是一个高薪工作领域,尤其是在北美。根据(ISC)²的研究,北美网络安全专业人员的平均工资为134,800美元。这一数字在欧洲、中东和非洲降至93,535美元,在拉丁美洲降至22,185美元甚至更低。