2023年對(duì)企業(yè)網(wǎng)絡(luò)安全人士并不友好:數(shù)字化轉(zhuǎn)型深入、攻擊面快速增長(zhǎng),人工智能技術(shù)爆發(fā),網(wǎng)絡(luò)犯罪正在成為第三大“經(jīng)濟(jì)體”,地緣政治和戰(zhàn)爭(zhēng)進(jìn)一步加劇技術(shù)去中立化和巴爾干化,黑客攻擊技術(shù)日趨復(fù)雜化和“民主化”,而企業(yè)網(wǎng)絡(luò)安全預(yù)算和人力資源卻拙荊見肘。
面對(duì)雨后春筍般快速增長(zhǎng)的安全威脅,企業(yè)網(wǎng)絡(luò)安全人士只有聚焦關(guān)鍵業(yè)務(wù)需求、關(guān)鍵威脅趨勢(shì)才能制定有效的網(wǎng)絡(luò)安全計(jì)劃。
以下,我們整理了2023年全球數(shù)十位安全專家關(guān)注的34個(gè)關(guān)鍵統(tǒng)計(jì)數(shù)據(jù),涉及網(wǎng)絡(luò)犯罪、職業(yè)發(fā)展和威脅趨勢(shì),希望能為廣大網(wǎng)絡(luò)安全人士制定2023年安全計(jì)劃提供參考。
數(shù)據(jù)安全(1-10)
到2025年,人類的數(shù)據(jù)總量將達(dá)到175ZB,這些數(shù)據(jù)包括從流媒體視頻和約會(huì)應(yīng)用程序到醫(yī)療數(shù)據(jù)庫(kù),數(shù)據(jù)安全的重要性和面臨的威脅正同步增長(zhǎng)。
1.供應(yīng)鏈攻擊將影響近半數(shù)企業(yè)。過去幾年沒有比供應(yīng)鏈攻擊危害更大的安全威脅了。例如開源世界中軟件管理供應(yīng)商SolarWinds和Log4j的漏洞,使全球的組織面臨風(fēng)險(xiǎn)。分析公司Gartner預(yù)測(cè),到2025年,45%的全球組織將以某種方式受到供應(yīng)鏈攻擊的影響。
2.漏洞數(shù)量持續(xù)增長(zhǎng)。HackerOne 2022“黑客驅(qū)動(dòng)的安全報(bào)告”發(fā)現(xiàn),道德黑客僅在2022年就能夠發(fā)現(xiàn)超過65,000個(gè)漏洞,比2021年增加21%。
3.防御技術(shù)跟不上攻擊技術(shù)的發(fā)展。根據(jù)世界經(jīng)濟(jì)論壇“2022年全球風(fēng)險(xiǎn)報(bào)告”,網(wǎng)絡(luò)犯罪份子的攻擊技術(shù)和策略日趨復(fù)雜,企業(yè)、政府和個(gè)人采取的網(wǎng)絡(luò)安全措施越來越過時(shí)。
4.2023年網(wǎng)絡(luò)犯罪造成的損失將高達(dá)8萬億美元。根據(jù)由eSentire贊助的Cybersecurity Ventures的“2022年官方網(wǎng)絡(luò)犯罪報(bào)告”,網(wǎng)絡(luò)犯罪的成本預(yù)計(jì)到2023年將達(dá)到8萬億美元,到2025年將增長(zhǎng)到10.5萬億美元。
5.身份欺詐損失高達(dá)520億美元(美國(guó))。雖然企業(yè)試圖保護(hù)自己的敏感文件免受攻擊,但客戶信息卻存儲(chǔ)在世界各地易受攻擊的數(shù)據(jù)庫(kù)中。根據(jù)Javelin Strategy &Research的“2022年身份欺詐研究:虛擬戰(zhàn)場(chǎng)”,身份欺詐損失總計(jì)520億美元,影響了4200萬美國(guó)成年人。
6.數(shù)據(jù)泄漏平均檢測(cè)時(shí)間為277天。根據(jù)IBM和Ponemon Institute發(fā)布的一份報(bào)告“2022年數(shù)據(jù)泄露成本”,安全團(tuán)隊(duì)平均需要277天才能識(shí)別和控制數(shù)據(jù)泄露。
7.加密劫持快速增長(zhǎng)。根據(jù)卡巴斯基實(shí)驗(yàn)室的數(shù)據(jù),加密劫持非常普遍,到2022年將增長(zhǎng)230%。
8.加密劫持月入1600美元。卡巴斯基同一項(xiàng)研究顯示,大多數(shù)黑客從加密劫持中賺取的金額不定,平均每月約1600美元。
9.憑證數(shù)據(jù)泄漏成本遠(yuǎn)高于普通數(shù)據(jù)泄漏。根據(jù)IBM的“2022年數(shù)據(jù)泄露成本”報(bào)告,涉及憑證丟失或被盜的數(shù)據(jù)泄露需要更長(zhǎng)的時(shí)間來識(shí)別,并且比普通數(shù)據(jù)泄露造成的成本高出150,000美元。
10.網(wǎng)絡(luò)犯罪投訴量創(chuàng)新高。FBI的互聯(lián)網(wǎng)犯罪投訴中心報(bào)告稱,2021年的投訴量為847,376件,創(chuàng)歷史新高。這些投訴造成的總損失超過69億美元。
重大網(wǎng)絡(luò)安全威脅(11-17)
安全威脅有很多種。安全事件并不一定意味著數(shù)據(jù)已經(jīng)泄露,有時(shí)只是數(shù)據(jù)面臨威脅。最主要的安全威脅類型分別是:惡意軟件、勒索軟件、社會(huì)工程、網(wǎng)絡(luò)釣魚、憑據(jù)盜竊和分布式拒絕服務(wù)(DDoS)攻擊:
11.82%的數(shù)據(jù)泄漏源自人為因素。根據(jù)Verizon“2022年數(shù)據(jù)泄露調(diào)查報(bào)告”,82%的數(shù)據(jù)泄露的根本原因是人為因素。人為因素在網(wǎng)絡(luò)釣魚攻擊和被盜憑證中扮演著重要角色。網(wǎng)絡(luò)釣魚通常通過電子郵件、短信和協(xié)作工具和社交媒體進(jìn)行,誘使用戶點(diǎn)擊惡意鏈接或交出敏感信息。
12.移動(dòng)惡意軟件感染數(shù)量銳減。根據(jù)卡巴斯基實(shí)驗(yàn)室的一份報(bào)告,2022年第三季度移動(dòng)惡意軟件感染數(shù)量銳減至560萬。
13.勒索軟件威脅持續(xù)增長(zhǎng)。勒索軟件攻擊是所有行業(yè)和企業(yè)面臨的共同威脅,而且只會(huì)越來越嚴(yán)重??ò退够鶎?shí)驗(yàn)室報(bào)顯示,在2022年前10個(gè)月,受針對(duì)性勒索軟件影響的用戶比例翻了一番。
14.網(wǎng)絡(luò)釣魚攻擊暴增。根據(jù)SlashNext的“2022年網(wǎng)絡(luò)釣魚狀況”報(bào)告,2022年網(wǎng)絡(luò)釣魚攻擊增加了61%。反網(wǎng)絡(luò)釣魚工作組(APWG)報(bào)告稱,在2022年第三季度總共觀察到300萬次網(wǎng)絡(luò)釣魚攻擊,這是該組織觀察到的最糟糕的一個(gè)季度。
15.預(yù)付費(fèi)欺詐卷土重來。根據(jù)APWG的數(shù)據(jù),預(yù)付費(fèi)欺詐詐騙在2022年最有害的電子郵件攻擊類型中再次出現(xiàn),該詐騙在2022年第三季度增長(zhǎng)了1,000%以上。在預(yù)付費(fèi)用欺詐騙局中,如果毫無戒心的用戶能夠預(yù)先支付預(yù)付費(fèi)用,攻擊者就會(huì)得到一筆意外之財(cái)。
16.DDoS攻擊帶寬增加。2022年最大的DDoS攻擊之一是Cloudflare在今年第三季度報(bào)告的2.5 Tbps攻擊。根據(jù)Netscout的2022年《DDoS威脅情報(bào)報(bào)告》,2022年上半年的最大DDoS攻擊帶寬較2021年下半年增長(zhǎng)57%至957.9 Gbps,全球攻擊總數(shù)超過600萬次。在全球范圍內(nèi),亞太地區(qū)的攻擊頻率實(shí)際上減少了9%。相比之下,北美的DDoS攻擊頻率增加了2%。
17.勒索DDoS呈上升趨勢(shì)。Cloudflare還報(bào)告了勒索贖金的DDoS攻擊呈上升趨勢(shì),到2022年同比增長(zhǎng)67%。勒索DDoS攻擊者聲稱他們只有在收到贖金后才會(huì)停止攻擊。
網(wǎng)絡(luò)犯罪帶來的損失(18-24)
網(wǎng)絡(luò)犯罪活動(dòng)可能會(huì)影響企業(yè)多年。與網(wǎng)絡(luò)攻擊相關(guān)的成本,包括訴訟、保險(xiǎn)費(fèi)率上漲、刑事調(diào)查和負(fù)面報(bào)道,可能會(huì)使公司迅速倒閉。
18.數(shù)據(jù)泄漏成本飆升,安全意識(shí)培訓(xùn)是數(shù)據(jù)安全戰(zhàn)略的重點(diǎn)之一。根據(jù)埃森哲的《2021年網(wǎng)絡(luò)安全彈性狀況》報(bào)告,數(shù)據(jù)泄露的成本將從每年3萬億美元增加到2024年的5萬億美元以上。
維持企業(yè)網(wǎng)絡(luò)安全彈性和數(shù)據(jù)安全的關(guān)鍵是確保非網(wǎng)絡(luò)安全員工知道安全如何識(shí)別和應(yīng)對(duì)安全威脅。建立安全意識(shí)培訓(xùn)計(jì)劃是任何公司安全戰(zhàn)略的必要組成部分。從員工到CEO,企業(yè)成員經(jīng)常被網(wǎng)絡(luò)釣魚電子郵件淹沒。當(dāng)企業(yè)環(huán)境中有移動(dòng)和物聯(lián)網(wǎng)設(shè)備時(shí),必須制定移動(dòng)事件響應(yīng)計(jì)劃。
19.單次攻擊損失暴增。根據(jù)《2022年Hiscox網(wǎng)絡(luò)就緒報(bào)告》,2022年單次攻擊(無論是數(shù)據(jù)泄露、惡意軟件、勒索軟件還是DDoS攻擊)給美國(guó)公司造成的損失中位數(shù)為18,000美元,高于2021年的10,000美元,其中47%的美國(guó)企業(yè)在某些地區(qū)遭受網(wǎng)絡(luò)攻擊。
20.平均數(shù)據(jù)泄漏成本高達(dá)435萬美元。根據(jù)上述IBM/Ponemon Institute報(bào)告,2022年數(shù)據(jù)泄露事件的平均總成本為435萬美元。醫(yī)療保健行業(yè)的違規(guī)行為損失最高,平均為1010萬美元。美國(guó)的數(shù)據(jù)泄露成本最高,高達(dá)944萬美元。
21.中小企業(yè)成為熱門目標(biāo)。據(jù)埃森哲稱,雖然43%的攻擊針對(duì)中小企業(yè),但這些企業(yè)中只有14%準(zhǔn)備好自衛(wèi)。
22.美國(guó)政府網(wǎng)絡(luò)安全年度預(yù)算超過100億美元。不包括國(guó)防部在內(nèi),美國(guó)政府已為2023年制定了108.9億美元的網(wǎng)絡(luò)安全支出預(yù)算。國(guó)土安全部將在2023年收到約26億美元。
23.失竊數(shù)據(jù)超過330億條。到2023年,網(wǎng)絡(luò)犯罪分子將竊取超過330億條數(shù)據(jù)記錄,比2018年增長(zhǎng)175%。
24.全球網(wǎng)絡(luò)安全培訓(xùn)市場(chǎng)規(guī)模將達(dá)到100億美元。根據(jù)Cyber security Ventures的數(shù)據(jù),到2027年,全球網(wǎng)絡(luò)安全培訓(xùn)支出將達(dá)到100億美元。隨著在線用戶數(shù)量的增加,內(nèi)部威脅與來自企業(yè)外部的威脅同樣重要。培訓(xùn)員工識(shí)別并報(bào)告安全威脅可以有效增強(qiáng)企業(yè)的網(wǎng)絡(luò)防御策略。
網(wǎng)絡(luò)安全行業(yè)的熱點(diǎn)趨勢(shì)(25-29)
從2022年起,網(wǎng)絡(luò)犯罪并不是安全專家應(yīng)該考慮的唯一新聞。以下是與事件響應(yīng)、攻擊和測(cè)試相關(guān)的一些主要行業(yè)熱點(diǎn)趨勢(shì):
25.六成企業(yè)遭遇深度偽造攻擊。根據(jù)VMware的2022年《全球事件響應(yīng)威脅報(bào)告》,66%的組織發(fā)現(xiàn)了深度偽造(deepfake)。該報(bào)告還發(fā)現(xiàn),65%的組織報(bào)告稱在俄羅斯入侵烏克蘭后網(wǎng)絡(luò)攻擊有所增加。
26.FBI網(wǎng)絡(luò)通緝名單超過100人。FBI的網(wǎng)絡(luò)通緝犯名單列出了100多個(gè)密謀對(duì)美國(guó)犯下最具破壞性罪行的個(gè)人和團(tuán)體。這些罪行包括計(jì)算機(jī)入侵、電匯欺詐、身份盜竊、間諜活動(dòng)、商業(yè)機(jī)密盜竊和許多其他罪行。
27.VPN市場(chǎng)面臨壟斷。安全研究公司VPNpro的報(bào)告顯示,VPN市場(chǎng)正在被國(guó)家力量壟斷。97家頂級(jí)VPN由23家母公司運(yùn)營(yíng),其中許多母公司位于隱私法松懈的國(guó)家。
28.企業(yè)提高軟件安全測(cè)試頻率。根據(jù)Veracode“軟件安全狀況,第12卷”報(bào)告,企業(yè)正在執(zhí)行比以往更多的應(yīng)用程序安全測(cè)試掃描。2021年,大多數(shù)公司大約每周掃描3次申請(qǐng)——高于2010年的每年3次。
29.移動(dòng)設(shè)備安全惡化。已獲得root權(quán)限或越獄的設(shè)備,以及可能安裝了惡意軟件的設(shè)備是企業(yè)面臨的重大風(fēng)險(xiǎn)。另一個(gè)移動(dòng)風(fēng)險(xiǎn)來自越來越多的基于短信的商業(yè)電子郵件泄露攻擊(BEC)。根據(jù)美國(guó)聯(lián)邦通信委員會(huì)的數(shù)據(jù),2022年未經(jīng)請(qǐng)求的短信數(shù)量是2019年的三倍。
網(wǎng)絡(luò)安全人才與技能短缺(30-34)
網(wǎng)絡(luò)安全行業(yè)的人才短缺問題由來已久。Forrester Research的安全與風(fēng)險(xiǎn)研究主管約瑟夫·布蘭肯希普(Joseph Blankenship)建議企業(yè)從內(nèi)部挖掘適合安全崗位的員工,并提供必要的培訓(xùn)。企業(yè)有很多適合轉(zhuǎn)崗網(wǎng)絡(luò)安全的人才,例如網(wǎng)絡(luò)管理員、開發(fā)人員、系統(tǒng)工程師都具備從事網(wǎng)絡(luò)安全工作所需的能力。
其他安全就業(yè)統(tǒng)計(jì)數(shù)據(jù)如下:
30.全球網(wǎng)絡(luò)安全人才缺口為340萬人。根據(jù)2022年“(ISC)2網(wǎng)絡(luò)安全勞動(dòng)力研究”,到2022年底,美國(guó)的安全勞動(dòng)力缺口為436,080個(gè),全球?yàn)?40萬個(gè)。
31.六成企業(yè)難以留住安全人才。ISACA的“2022年網(wǎng)絡(luò)安全狀況”報(bào)告指出,62%的企業(yè)認(rèn)為他們?cè)诰W(wǎng)絡(luò)安全專業(yè)人員方面人手不足。雪上加霜的是,該研究發(fā)現(xiàn)60%的企業(yè)難以留住合格的網(wǎng)絡(luò)安全人員。
32.網(wǎng)絡(luò)安全人員離職的主要原因是被挖角。同一項(xiàng)調(diào)查顯示,網(wǎng)絡(luò)安全人員離職的主要原因是他們被其他公司招聘。調(diào)查顯示,員工離職的其他主要原因是工作壓力大和缺乏管理支持。
33.網(wǎng)絡(luò)安全主管離職率驚人。據(jù)賽門鐵克稱,三分之二的網(wǎng)絡(luò)安全決策者想要辭職,五分之四的安全專業(yè)人員表示他們已經(jīng)筋疲力盡。調(diào)查受訪者表示,他們覺得長(zhǎng)期超負(fù)荷狀態(tài)的職業(yè)注定會(huì)失敗。
34.不同地區(qū)網(wǎng)絡(luò)安全薪酬待遇差距巨大。網(wǎng)絡(luò)安全是一個(gè)高薪工作領(lǐng)域,尤其是在北美。根據(jù)(ISC)2的研究,北美網(wǎng)絡(luò)安全專業(yè)人員的平均工資為134,800美元。這一數(shù)字在歐洲、中東和非洲降至93,535美元,在拉丁美洲降至22,185美元甚至更低。