2023年對企業(yè)網(wǎng)絡(luò)安全人士并不友好：數(shù)字化轉(zhuǎn)型深入、攻擊面快速增長，人工智能技術(shù)爆發(fā)，網(wǎng)絡(luò)犯罪正在成為第三大“經(jīng)濟(jì)體”，地緣政治和戰(zhàn)爭進(jìn)一步加劇技術(shù)去中立化和巴爾干化，黑客攻擊技術(shù)日趨復(fù)雜化和“民主化”，而企業(yè)網(wǎng)絡(luò)安全預(yù)算和人力資源卻拙荊見肘。

面對雨后春筍般快速增長的安全威脅，企業(yè)網(wǎng)絡(luò)安全人士只有聚焦關(guān)鍵業(yè)務(wù)需求、關(guān)鍵威脅趨勢才能制定有效的網(wǎng)絡(luò)安全計(jì)劃。

以下，我們整理了2023年全球數(shù)十位安全專家關(guān)注的34個(gè)關(guān)鍵統(tǒng)計(jì)數(shù)據(jù)，涉及網(wǎng)絡(luò)犯罪、職業(yè)發(fā)展和威脅趨勢，希望能為廣大網(wǎng)絡(luò)安全人士制定2023年安全計(jì)劃提供參考。

數(shù)據(jù)安全（1-10）

到2025年，人類的數(shù)據(jù)總量將達(dá)到175ZB，這些數(shù)據(jù)包括從流媒體視頻和約會(huì)應(yīng)用程序到醫(yī)療數(shù)據(jù)庫，數(shù)據(jù)安全的重要性和面臨的威脅正同步增長。

1.供應(yīng)鏈攻擊將影響近半數(shù)企業(yè)。過去幾年沒有比供應(yīng)鏈攻擊危害更大的安全威脅了。例如開源世界中軟件管理供應(yīng)商SolarWinds和Log4j的漏洞，使全球的組織面臨風(fēng)險(xiǎn)。分析公司Gartner預(yù)測，到2025年，45%的全球組織將以某種方式受到供應(yīng)鏈攻擊的影響。

2.漏洞數(shù)量持續(xù)增長。HackerOne 2022“黑客驅(qū)動(dòng)的安全報(bào)告”發(fā)現(xiàn)，道德黑客僅在2022年就能夠發(fā)現(xiàn)超過65,000個(gè)漏洞，比2021年增加21%。

3.防御技術(shù)跟不上攻擊技術(shù)的發(fā)展。根據(jù)世界經(jīng)濟(jì)論壇“2022年全球風(fēng)險(xiǎn)報(bào)告”，網(wǎng)絡(luò)犯罪份子的攻擊技術(shù)和策略日趨復(fù)雜，企業(yè)、政府和個(gè)人采取的網(wǎng)絡(luò)安全措施越來越過時(shí)。

4.2023年網(wǎng)絡(luò)犯罪造成的損失將高達(dá)8萬億美元。根據(jù)由eSentire贊助的Cybersecurity Ventures的“2022年官方網(wǎng)絡(luò)犯罪報(bào)告”，網(wǎng)絡(luò)犯罪的成本預(yù)計(jì)到2023年將達(dá)到8萬億美元，到2025年將增長到10.5萬億美元。

5.身份欺詐損失高達(dá)520億美元（美國）。雖然企業(yè)試圖保護(hù)自己的敏感文件免受攻擊，但客戶信息卻存儲(chǔ)在世界各地易受攻擊的數(shù)據(jù)庫中。根據(jù)Javelin Strategy &Research的“2022年身份欺詐研究：虛擬戰(zhàn)場”，身份欺詐損失總計(jì)520億美元，影響了4200萬美國成年人。

6.數(shù)據(jù)泄漏平均檢測時(shí)間為277天。根據(jù)IBM和Ponemon Institute發(fā)布的一份報(bào)告“2022年數(shù)據(jù)泄露成本”，安全團(tuán)隊(duì)平均需要277天才能識別和控制數(shù)據(jù)泄露。

7.加密劫持快速增長。根據(jù)卡巴斯基實(shí)驗(yàn)室的數(shù)據(jù)，加密劫持非常普遍，到2022年將增長230%。

8.加密劫持月入1600美元。卡巴斯基同一項(xiàng)研究顯示，大多數(shù)黑客從加密劫持中賺取的金額不定，平均每月約1600美元。

9.憑證數(shù)據(jù)泄漏成本遠(yuǎn)高于普通數(shù)據(jù)泄漏。根據(jù)IBM的“2022年數(shù)據(jù)泄露成本”報(bào)告，涉及憑證丟失或被盜的數(shù)據(jù)泄露需要更長的時(shí)間來識別，并且比普通數(shù)據(jù)泄露造成的成本高出150,000美元。

10.網(wǎng)絡(luò)犯罪投訴量創(chuàng)新高。FBI的互聯(lián)網(wǎng)犯罪投訴中心報(bào)告稱，2021年的投訴量為847,376件，創(chuàng)歷史新高。這些投訴造成的總損失超過69億美元。

重大網(wǎng)絡(luò)安全威脅（11-17）

安全威脅有很多種。安全事件并不一定意味著數(shù)據(jù)已經(jīng)泄露，有時(shí)只是數(shù)據(jù)面臨威脅。最主要的安全威脅類型分別是：惡意軟件、勒索軟件、社會(huì)工程、網(wǎng)絡(luò)釣魚、憑據(jù)盜竊和分布式拒絕服務(wù)(DDoS)攻擊：

11.82%的數(shù)據(jù)泄漏源自人為因素。根據(jù)Verizon“2022年數(shù)據(jù)泄露調(diào)查報(bào)告”，82%的數(shù)據(jù)泄露的根本原因是人為因素。人為因素在網(wǎng)絡(luò)釣魚攻擊和被盜憑證中扮演著重要角色。網(wǎng)絡(luò)釣魚通常通過電子郵件、短信和協(xié)作工具和社交媒體進(jìn)行，誘使用戶點(diǎn)擊惡意鏈接或交出敏感信息。

12.移動(dòng)惡意軟件感染數(shù)量銳減。根據(jù)卡巴斯基實(shí)驗(yàn)室的一份報(bào)告，2022年第三季度移動(dòng)惡意軟件感染數(shù)量銳減至560萬。

13.勒索軟件威脅持續(xù)增長。勒索軟件攻擊是所有行業(yè)和企業(yè)面臨的共同威脅，而且只會(huì)越來越嚴(yán)重?？ò退够鶎?shí)驗(yàn)室報(bào)顯示，在2022年前10個(gè)月，受針對性勒索軟件影響的用戶比例翻了一番。

14.網(wǎng)絡(luò)釣魚攻擊暴增。根據(jù)SlashNext的“2022年網(wǎng)絡(luò)釣魚狀況”報(bào)告，2022年網(wǎng)絡(luò)釣魚攻擊增加了61%。反網(wǎng)絡(luò)釣魚工作組(APWG)報(bào)告稱，在2022年第三季度總共觀察到300萬次網(wǎng)絡(luò)釣魚攻擊，這是該組織觀察到的最糟糕的一個(gè)季度。

15.預(yù)付費(fèi)欺詐卷土重來。根據(jù)APWG的數(shù)據(jù)，預(yù)付費(fèi)欺詐詐騙在2022年最有害的電子郵件攻擊類型中再次出現(xiàn)，該詐騙在2022年第三季度增長了1,000%以上。在預(yù)付費(fèi)用欺詐騙局中，如果毫無戒心的用戶能夠預(yù)先支付預(yù)付費(fèi)用，攻擊者就會(huì)得到一筆意外之財(cái)。

16.DDoS攻擊帶寬增加。2022年最大的DDoS攻擊之一是Cloudflare在今年第三季度報(bào)告的2.5 Tbps攻擊。根據(jù)Netscout的2022年《DDoS威脅情報(bào)報(bào)告》，2022年上半年的最大DDoS攻擊帶寬較2021年下半年增長57%至957.9 Gbps，全球攻擊總數(shù)超過600萬次。在全球范圍內(nèi)，亞太地區(qū)的攻擊頻率實(shí)際上減少了9%。相比之下，北美的DDoS攻擊頻率增加了2%。

17.勒索DDoS呈上升趨勢。Cloudflare還報(bào)告了勒索贖金的DDoS攻擊呈上升趨勢，到2022年同比增長67%。勒索DDoS攻擊者聲稱他們只有在收到贖金后才會(huì)停止攻擊。

網(wǎng)絡(luò)犯罪帶來的損失（18-24）

網(wǎng)絡(luò)犯罪活動(dòng)可能會(huì)影響企業(yè)多年。與網(wǎng)絡(luò)攻擊相關(guān)的成本，包括訴訟、保險(xiǎn)費(fèi)率上漲、刑事調(diào)查和負(fù)面報(bào)道，可能會(huì)使公司迅速倒閉。

18.數(shù)據(jù)泄漏成本飆升，安全意識培訓(xùn)是數(shù)據(jù)安全戰(zhàn)略的重點(diǎn)之一。根據(jù)埃森哲的《2021年網(wǎng)絡(luò)安全彈性狀況》報(bào)告，數(shù)據(jù)泄露的成本將從每年3萬億美元增加到2024年的5萬億美元以上。

維持企業(yè)網(wǎng)絡(luò)安全彈性和數(shù)據(jù)安全的關(guān)鍵是確保非網(wǎng)絡(luò)安全員工知道安全如何識別和應(yīng)對安全威脅。建立安全意識培訓(xùn)計(jì)劃是任何公司安全戰(zhàn)略的必要組成部分。從員工到CEO，企業(yè)成員經(jīng)常被網(wǎng)絡(luò)釣魚電子郵件淹沒。當(dāng)企業(yè)環(huán)境中有移動(dòng)和物聯(lián)網(wǎng)設(shè)備時(shí)，必須制定移動(dòng)事件響應(yīng)計(jì)劃。

19.單次攻擊損失暴增。根據(jù)《2022年Hiscox網(wǎng)絡(luò)就緒報(bào)告》，2022年單次攻擊（無論是數(shù)據(jù)泄露、惡意軟件、勒索軟件還是DDoS攻擊）給美國公司造成的損失中位數(shù)為18,000美元，高于2021年的10,000美元，其中47%的美國企業(yè)在某些地區(qū)遭受網(wǎng)絡(luò)攻擊。

20.平均數(shù)據(jù)泄漏成本高達(dá)435萬美元。根據(jù)上述IBM/Ponemon Institute報(bào)告，2022年數(shù)據(jù)泄露事件的平均總成本為435萬美元。醫(yī)療保健行業(yè)的違規(guī)行為損失最高，平均為1010萬美元。美國的數(shù)據(jù)泄露成本最高，高達(dá)944萬美元。

21.中小企業(yè)成為熱門目標(biāo)。據(jù)埃森哲稱，雖然43%的攻擊針對中小企業(yè)，但這些企業(yè)中只有14%準(zhǔn)備好自衛(wèi)。

22.美國政府網(wǎng)絡(luò)安全年度預(yù)算超過100億美元。不包括國防部在內(nèi)，美國政府已為2023年制定了108.9億美元的網(wǎng)絡(luò)安全支出預(yù)算。國土安全部將在2023年收到約26億美元。

23.失竊數(shù)據(jù)超過330億條。到2023年，網(wǎng)絡(luò)犯罪分子將竊取超過330億條數(shù)據(jù)記錄，比2018年增長175%。

24.全球網(wǎng)絡(luò)安全培訓(xùn)市場規(guī)模將達(dá)到100億美元。根據(jù)Cyber security Ventures的數(shù)據(jù)，到2027年，全球網(wǎng)絡(luò)安全培訓(xùn)支出將達(dá)到100億美元。隨著在線用戶數(shù)量的增加，內(nèi)部威脅與來自企業(yè)外部的威脅同樣重要。培訓(xùn)員工識別并報(bào)告安全威脅可以有效增強(qiáng)企業(yè)的網(wǎng)絡(luò)防御策略。

網(wǎng)絡(luò)安全行業(yè)的熱點(diǎn)趨勢（25-29）

從2022年起，網(wǎng)絡(luò)犯罪并不是安全專家應(yīng)該考慮的唯一新聞。以下是與事件響應(yīng)、攻擊和測試相關(guān)的一些主要行業(yè)熱點(diǎn)趨勢：

25.六成企業(yè)遭遇深度偽造攻擊。根據(jù)VMware的2022年《全球事件響應(yīng)威脅報(bào)告》，66%的組織發(fā)現(xiàn)了深度偽造（deepfake）。該報(bào)告還發(fā)現(xiàn)，65%的組織報(bào)告稱在俄羅斯入侵烏克蘭后網(wǎng)絡(luò)攻擊有所增加。

26.FBI網(wǎng)絡(luò)通緝名單超過100人。FBI的網(wǎng)絡(luò)通緝犯名單列出了100多個(gè)密謀對美國犯下最具破壞性罪行的個(gè)人和團(tuán)體。這些罪行包括計(jì)算機(jī)入侵、電匯欺詐、身份盜竊、間諜活動(dòng)、商業(yè)機(jī)密盜竊和許多其他罪行。

27.VPN市場面臨壟斷。安全研究公司VPNpro的報(bào)告顯示，VPN市場正在被國家力量壟斷。97家頂級VPN由23家母公司運(yùn)營，其中許多母公司位于隱私法松懈的國家。

28.企業(yè)提高軟件安全測試頻率。根據(jù)Veracode“軟件安全狀況，第12卷”報(bào)告，企業(yè)正在執(zhí)行比以往更多的應(yīng)用程序安全測試掃描。2021年，大多數(shù)公司大約每周掃描3次申請——高于2010年的每年3次。

29.移動(dòng)設(shè)備安全惡化。已獲得root權(quán)限或越獄的設(shè)備，以及可能安裝了惡意軟件的設(shè)備是企業(yè)面臨的重大風(fēng)險(xiǎn)。另一個(gè)移動(dòng)風(fēng)險(xiǎn)來自越來越多的基于短信的商業(yè)電子郵件泄露攻擊（BEC）。根據(jù)美國聯(lián)邦通信委員會(huì)的數(shù)據(jù)，2022年未經(jīng)請求的短信數(shù)量是2019年的三倍。

網(wǎng)絡(luò)安全人才與技能短缺（30-34）

網(wǎng)絡(luò)安全行業(yè)的人才短缺問題由來已久。Forrester Research的安全與風(fēng)險(xiǎn)研究主管約瑟夫·布蘭肯希普(Joseph Blankenship)建議企業(yè)從內(nèi)部挖掘適合安全崗位的員工，并提供必要的培訓(xùn)。企業(yè)有很多適合轉(zhuǎn)崗網(wǎng)絡(luò)安全的人才，例如網(wǎng)絡(luò)管理員、開發(fā)人員、系統(tǒng)工程師都具備從事網(wǎng)絡(luò)安全工作所需的能力。

其他安全就業(yè)統(tǒng)計(jì)數(shù)據(jù)如下：

30.全球網(wǎng)絡(luò)安全人才缺口為340萬人。根據(jù)2022年“(ISC)2網(wǎng)絡(luò)安全勞動(dòng)力研究”，到2022年底，美國的安全勞動(dòng)力缺口為436,080個(gè)，全球?yàn)?40萬個(gè)。

31.六成企業(yè)難以留住安全人才。ISACA的“2022年網(wǎng)絡(luò)安全狀況”報(bào)告指出，62%的企業(yè)認(rèn)為他們在網(wǎng)絡(luò)安全專業(yè)人員方面人手不足。雪上加霜的是，該研究發(fā)現(xiàn)60%的企業(yè)難以留住合格的網(wǎng)絡(luò)安全人員。

32.網(wǎng)絡(luò)安全人員離職的主要原因是被挖角。同一項(xiàng)調(diào)查顯示，網(wǎng)絡(luò)安全人員離職的主要原因是他們被其他公司招聘。調(diào)查顯示，員工離職的其他主要原因是工作壓力大和缺乏管理支持。

33.網(wǎng)絡(luò)安全主管離職率驚人。據(jù)賽門鐵克稱，三分之二的網(wǎng)絡(luò)安全決策者想要辭職，五分之四的安全專業(yè)人員表示他們已經(jīng)筋疲力盡。調(diào)查受訪者表示，他們覺得長期超負(fù)荷狀態(tài)的職業(yè)注定會(huì)失敗。

34.不同地區(qū)網(wǎng)絡(luò)安全薪酬待遇差距巨大。網(wǎng)絡(luò)安全是一個(gè)高薪工作領(lǐng)域，尤其是在北美。根據(jù)(ISC)2的研究，北美網(wǎng)絡(luò)安全專業(yè)人員的平均工資為134,800美元。這一數(shù)字在歐洲、中東和非洲降至93,535美元，在拉丁美洲降至22,185美元甚至更低。