网络安全行业状况与数据统计

　　你是否正在寻找一些具体的数据来印证自己直觉中的网络安全世界的变化？为了更好地了解网络安全最新动态以及行业领袖们的应对举措，我们对大量的调查和研究报告进行了深入的研究和分析。哪些系统最容易受到攻击？哪些恶意软件高居榜单前列？处理这些问题的专家的薪酬是多少？以下是我们的一些研究结果。

　　9个关键的网络安全数据

　　· 94%的恶意软件是通过电子邮件传播的。

　　· 在已公布的网络安全事件中，80%以上是由钓鱼攻击造成的。

　　· 钓鱼攻击每分钟造成的损失为17700美元。

　　· 60%的与漏洞有关的侵入事件是由于沒有及时安装补丁程序导致的。

　　· 63%的企业表示，硬件级或芯片级安全漏洞导致其数据在过去12个月受到了潜在的威胁。

　　· 2019年上半年，物联网设备遭受的攻击数量翻了三倍。

　　· 无文件攻击在2019年上半年增长了256%。

　　· 数据泄露导致企业每年平均损失392万美元。

　　· 40%的IT主管表示，网络安全人才是最难以补充的人才。

　　网络安全漏洞百出

　　无论你在讨论网络安全的文章中看到了多少新的漏洞和奇怪的漏洞，只有一种漏洞高居榜首。在对大量的网络安全事件进行分析之后，Verizon发现几乎所有的恶意软件都是通过电子邮件进行传播的（94%的恶意软件均是如此）。

　　在社交工程攻击当中，排名第一的攻击类型是钓鱼攻击。在已报告的网络安全事件中，80%以上是由钓鱼攻击造成的，其最终目的通常是诱导用户安装恶意软件。现在，想要改善自己的网络安全态势，你应当知道从哪里着手了吧。（在将网络钓鱼攻击理解为类似于“尼日利亚骗局”之前，你需要知道实际上40%的网络钓鱼攻击的命令与控制服务器都位于美国境内。）

　　当然，这并不代表其他的网络安全漏洞就不重要。国际知名的漏洞知识库CVE（通用漏洞披露）数据库列出了常用的系统和软件中存在的11000多个可能被利用的漏洞，其中34%的漏洞直到2019年年中仍然没有可用的补丁。编号为CVE-2017-11882的微软公式编辑器漏洞为我们展示了用补丁程序修复漏洞后的效果。在微软IT部门针对Windows 7升级了服务器并安装了补丁程序后，通过该漏洞传播的恶意软件在几个月内就减少了70%。

　　但是据网络安全公司Security Boulevard的调查显示，仅仅有补丁程序还远远不够，60%的与漏洞有关的侵入事件是由于没有及时安装补丁程序导致的。

　　想要更好地了解安全漏洞，我们还必须深入研究我们的计算机，深入研究硬件与操作系统之间的BIOS层。据戴尔的调查报告显示，63%的企业称其数据在过去一年内由于硬件级或芯片级的漏洞而受到潜在威胁。那么也就不难理解，在这份报告中只有28%的企业对其供应商的硬件安全管理感到满意。

　　最后一个值得关注的攻击面是正在日益普及的物联网设备。如今，从生产控制到在家里播放音乐，我们已经越来越依赖于物联网设备。尽管网络安全专家一再对物联网安全发出警告，但是自从Mirai僵尸网络出现以来，物联网的安全形势一直在急剧恶化。据安全厂商F-Secure估计，仅2019年上半年针对物联网设备的攻击就翻了三倍。

　　恶意软件的发展趋势

　　大量的恶意软件正在疯狂地尝试利用这些漏洞。安全厂商卡巴斯基表示，2019年其网页杀毒平台识别出了2461万多个“独特的恶意对象”，相比2018年增长了14%。此外，卡巴斯基还指出，全球近20%的互联网用户都遭受过某种程度的病毒攻击。这些攻击行为分布并不平均，攻击者正变得越来越狡猾，并逐渐将重点放在了那些价值更高的目标身上。据网络安全公司Malware Bytes的数据显示，消费者个人遭遇的恶意软件攻击实际上下降了2%，而企业则成为了黑客的主要目标，针对企业的恶意软件攻击上升了13%。

　　那么在过去的一年中，哪种类型的恶意软件最为猖獗呢？Malware Bytes指出，黑客工具型的恶意软件的感染数量增加了224%。这种恶意软件能够探测系统和网络，然后针对存在的漏洞上载大量的恶意负载。

　　除了上述类型，还有两种恶意软件也在2019年大为肆虐。一种是无文件恶意软件（攻击代码仅驻留在内存上而不将文件写入磁盘中）。安全厂商趋势科技称，这类攻击在2019年上半年增长了256%。另一种是Web Skimmer攻击，这类攻击增长了187%。不法分子会将代码注入到服务器（有时甚至是在线交易的客户端），然后窃取信用卡账号。

　　此外，已困扰全球用户五年之久的银行木马程序Emotet在2019年仍然在不断演化并持续泛滥。目前其主要为传播TrickBot等木马程序的垃圾邮件僵尸网络提供服务。网络安全初创公司Cofense称，仅在2019年最后一季度，Emotet就利用了290000多个被泄露的电子邮件地址传播恶意软件，其中包括了33000个唯一特征的恶意附件。

　　安全事件的代价

　　臭名昭著的银行抢劫犯Willie Sutton说过，他之所以去抢银行是因为“钱就在那儿”。Verizon的数据泄露事件报告证实，网络犯罪分子也是出于同样动机。在被公布的数据泄露事件中，有71%的动机是出于经济目的。显然，网络犯罪分子的所得都是守法公民的损失，这些损失累加之后的金额相当可观。

　　我们前面提到过，电子邮件和钓鱼攻击仍然是当前恶意软件的主要传播方式。它们造成的损失十分惊人。据网络安全初创公司RiskIQ估算，钓鱼攻击造成的损失每分钟达17700美元，而这仅仅只是开始。在数据泄露事件当中，尽管所有的受害者并不都像美国知名征信机构Equifax那样损失惨重，但是这些受害者通常也要蒙受很大的损失。在对500多家企业的数据泄露事件进行了调查后，IBM发现受影响企业的平均财务损失，算上罚款、工时损失等，这一数字约为392万美元。

　　咨询顾问公司埃森哲也对各类网络攻击所造成的损失进行了研究，并得出了一些结论。排名榜首的是恶意软件，一次攻击可给受害者造成高达260万美元的损失。令人意外的是，臭名昭著的勒索软件的排名几乎垫底，平均每次攻击“仅仅”带来64.6万美元的损失，而且这还包括了生产力损失之类的附带成本，并不光是赎金本身。在此类攻击中，赎金通常比我們想象的要低很多。据Data Breach Today估算，2019年第三季度勒索软件的平均赎金为4.1万美元。值得注意的是，不少拥有良好备份机制或者坚决不向网络犯罪屈服的企业都拒绝付款，所以很多情况下赎金为零。实际上，不同国家支付赎金的受害者比例也有很大差异。在加拿大，77%的受害者选择支付赎金，而在美国这一数字仅为3%，德国和英国介于两者之间。

　　最后，我们需要知道的是，随着法规制度对不安全和对用户不友好的数据实践的约束越来越严格，即使公司没有被黑客攻击，也很有可能会因为不恰当的网络安全措施而遭到经济处罚。谷歌去年就因为违反了欧盟《通用数据保护条例》（GDPR）而不得不在法国支付了5700万美元的罚款。

　　预算和优先支出项

　　随着这些潜在的损失逐步显现出来，企业开始意识到必须在网络安全方面投入资金以保护自身安全，并且做好相应的预算规划。据美国CIO.com网站的《2020年首席信息官现状》调查显示，34%的受访者把安全与风险管理视为企业IT支出的头号推动力。

　　IDG的《安全优先事项研究》为企业如何决策一些特定支出提供了深刻的洞察力。73%的受访企业表示他们增加支出是为了与行业最佳实践保持一致。这是一个令人感到鼓舞的结果，表明大多数企业都有意愿在安全方面增加支出。另一方面，66%的受访企业表示他们将编列部分预算以确保公司的运营符合法律规定。尽管有观点认为这表明政府的强制指令符合最佳实践，但是许多企业并不是这样认为。一些受访者表示，强制性的合规要求对其战略规划的执行来说是一种“干扰”。

　　在2019年，支出方面的最大变化是企业决定寻求外部支持以提升他们的网络安全性。从事件响应援助到基础设施管理，托管安全服务变得越来越普及。整个2019年，此类服务的支出达到了642亿美元，是基础设施保护和网络安全设备支出的两倍多。Kennet Research评估认为，这项支出在未来四年内将以两位数的速度增长。

　　此外，Kennet Research还带来了一些不好的消息，即中小企业在网络安全方面正面临严峻的形势。据一份2019年针对中小企业决策者的调查显示，18%的受访者把网络安全列为优先等级最低的事项。这种态度在一定程度上是由于自满情绪导致的，有66%的受访者认为网络攻击不会发生在他们身上，而实际上67%的中小企业在2019年都遭到了网络攻击。

　　网络安全人才极为紧缺

　　网络安全从业人员的数量反映出一个重要信息，那就是目前网络安全人才非常紧缺。《2020首席信息官现状》研究报告显示，40%的IT领导者表示，网络安全人才是最难补充的。另据ISC2的一项研究显示，网络安全专业人员的失业率实际上为0%。

　　由于网络安全至关重要且需求量很大，因此信息安全在许多企业中获得实权并不令人感到意外。据《首席信息官现状》报告显示，54%受访企业中在公司高层设置了首席安全官（CSO）和首席信息安全官（CISO）等安全主管职位。这些职位并不仅仅负责IT部分，超过40%的安全主管是直接向首席执行官汇报工作的，而不是向首席信息官或其他IT高管汇报工作。（另一个有趣的现象也表明，高级网络安全专家的需求量很大。25%的安全主管曾经被外部公司盯上，这些公司试图将这些安全主管挖过来。）

　　所有这些因素加在一起，使得网络安全成为一个收入丰厚的工作。据ZipRecruiter的数据显示，截至2020年初，一名初级网络安全专家在美国的平均年薪为74340美元（这几乎是美国全国所有初级岗位的平均收入水平的两倍）。据Mondo的数据显示，更为专业的工作岗位的收入更高，其中应用程序安全工程师的年薪最高可达18万美元，信息安全主管的年薪最高可达21.5万美元。与我们在本文中提到的许多其他令人不安的数字不同，上述这些数字对于网络安全专业人员来说应该听起来很顺耳。

　　本文作者Josh Fruhlinger为作家兼编辑，现居于洛杉矶。

　　原文网址

　　https：//www.csoonline.com/article/3153707/top-cybersecurity-facts-figures-and-statistics.html

　　Josh Fruhlinger