全球网络安全状况、数字及统计 (2020版)

• 94%的恶意软件通过电子邮件传播

• 80%的安全事件是网络钓鱼引起的

• 每分钟由于钓鱼攻击造成的损失为1.77万美元

• 60%与漏洞有关的侵入事件，属于已经有了补丁却没有修补的情况

• 63%的企业表示，在最近12个月内，由于硬件或芯片级别的攻击，导致数据可能已经遭受侵害

• 2019年上半年，针对IoT设备的攻击翻了三倍，无文件攻击上升了256%

• 平均每起数据泄露事件给企业带来的损失为392万美元

• 40%的IT负责人表示，网络安全职位最难招人

如果想找一些统计数字来支撑对当今网络威胁环境的判断，下面的内容能够提供帮助：

一、漏洞及脆弱性

威瑞森的报告[1]显示，94%的恶意软件通过电子邮件传播，排名第一的社会工程攻击是网络钓鱼。40%的网络钓鱼，其命令与控制服务器位于美国[2]。

CVE列表中的1.1万个可利用通用系统软件漏洞，34%没有修补，虽然已经有补丁[3]。打补丁的好处，一个典型的例子就是微软公式编辑器中的一个漏洞CVE-2017-11882，在升级完系统或是打上补丁后，利用这个漏洞的恶意软件传播急剧下降了70%。好处如此明显，但仍然有60%与漏洞有关的侵入事件，属于已经有了补丁却没有修补的情况[4]。

再来看看底层硬件方面。戴尔的统计报告显示，63%的企业表示，在最近12个月内，由于硬件或芯片级别的攻击，导致数据可能已经遭受侵害，只有28%的企业对自己的硬件安全管理提供商感到满意[5]。

无所不在的IoT设备，威胁趋势更是触目惊心。尽管早在2016年爆发的Miral僵尸网络攻击，已经给业界敲响了警钟。2019年上半年，针对IoT设备的攻击还是翻了三倍[6]。

二、恶意软件趋势

卡巴斯基的统计[7]显示，其Web防病毒平台在2019年发现了2461万款恶意软件，相比于2018年14%的增长，约20%的互联网用户受到过这些恶意软件的攻击。攻击手段更加高明，而且攻击对象也开始向能够获取更大利益的目标转移。据Malware Bytes的统计[8]，针对个人消费者的攻击下降了2%，但针对企业的攻击却上升了13%。而且，2019年最流行的恶意软件攻击是通过黑客工具，增长了224%。

攻击手法方面，无文件攻击持续增长。趋势科技的研究[9]显示，2019年上半年，无文件攻击上升了256%。通过注入web服务器或在线支付客户端以收集信用卡号的web skimmer攻击，则上升了187%[9]。

一款名为Emotet的银行木马，已经在全球传播了5年，并且不断变化。在2019年最后三个月里，Emotet使用了29万个被入侵的邮件地址进行传播，包含了3.3万个唯一特征的恶意附件[10]。

三、安全事件的成本

网络犯罪的最大动机就是金钱。威瑞森的数据泄露报告显示，71%的侵入都是以经济利益为目的。侵入带来的损失也是巨大的，据估计，每分钟由于钓鱼攻击造成的损失为1.77万美元[11]。但这只是冰山一角，数据泄露带来的损失更为惊人。IBM通过对500家机构的调查[12]发现，包括罚款和损失的工作时间等，每起数据泄露事件平均造成392万美元的损失。

再来看看艾森哲的研究报告[13]，恶意软件攻击给受害者带来的损失，最高为260万美元。最低的是勒索软件，平均64.6万美元。值得注意的是，主要的损失不是支付赎金，而是生产率的损失。2019年第三季度，平均支付赎金只有4.1万美元[13]。但注意，这个数字是在许多机构因为有良好的备份机制，对勒索行为是零支付的情况下。有趣的是，不同的国家，受害者的行为竟然非常不同。在加拿大，77%的勒索软件受害者会支付赎金，而美国只有3%。德国与英国位居其中[14]。

最后，即便是没有被入侵也会有损失。谷歌由于违背GDPR，被法国政府罚了5700万美元[15]。

四、预算与花费

企业已经意识到网络攻击带来的严重后果，于是纷纷加强在网络安全方面的预算与投入。IDG的《2020首席信息官状况》调查报告[15]显示，34%的企业在安全与风险管理方面的投入是整个企业IT花费的最大头。

IDG的另一份调查《安全优先投入调查》[16]，则展示了决策者是如何作出投入决策的。73%的受访者表示，业界的最佳实践驱动安全的投入决策，66%的受访者则把部分预算用于合规。这两个相差不多的数字，会给人一种安全需求和安全合规属于并驾齐驱的感觉。但许多受访者并不这么认为，他们认为合规的强制性反而不利于执行他们自己的安全规划，原因在于分散了他们的精力和资源。

2019年最大的安全投入趋势是，企业开始寻求外部的帮助。托管安全服务(MSP)，从事件响应协助到基础设施管理，越来越受到市场的接受。2019年的市场规模达到了642亿美元，两倍于基础设施保护与网络安全设备的投入[17]。另据研究机构Kennet的估计，对MSP的需求在未来四年内将保持两位数的增长率[18]。但令人失望的是中小企业对待安全的态度，2019年Kennet对中小企业决策者的调查显示，18%的受访者把网络安全的位置排到了最后[19]。这种态度或多或少与他们的安全认识有关，66%的人认为网络攻击不大可能发生在自己身上，尽管在2019年已经有67%的中小企业遭遇过网络攻击。

五、网络安全人才

相对于网络安全威胁的严重程度不断上升的坏消息而言，当前对网络安全人才的巨大需求，是网络安全从业者的好消息。上文中提到的《2020首席信息官状况》报告显示，40%的IT负责人认为网络安全职位最难招到人。据ISC2的调查[20]，网络安全从业者的失业率为零。人才紧缺问题，女性从业者可能是一个有效的补充，目前网络安全职位女性只占20%[21]。

对网络安全的迫切和关键需求，带来了安全人员地位的提升。《2020首席信息官状况》在这方面的统计，54%的受访机构有一名安全主管是C级别，如首席安全官或首席信息安全官。而且，有40%的机构安全主管直接向CEO汇报，而不是CIO或IT高管。还有一个有趣的现象，25%的安全高管受到过其他企业的邀请，请他们跳槽。

薪金方面，在美国入门级的网络安全人员平均年薪为7.4万美元，这几乎是美国的入门级工作平均薪水的两倍[22]。而更加专业的工作岗位，如应用安全工程师，则达到了年薪18万美元，信息安全经理21.5万美元[23]。

安全，大有可为。

参考资料：

[1] https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf

[2] https://cofense.com/wp-content/uploads/2020/01/Q4-2019_Malware-Trends.pdf

[3] https://www.techrepublic.com/article/cybersecurity-alert-34-of-vulnerabilities-found-this-year-remain-unpatched/

[4] https://securityboulevard.com/2019/10/60-of-breaches-in-2019-involved-unpatched-vulnerabilities/

[5] https://www.dellemc.com/en-us/collaterals/unauth/analyst-reports/solutions/dell-bios-security-the-next-frontier-for-endpoint-protection.pdf

[6] https://blog.f-secure.com/attack-landscape-h1-2019-iot-smb-traffic-abound/

[7] https://go.kaspersky.com/rs/802-IJN-240/images/KSB_2019_Statistics_EN.pdf

[8] https://resources.malwarebytes.com/files/2020/02/2020_State-of-Malware-Report.pdf

[9] https://www.darkreading.com/threat-intelligence/malware-variety-grew-by-137--in-2019/d/d-id/1336611

[10] https://cofense.com/wp-content/uploads/2020/01/Q4-2019_Malware-Trends.pdf

[11] https://www.riskiq.com/infographic/evil-internet-minute-2019/

[12] https://www.ibm.com/security/data-breach

[13] https://www.databreachtoday.com/ransomware-average-ransom-payout-increases-to-41000-a-13333

[14] https://phoenixnap.com/blog/ransomware-statistics-facts

[15] https://techcrunch.com/2019/01/21/french-data-protection-watchdog-fines-google-57-million-under-the-gdpr/

[15] https://www.idg.com/tools-for-marketers/2020-state-of-the-cio/

[16] https://www.idg.com/tools-for-marketers/2019-security-priorities-study/

[17] https://securityintelligence.com/articles/11-stats-on-ciso-spending-to-inform-your-2020-cybersecurity-budget/

[18] https://www.marketwatch.com/press-release/datasheet-on-global-cybersecurity-market-overview-and-scope-industry-trendssize-and-forecast-report-by-2023-2019-09-23

[19] https://www.keepersecurity.com/blog/2019/07/24/cyber-mindset-exposed-keeper-unveils-its-2019-smb-cyberthreat-study/

[20] https://www.ciodive.com/news/0-unemployment-rate-and-5-other-numbers-you-need-to-know-about-cybersecuri/566779/

[21] https://cybersecurityventures.com/women-in-cybersecurity/

[22] https://www.ziprecruiter.com/Salaries/Entry-Level-Cyber-Security-Salary

[23] https://www.mondo.com/blog-highest-paid-cybersecurity-jobs/

声明：本文来自数世咨询，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。