顶级网络安全事实,数据和统计

从恶意软件趋势到预算变化,我们拥有量化行业状况的最新数据。

用抽象趋势线绘制变化和变换。
Thinkstock

是否在寻找准确的数字来支持您对网络安全世界正在发生的一切的感觉?我们对行业前景进行了研究和调查,以了解这片土地的状况-包括正在发生的事情以及安全领导者对此的反应。如果您想要有关哪些系统最容易受到攻击,哪些恶意软件在图表上居首,以及获得多少人来处理这些数据的数据,请继续阅读。

9个关键的网络安全统计数据概览

  • 94%的恶意软件通过电子邮件传递
  • 网络钓鱼攻击占报告的安全事件的80%以上
  • 由于网络钓鱼攻击,每分钟损失$ 17,700
  • 60%的违规行为涉及可利用但未应用补丁的漏洞
  • 63%的公司表示,由于硬件或芯片级别的安全漏洞,其数据在过去十二个月内可能受到破坏
  • 物联网设备的攻击在2019年上半年增加了两倍。
  • 无文件攻击在2019年上半年增长了256%
  • 数据泄露给企业平均造成392万美元的损失
  • 40%的IT领导者表示,网络安全工作是最难​​填补的

漏洞年份 

让我们从基本开始:无论您将听到多少新的和特殊的漏洞,在本文和其他有关网络安全的文章中,都有一个高耸入云。在检查数千个安全事件时, Verizon发现 几乎所有 恶意软件 通过电子邮件到达计算机:这是真的 94%的案件。在不相关的新闻中,排名第一的 社会工程学 攻击,占比超过 已报告事件的80%,是 网络钓鱼-其最终目标通常是说服用户安装恶意软件。因此,如果您想改善安全状况,就知道从哪里开始。 (在您将网络钓鱼视为某种危险的东欧或尼日利亚骗局之前,请注意 网络钓鱼命令和控制服务器的40%在美国

当然,这并不意味着其他漏洞并不重要。的 常见漏洞和利用(CVE) 数据库列表 超过11,000个可利用漏洞 以及截至2019年中的常用系统和软件, 34%的人没有可用的补丁。漏洞修复过程如何发挥作用的一个很好的例子可以在CVE-2017-11882中找到,CVE-2017-11882是Microsoft的Equation Editor中的一个漏洞。通过此漏洞传递的恶意软件 暴跌超过70% 在短短几个月内,IT部门就从Windows 7修补或升级了服务器。但是,仅存在修补程序并不能解决所有问题: 根据安全林荫大道,其中60%的违规行为涉及可利用但未应用补丁的漏洞。

如果我们想更深入地研究漏洞,我们需要更深入地研究计算机,以及在裸机和操作系统之间进行中介的BIOS级别。在一个 戴尔进行的调查, 63%的公司 说他们的数据在过去十二个月内可能因 硬件或芯片级安全漏洞。 (也许同一调查发现不足28%的公司对其供应商的硬件安全管理感到满意,这并不奇怪。)

可以想到的攻击面的最后一点是,越来越多的IoT设备集合,从制造控制到在家中播放音乐,我们所依赖的一切。自从 Mirai僵尸网络的日子,安全专家已经 在物联网上敲响警钟,但情况正在迅速恶化: F-Secure估算 攻击物联网设备 2019年上半年增长了两倍.

恶意软件趋势

大量恶意软件正试图利用这些漏洞。 卡巴斯基 表示已确定其网络防病毒平台 24,610,126个“独特的恶意对象” 在2019年,与2018年相比增长了14%。总的来说,根据卡巴斯基的说法,将近20%的互联网用户是某种恶意软件攻击的对象。但是这些攻击并不一定平均分配,而且攻击者表现出更多的机敏,正在追捕可能更富裕的目标。例如, 根据恶意软件字节数, 对消费者的恶意软件攻击实际上下降了2%,但企业处于黑客的视线中,对其构成威胁 飙升13%。

什么是特定类型的恶意软件攻击 流行 在过去的一年? Malware 通过 tes指出其所称一类恶意软件的感染数量增加了224% 骇客工具 —基本上,恶意程序可以探查系统和网络并下载其他恶意有效负载以利用弱点。

其他两种类型的恶意软件在2019年也非常繁荣。 无文件恶意软件—仅驻留在RAM中且不将文件写入磁盘的攻击代码—继续增加。 趋势科技无文件攻击增长了256% 在2019年上半年。似乎爆炸的另一个威胁是 网络撇渣器, 一种代码 由犯罪团伙注入服务器或有时甚至是在线支付交易的客户端 收获信用卡号。网页浏览攻击 飙升187%. 

银行Emotet 木马 具有 困扰世界超过五年,在2019年保持滚动和发展;如今,它主要用于运行传播其他木马(例如TrickBot)的木马网络。根据 共费,在2019年的最后三个月 表情包 用完了 290,000个受损的电子邮件地址 传播恶意软件,包括 33,000个独特的附件

安全失败的代价

传说银行抢劫犯威利·萨顿(Willie Sutton)表示,他之所以抢劫银行是因为“钱就在那里”。和 Verizon的违规报告 确认这是网络犯罪的主要动机: 报告的71%的违规是出于经济动机。但显然,网络罪犯的收益是守法公民的损失,而这些损失加在一起。

还记得当我们高谈阔论电子邮件和网络钓鱼仍然是恶意软件传播的主要方式吗?好吧,造成的损失是惊人的。 RiskIQ估计由于网络钓鱼攻击,每分钟损失$ 17,700。但这仅仅是损害的开始。当涉及到数据泄露时,受害者所遭受的损失并没有像 Equifax骇客,但它们仍然可能很糟糕: IBM研究了超过500个组织的违规情况 并将受影响企业的平均财务损失定为392万美元,其中包括罚款和工时损失。  

埃森哲将自己的研究 各种类型的网络攻击的成本,结果有趣。 恶意软件费用最高,造成受害者的损失高达260万美元。令人惊讶的是,鉴于其在新闻中的突出地位, 勒索软件 排在最后,每则攻击的平均损失仅为$ 646,000。而且这包括诸如生产力损失之类的附带成本,而不仅仅是赎金本身:此类攻击中的赎金支付通常非常低。 数据违规今天钉住了平均支出 2019年第三季度为$ 41,000。请注意,支出通常为零,因为拥有良好备份策略或决心不屈服的组织有时会拒绝支付。实际上,支付赎金的受害者百分比 因国家而异:77%的加拿大受害人这样做,而美国人只有3%;德国和英国介于这两个极端之间。   

最后,请记住,由于法规越来越多地使不安全或用户敌对的数据实践在财务上具有风险,因此即使您根本不被黑客入侵,不当的安全措施也会使您付出代价。例如去年 谷歌被罚款5700万美元 在法国 不符合GDPR

预算和支出重点

随着这些潜在损失的迫近,企业意识到他们必须花钱保护自己,并据此计划预算。 首席信息官.com 2020的受访者 首席信息官研究的状态 绝对值得关注: 34%的人认为安全和风险管理是整体IT支出的第一大推动力 在他们的组织。

IDG的 安全性研究 提供一些有关如何制定特定支出决策的见解。在回应公司中, 73%的人认为支出被迫与行业最佳实践保持一致, 令人鼓舞的(如果有些含糊)的反应,表明有动机去做正确的事情。另一方面,有66%的人会将部分预算用于 遵守法律法规,虽然有人可能认为这只是代表政府强制与最佳做法保持一致,但许多企业并不这么认为:接受调查的受访者表示,合规性要求是对执行战略计划的“干扰”。

2019年最大的支出案例之一是,公司正在决定他们需要网络安全方面的外部帮助。 托管安全服务从事件响应援助到完整的基础架构管理,其范围越来越广:正在这些服务上花费 2019年达到642亿美元,对基础设施保护和网络安全设备的投资是原来的两倍以上。 Kennet研究 估计这笔支出将 以两位数的速度增长 在接下来的四年中。

Kennet研究也有一些 关于中小企业安全状态的令人沮丧的消息。在2019年针对中小型企业决策者的调查中, 18%的人将网络安全列为最低优先事项。这种态度是由一定程度的自满情绪驱动的: 66%的人认为网络攻击不太可能 - 即使 实际上,2019年有67%的中小企业受到网络攻击. 

网络安全职业人数

如果只有一条消息,所有这些数字都应该引起网络安全专家的注意,那就是: 您需要! 首席信息官的研究状况表明 40%的IT领导者表示,网络安全工作是最难​​填补的。因为,根据 ISC2研究,网络安全专业人员可以有效地 0%的失业率。 (可能是尚未开发的新型网络安全专家的来源?女性: 网络安全劳动力目前仅占20%

由于网络安全至关重要且需求很高,因此,信息安全在许多公司中获得机构实力并不令人感到意外。根据CIO研究的现状, 54%的回应组织在最高管理层设有一名安全官, 像首席安全官(公民社会组织),首席信息安全官(首席信息安全官)等。这些工作并不一定只是被IT所孤立:对于每个工作头衔, 超过40%的人直接向首席执行官汇报 而不是交给CIO或其他高层IT主管。 (另一个有趣的事实表明,高级网络安全专家的需求量很大:外部组织与这些高管有25%的接触,他们试图使他们脱离目前的工作。)

所有这些加在一起,使网络安全成为可以入侵网络安全人员的丰厚工作机会。截至2020年初, 邮递员 与美国企业级网络安全专家的平均工资挂钩 年薪$ 74,340。 (几乎是 所有入门级工作的全国平均水平。)并且,更专业的工作要求更高的薪水: 根据蒙多,应用程序安全工程师可以 年薪不超过$ 180,000,而信息安全经理可以 净值高达$ 215,000 一年。与我们在本文中提到的许多令人恐惧的数字不同,这些数字应该是网络安全专业人员耳熟能详的音乐。

版权© 2020 IDG通讯,Inc.