全球网络安全状况、数字及统计（2020版）

• 94%的恶意软件通过电子邮件传播
  

• 80%的安全事件是网络钓鱼引起的

• 每分钟由于钓鱼攻击造成的损失为1.77万美元

• 60%与漏洞有关的侵入事件，属于已经有了补丁却没有修补的情况

• 63%的企业表示，在最近12个月内，由于硬件或芯片级别的攻击，导致数据可能已经遭受侵害

• 2019年上半年，针对IoT设备的攻击翻了三倍，无文件攻击上升了256%

• 平均每起数据泄露事件给企业带来的损失为392万美元

• 40%的IT负责人表示，网络安全职位最难招人

如果想找一些统计数字来支撑对当今网络威胁环境的判断，下面的内容能够提供帮助：

一、漏洞及脆弱性

威瑞森的报告[1]显示，94%的恶意软件通过电子邮件传播，排名第一的社会工程攻击是网络钓鱼。40%的网络钓鱼，其命令与控制服务器位于美国[2]。CVE列表中的1.1万个可利用通用系统软件漏洞，34%没有修补，虽然已经有补丁[3]。打补丁的好处，一个典型的例子就是微软公式编辑器中的一个漏洞CVE-2017-11882，在升级完系统或是打上补丁后，利用这个漏洞的恶意软件传播急剧下降了70%。好处如此明显，但仍然有60%与漏洞有关的侵入事件，属于已经有了补丁却没有修补的情况[4]。再来看看底层硬件方面。戴尔的统计报告显示，63%的企业表示，在最近12个月内，由于硬件或芯片级别的攻击，导致数据可能已经遭受侵害，只有28%的企业对自己的硬件安全管理提供商感到满意[5]。无所不在的IoT设备，威胁趋势更是触目惊心。尽管早在2016年爆发的Miral僵尸网络攻击，已经给业界敲响了警钟。2019年上半年，针对IoT设备的攻击还是翻了三倍[6]。

二、恶意软件趋势

卡巴斯基的统计[7]显示，其Web防病毒平台在2019年发现了2461万款恶意软件，相比于2018年14%的增长，约20%的互联网用户受到过这些恶意软件的攻击。攻击手段更加高明，而且攻击对象也开始向能够获取更大利益的目标转移。据Malware Bytes的统计[8]，针对个人消费者的攻击下降了2%，但针对企业的攻击却上升了13%。而且，2019年最流行的恶意软件攻击是通过黑客工具，增长了224%。攻击手法方面，无文件攻击持续增长。趋势科技的研究[9]显示，2019年上半年，无文件攻击上升了256%。通过注入web服务器或在线支付客户端以收集信用卡号的web skimmer攻击，则上升了187%[9]。一款名为Emotet的银行木马，已经在全球传播了5年，并且不断变化。在2019年最后三个月里，Emotet使用了29万个被入侵的邮件地址进行传播，包含了3.3万个唯一特征的恶意附件[10]。

三、安全事件的成本

网络犯罪的最大动机就是金钱。威瑞森的数据泄露报告显示，71%的侵入都是以经济利益为目的。侵入带来的损失也是巨大的，据估计，每分钟由于钓鱼攻击造成的损失为1.77万美元[11]。但这只是冰山一角，数据泄露带来的损失更为惊人。IBM通过对500家机构的调查[12]发现，包括罚款和损失的工作时间等，每起数据泄露事件平均造成392万美元的损失。再来看看艾森哲的研究报告[13]，恶意软件攻击给受害者带来的损失，最高为260万美元。最低的是勒索软件，平均64.6万美元。值得注意的是，主要的损失不是支付赎金，而是生产率的损失。2019年第三季度，平均支付赎金只有4.1万美元[13]。但注意，这个数字是在许多机构因为有良好的备份机制，对勒索行为是零支付的情况下。有趣的是，不同的国家，受害者的行为竟然非常不同。在加拿大，77%的勒索软件受害者会支付赎金，而美国只有3%。德国与英国位居其中[14]。最后，即便是没有被入侵也会有损失。谷歌由于违背GDPR，被法国政府罚了5700万美元[15]。

四、预算与花费

企业已经意识到网络攻击带来的严重后果，于是纷纷加强在网络安全方面的预算与投入。IDG的《2020首席信息官状况》调查报告[15]显示，34%的企业在安全与风险管理方面的投入是整个企业IT花费的最大头。IDG的另一份调查《安全优先投入调查》[16]，则展示了决策者是如何作出投入决策的。73%的受访者表示，业界的最佳实践驱动安全的投入决策，66%的受访者则把部分预算用于合规。这两个相差不多的数字，会给人一种安全需求和安全合规属于并驾齐驱的感觉。但许多受访者并不这么认为，他们认为合规的强制性反而不利于执行他们自己的安全规划，原因在于分散了他们的精力和资源。2019年最大的安全投入趋势是，企业开始寻求外部的帮助。托管安全服务(MSP)，从事件响应协助到基础设施管理，越来越受到市场的接受。2019年的市场规模达到了642亿美元，两倍于基础设施保护与网络安全设备的投入[17]。另据研究机构Kennet的估计，对MSP的需求在未来四年内将保持两位数的增长率[18]。但令人失望的是中小企业对待安全的态度，2019年Kennet对中小企业决策者的调查显示，18%的受访者把网络安全的位置排到了最后[19]。这种态度或多或少与他们的安全认识有关，66%的人认为网络攻击不大可能发生在自己身上，尽管在2019年已经有67%的中小企业遭遇过网络攻击。

五、网络安全人才

相对于网络安全威胁的严重程度不断上升的坏消息而言，当前对网络安全人才的巨大需求，是网络安全从业者的好消息。上文中提到的《2020首席信息官状况》报告显示，40%的IT负责人认为网络安全职位最难招到人。据ISC2的调查[20]，网络安全从业者的失业率为零。人才紧缺问题，女性从业者可能是一个有效的补充，目前网络安全职位女性只占20%[21]。对网络安全的迫切和关键需求，带来了安全人员地位的提升。《2020首席信息官状况》在这方面的统计，54%的受访机构有一名安全主管是C级别，如首席安全官或首席信息安全官。而且，有40%的机构安全主管直接向CEO汇报，而不是CIO或IT高管。还有一个有趣的现象，25%的安全高管受到过其他企业的邀请，请他们跳槽。薪金方面，在美国入门级的网络安全人员平均年薪为7.4万美元，这几乎是美国的入门级工作平均薪水的两倍[22]。而更加专业的工作岗位，如应用安全工程师，则达到了年薪18万美元，信息安全经理21.5万美元[23]。安全，大有可为。