2023年對企業(yè)網(wǎng)絡安全人士并不友好：數(shù)字化轉(zhuǎn)型深入、攻擊面快速增長，人工智能技術爆發(fā)，網(wǎng)絡犯罪正在成為第三大“經(jīng)濟體”，地緣政治和戰(zhàn)爭進一步加劇技術去中立化和巴爾干化，黑客攻擊技術日趨復雜化和“民主化”，而企業(yè)網(wǎng)絡安全預算和人力資源卻拙荊見肘。

面對雨后春筍般快速增長的安全威脅，企業(yè)網(wǎng)絡安全人士只有聚焦關鍵業(yè)務需求、關鍵威脅趨勢才能制定有效的網(wǎng)絡安全計劃。

以下，我們整理了2023年全球數(shù)十位安全專家關注的34個關鍵統(tǒng)計數(shù)據(jù)，涉及網(wǎng)絡犯罪、職業(yè)發(fā)展和威脅趨勢，希望能為廣大網(wǎng)絡安全人士制定2023年安全計劃提供參考。

數(shù)據(jù)安全（1-10）

到2025年，人類的數(shù)據(jù)總量將達到175ZB，這些數(shù)據(jù)包括從流媒體視頻和約會應用程序到醫(yī)療數(shù)據(jù)庫，數(shù)據(jù)安全的重要性和面臨的威脅正同步增長。

1.供應鏈攻擊將影響近半數(shù)企業(yè)。過去幾年沒有比供應鏈攻擊危害更大的安全威脅了。例如開源世界中軟件管理供應商SolarWinds和Log4j的漏洞，使全球的組織面臨風險。分析公司Gartner預測，到2025年，45%的全球組織將以某種方式受到供應鏈攻擊的影響。

2.漏洞數(shù)量持續(xù)增長。HackerOne 2022“黑客驅(qū)動的安全報告”發(fā)現(xiàn)，道德黑客僅在2022年就能夠發(fā)現(xiàn)超過65,000個漏洞，比2021年增加21%。

3.防御技術跟不上攻擊技術的發(fā)展。根據(jù)世界經(jīng)濟論壇“2022年全球風險報告”，網(wǎng)絡犯罪份子的攻擊技術和策略日趨復雜，企業(yè)、政府和個人采取的網(wǎng)絡安全措施越來越過時。

4.2023年網(wǎng)絡犯罪造成的損失將高達8萬億美元。根據(jù)由eSentire贊助的Cybersecurity Ventures的“2022年官方網(wǎng)絡犯罪報告”，網(wǎng)絡犯罪的成本預計到2023年將達到8萬億美元，到2025年將增長到10.5萬億美元。

5.身份欺詐損失高達520億美元（美國）。雖然企業(yè)試圖保護自己的敏感文件免受攻擊，但客戶信息卻存儲在世界各地易受攻擊的數(shù)據(jù)庫中。根據(jù)Javelin Strategy &Research的“2022年身份欺詐研究：虛擬戰(zhàn)場”，身份欺詐損失總計520億美元，影響了4200萬美國成年人。

6.數(shù)據(jù)泄漏平均檢測時間為277天。根據(jù)IBM和Ponemon Institute發(fā)布的一份報告“2022年數(shù)據(jù)泄露成本”，安全團隊平均需要277天才能識別和控制數(shù)據(jù)泄露。

7.加密劫持快速增長。根據(jù)卡巴斯基實驗室的數(shù)據(jù)，加密劫持非常普遍，到2022年將增長230%。

8.加密劫持月入1600美元。卡巴斯基同一項研究顯示，大多數(shù)黑客從加密劫持中賺取的金額不定，平均每月約1600美元。

9.憑證數(shù)據(jù)泄漏成本遠高于普通數(shù)據(jù)泄漏。根據(jù)IBM的“2022年數(shù)據(jù)泄露成本”報告，涉及憑證丟失或被盜的數(shù)據(jù)泄露需要更長的時間來識別，并且比普通數(shù)據(jù)泄露造成的成本高出150,000美元。

10.網(wǎng)絡犯罪投訴量創(chuàng)新高。FBI的互聯(lián)網(wǎng)犯罪投訴中心報告稱，2021年的投訴量為847,376件，創(chuàng)歷史新高。這些投訴造成的總損失超過69億美元。

重大網(wǎng)絡安全威脅（11-17）

安全威脅有很多種。安全事件并不一定意味著數(shù)據(jù)已經(jīng)泄露，有時只是數(shù)據(jù)面臨威脅。最主要的安全威脅類型分別是：惡意軟件、勒索軟件、社會工程、網(wǎng)絡釣魚、憑據(jù)盜竊和分布式拒絕服務(DDoS)攻擊：

11.82%的數(shù)據(jù)泄漏源自人為因素。根據(jù)Verizon“2022年數(shù)據(jù)泄露調(diào)查報告”，82%的數(shù)據(jù)泄露的根本原因是人為因素。人為因素在網(wǎng)絡釣魚攻擊和被盜憑證中扮演著重要角色。網(wǎng)絡釣魚通常通過電子郵件、短信和協(xié)作工具和社交媒體進行，誘使用戶點擊惡意鏈接或交出敏感信息。

12.移動惡意軟件感染數(shù)量銳減。根據(jù)卡巴斯基實驗室的一份報告，2022年第三季度移動惡意軟件感染數(shù)量銳減至560萬。

13.勒索軟件威脅持續(xù)增長。勒索軟件攻擊是所有行業(yè)和企業(yè)面臨的共同威脅，而且只會越來越嚴重?？ò退够鶎嶒炇覉箫@示，在2022年前10個月，受針對性勒索軟件影響的用戶比例翻了一番。

14.網(wǎng)絡釣魚攻擊暴增。根據(jù)SlashNext的“2022年網(wǎng)絡釣魚狀況”報告，2022年網(wǎng)絡釣魚攻擊增加了61%。反網(wǎng)絡釣魚工作組(APWG)報告稱，在2022年第三季度總共觀察到300萬次網(wǎng)絡釣魚攻擊，這是該組織觀察到的最糟糕的一個季度。

15.預付費欺詐卷土重來。根據(jù)APWG的數(shù)據(jù)，預付費欺詐詐騙在2022年最有害的電子郵件攻擊類型中再次出現(xiàn)，該詐騙在2022年第三季度增長了1,000%以上。在預付費用欺詐騙局中，如果毫無戒心的用戶能夠預先支付預付費用，攻擊者就會得到一筆意外之財。

16.DDoS攻擊帶寬增加。2022年最大的DDoS攻擊之一是Cloudflare在今年第三季度報告的2.5 Tbps攻擊。根據(jù)Netscout的2022年《DDoS威脅情報報告》，2022年上半年的最大DDoS攻擊帶寬較2021年下半年增長57%至957.9 Gbps，全球攻擊總數(shù)超過600萬次。在全球范圍內(nèi)，亞太地區(qū)的攻擊頻率實際上減少了9%。相比之下，北美的DDoS攻擊頻率增加了2%。

17.勒索DDoS呈上升趨勢。Cloudflare還報告了勒索贖金的DDoS攻擊呈上升趨勢，到2022年同比增長67%。勒索DDoS攻擊者聲稱他們只有在收到贖金后才會停止攻擊。

網(wǎng)絡犯罪帶來的損失（18-24）

網(wǎng)絡犯罪活動可能會影響企業(yè)多年。與網(wǎng)絡攻擊相關的成本，包括訴訟、保險費率上漲、刑事調(diào)查和負面報道，可能會使公司迅速倒閉。

18.數(shù)據(jù)泄漏成本飆升，安全意識培訓是數(shù)據(jù)安全戰(zhàn)略的重點之一。根據(jù)埃森哲的《2021年網(wǎng)絡安全彈性狀況》報告，數(shù)據(jù)泄露的成本將從每年3萬億美元增加到2024年的5萬億美元以上。

維持企業(yè)網(wǎng)絡安全彈性和數(shù)據(jù)安全的關鍵是確保非網(wǎng)絡安全員工知道安全如何識別和應對安全威脅。建立安全意識培訓計劃是任何公司安全戰(zhàn)略的必要組成部分。從員工到CEO，企業(yè)成員經(jīng)常被網(wǎng)絡釣魚電子郵件淹沒。當企業(yè)環(huán)境中有移動和物聯(lián)網(wǎng)設備時，必須制定移動事件響應計劃。

19.單次攻擊損失暴增。根據(jù)《2022年Hiscox網(wǎng)絡就緒報告》，2022年單次攻擊（無論是數(shù)據(jù)泄露、惡意軟件、勒索軟件還是DDoS攻擊）給美國公司造成的損失中位數(shù)為18,000美元，高于2021年的10,000美元，其中47%的美國企業(yè)在某些地區(qū)遭受網(wǎng)絡攻擊。

20.平均數(shù)據(jù)泄漏成本高達435萬美元。根據(jù)上述IBM/Ponemon Institute報告，2022年數(shù)據(jù)泄露事件的平均總成本為435萬美元。醫(yī)療保健行業(yè)的違規(guī)行為損失最高，平均為1010萬美元。美國的數(shù)據(jù)泄露成本最高，高達944萬美元。

21.中小企業(yè)成為熱門目標。據(jù)埃森哲稱，雖然43%的攻擊針對中小企業(yè)，但這些企業(yè)中只有14%準備好自衛(wèi)。

22.美國政府網(wǎng)絡安全年度預算超過100億美元。不包括國防部在內(nèi)，美國政府已為2023年制定了108.9億美元的網(wǎng)絡安全支出預算。國土安全部將在2023年收到約26億美元。

23.失竊數(shù)據(jù)超過330億條。到2023年，網(wǎng)絡犯罪分子將竊取超過330億條數(shù)據(jù)記錄，比2018年增長175%。

24.全球網(wǎng)絡安全培訓市場規(guī)模將達到100億美元。根據(jù)Cyber security Ventures的數(shù)據(jù)，到2027年，全球網(wǎng)絡安全培訓支出將達到100億美元。隨著在線用戶數(shù)量的增加，內(nèi)部威脅與來自企業(yè)外部的威脅同樣重要。培訓員工識別并報告安全威脅可以有效增強企業(yè)的網(wǎng)絡防御策略。

網(wǎng)絡安全行業(yè)的熱點趨勢（25-29）

從2022年起，網(wǎng)絡犯罪并不是安全專家應該考慮的唯一新聞。以下是與事件響應、攻擊和測試相關的一些主要行業(yè)熱點趨勢：

25.六成企業(yè)遭遇深度偽造攻擊。根據(jù)VMware的2022年《全球事件響應威脅報告》，66%的組織發(fā)現(xiàn)了深度偽造（deepfake）。該報告還發(fā)現(xiàn)，65%的組織報告稱在俄羅斯入侵烏克蘭后網(wǎng)絡攻擊有所增加。

26.FBI網(wǎng)絡通緝名單超過100人。FBI的網(wǎng)絡通緝犯名單列出了100多個密謀對美國犯下最具破壞性罪行的個人和團體。這些罪行包括計算機入侵、電匯欺詐、身份盜竊、間諜活動、商業(yè)機密盜竊和許多其他罪行。

27.VPN市場面臨壟斷。安全研究公司VPNpro的報告顯示，VPN市場正在被國家力量壟斷。97家頂級VPN由23家母公司運營，其中許多母公司位于隱私法松懈的國家。

28.企業(yè)提高軟件安全測試頻率。根據(jù)Veracode“軟件安全狀況，第12卷”報告，企業(yè)正在執(zhí)行比以往更多的應用程序安全測試掃描。2021年，大多數(shù)公司大約每周掃描3次申請——高于2010年的每年3次。

29.移動設備安全惡化。已獲得root權限或越獄的設備，以及可能安裝了惡意軟件的設備是企業(yè)面臨的重大風險。另一個移動風險來自越來越多的基于短信的商業(yè)電子郵件泄露攻擊（BEC）。根據(jù)美國聯(lián)邦通信委員會的數(shù)據(jù)，2022年未經(jīng)請求的短信數(shù)量是2019年的三倍。

網(wǎng)絡安全人才與技能短缺（30-34）

網(wǎng)絡安全行業(yè)的人才短缺問題由來已久。Forrester Research的安全與風險研究主管約瑟夫·布蘭肯希普(Joseph Blankenship)建議企業(yè)從內(nèi)部挖掘適合安全崗位的員工，并提供必要的培訓。企業(yè)有很多適合轉(zhuǎn)崗網(wǎng)絡安全的人才，例如網(wǎng)絡管理員、開發(fā)人員、系統(tǒng)工程師都具備從事網(wǎng)絡安全工作所需的能力。

其他安全就業(yè)統(tǒng)計數(shù)據(jù)如下：

30.全球網(wǎng)絡安全人才缺口為340萬人。根據(jù)2022年“(ISC)2網(wǎng)絡安全勞動力研究”，到2022年底，美國的安全勞動力缺口為436,080個，全球為340萬個。

31.六成企業(yè)難以留住安全人才。ISACA的“2022年網(wǎng)絡安全狀況”報告指出，62%的企業(yè)認為他們在網(wǎng)絡安全專業(yè)人員方面人手不足。雪上加霜的是，該研究發(fā)現(xiàn)60%的企業(yè)難以留住合格的網(wǎng)絡安全人員。

32.網(wǎng)絡安全人員離職的主要原因是被挖角。同一項調(diào)查顯示，網(wǎng)絡安全人員離職的主要原因是他們被其他公司招聘。調(diào)查顯示，員工離職的其他主要原因是工作壓力大和缺乏管理支持。

33.網(wǎng)絡安全主管離職率驚人。據(jù)賽門鐵克稱，三分之二的網(wǎng)絡安全決策者想要辭職，五分之四的安全專業(yè)人員表示他們已經(jīng)筋疲力盡。調(diào)查受訪者表示，他們覺得長期超負荷狀態(tài)的職業(yè)注定會失敗。

34.不同地區(qū)網(wǎng)絡安全薪酬待遇差距巨大。網(wǎng)絡安全是一個高薪工作領域，尤其是在北美。根據(jù)(ISC)2的研究，北美網(wǎng)絡安全專業(yè)人員的平均工資為134,800美元。這一數(shù)字在歐洲、中東和非洲降至93,535美元，在拉丁美洲降至22,185美元甚至更低。