你是否正在寻找具体数字来支持自己对网络安全世界的感觉？对此，我们找到了一些研究调查，通过这些威胁以及IT专业人员的应对举措来帮助大家了解这个领域。

勒索软件威胁下降，加密货币挖矿（cryptomining）上升为顶级威胁。

随着去年NotPetya的爆发，加密用户的文件并要求用比特币支付赎金来恢复它们的勒索软件成为了2017年最受关注的恶意软件形式。然而与此同时，恶意软件的实际感染率从年中开始大幅下降，直到2017年12月，它们的感染率仅为10％左右。

到底发生了什么呢？似乎攻击者已经发现用蜂蜜可以比用醋捕获到更多的苍蝇，因此他们不再要求受害者支付比特币赎金，而是在受害者没有察觉的情况下悄悄在受害者的电脑里安装比特币挖矿软件。到2018年初，90％的远程代码执行攻击都与加密货币挖矿有关。

电子邮件仍然是头疼的问题

你是否已经厌倦了不断提醒公司工作人员不要点击任何老邮件中的附件？我们担心你可能不得不坚持下去，因为根据Verizon的《2018年数据泄露调查》报告显示，92％的恶意软件仍然是通过电子邮件发送的。

在电子邮件恶意软件感染中，最常见的方法之一是通过网络钓鱼攻击。这种攻击如今正变得越来越具有针对性。安全专家已经注意到了这一趋势。在《2018年CyberArk全球高级威胁态势报告》对1300名IT安全决策者进行的调查中，有56％的人表示有针对性的网络钓鱼攻击是他们面临的最大安全威胁。

无文件攻击正在增加

在恶意软件以.exe文件附加在电子邮件中的阶段，防病毒程序可以轻易评估和阻止这些文件。这种方式已经过时了。如今，所谓的无文件恶意软件正变得越来越普遍。无文件攻击是利用已安装在受害者计算机上的软件，而不是尝试下载大型的可执行文件。例如，它们可能会在浏览器插件中执行，如Microsoft Office宏，或是利用服务器程序中的漏洞注入恶意的可执行代码，就像Equifax数据泄露那样。据Ponemon Institute的《终端安全风险状况报告》显示，2017年77％的攻击都是无文件的攻击。

无事可做的代价极为昂贵

有时很难向管理层解释在受到网络攻击时企业的确切损失。毕竟，除非实际盗窃（或支付赎金），否则资金不会从违规企业的银行账户中流出，那么最重要的东西是什么呢？Ponemon在其关于勒索软件真实成本的报告中提供了一种思考方式，即对企业资产负债表的最大打击是迫使员工无事可做，因为受到破坏的网络和无法正常使用的计算机实际上是无法用于工作的。Ponemon将单次攻击的平均损失限定为500万美元，其中125万美元（占总数的四分之一）是系统宕机损失，另外150万美元（占30％）是IT和最终用户的生产力损失。

数据泄露事件仍不断出现

你可能无法阻止对基础设施的所有攻击。这就是为什么必须确定已出现的数据泄露事件并尽快修复漏洞的原因。在这方面，事情似乎基本上没有什么改善。Ponemon的《2017年数据泄露成本》研究发现，企业平均可在191天内发现数据泄露事件。这数字可能听起来令人十分震惊——超过六个月！然而这已经比2016年略有好转，2016年为201天。

政府监管逐渐受到认可

在企业中，通常很少有人对政府的法规有好感。但Thales的《2018年数据威胁报告》称，在保护敏感数据方面，企业还是对监管机构表示认可的。据Thales的调查显示，全球64％的受访者（74％的受访者在美国境内）认为在确保数据安全方面遵守合规要求是“非常”或“极为”有效的方式。这也许就解释了个中原因。《2018年IDG安全优先事项研究》显示，69％的企业认为合规性要求会推动支出。

遵守GDPR需要付出巨额费用

也就是说，合规性的费用是昂贵的，特别是在所有数据法规的始祖——欧盟《通用数据保护条例》（GDPR）出现之后。在2017年，普华永道对在欧盟开展业务的美国、英国和日本企业中300名技术高管进行的一项调查中发现，几乎所有人（88％）都表示其所在企业在为遵守2018年5月实施的GDPR的准备过程中花费了超过100万美元。40％的受访者表示他们的花费高达1000万美元甚至更多。所有这些支出对某些人来说是好事。该调查还显示，69％的高管计划雇用外部技术公司来帮助他们遵守这些法规。

安全性是否独立？

你的企业是否在高级管理层中设有安全主管，如果有，那么他们需要向谁报告？这个问题不仅涉及高层级的办公室政治，还涉及到谁在企业里做什么，以及他们如何合作这一核心。例如，在《2018年IDG安全优先级研究》中，75％的受访企业将安全和IT团队划归同一部门，25％的企业拥有独立的安全部门。但是，如果一家企业拥有专职的首席安全官或首席信息安全官，那么他们更有可能将安全问题分散到这些企业的单独部门中。调查显示，在这种企业中，40％的时间会出现上述情况。

工业控制系统易受攻击

工业控制系统，尤其是为制造工厂和核电站等各种智能设备提供智能的专用计算机硬软件，对于黑客来说一直是具有诱惑力的目标。根据《2017年关于工业网络安全的业务优势报告》，54％的企业在过去12个月内出现过工业控制系统安全事故，其中16％出现过三次或更多。

那么可能的原因是什么呢？没有将足够的注意力放在到底该控制哪些人能够访问这些关键系统。该报告发现，55％的抽样企业允许外部各方（如合作伙伴或服务提供商）访问其工业控制网络。

物联网系统也是如此

接入互联网的工业控制系统代表了物联网的第一波浪潮。如今那里已经拥有数以百万计的物联网设备，这意味着你需要保护这些对黑客来说极具诱惑力的庞大攻击面。在物联网安全方面，Trustwave公布的2018年报告给出了一些令人沮丧的数字：

● 64％的受访企业已部署了物联网设备，另有20％的受访企业计划在明年部署这些设备

● 但只有28％的企业认为他们的物联网安全策略“非常重要”，超过三分之一的企业认为只是有点重要，或者根本不重要

考虑到这两个事实，你还会对61％的受访者遇到过物联网安全事件而感到震惊吗？

我们正变得更加积极主动

在文章的最后，我们还是对未来充满希望的。让我们通过《2018年IDG安全优先事项研究》看看推动安全支出的因素都有哪些。（受访者可以选择多个因素，这就是为什么这些因素加起来会超过100％。）

● 74％：最佳实践

● 69％：合规要求

● 36％：对自己企业中发生的安全事件做出响应

● 33％：董事会授权

● 29％：对发生在其他企业中的安全事件做出响应

为什么我们说这是有希望的呢？因为公司如今正根据未来规划和法规中的指导方针主动提高自己的安全支出，而不是事后追加开支，被动应对这些攻击。信息安全官还能要求什么呢？

作者：Josh Fruhlinger为一名作家兼编辑，现居洛杉矶。

编译：陈琳华

原文网址：https://www.csoonline.com/article/3153707/security/top-cybersecurity-facts-figures-and-statistics.html

责任编辑：周星如