2023年10月1日,在埃森哲的委託下,ponemon發布了第九次網路犯罪成本研究報告。根據這份訪談了來自全球7個國家,254個公司,2182名受訪者的報告顯示,全球乙個組織或企業用於網路安全的年平均成本(/花費)是1170萬美元,比去年增長了22.7%,美國地區更是高達2122萬美元;平均一年發生的安全(洩漏)事件有130起,比去年增加了27.4%。
如下圖,報告一共列舉了19個關鍵發現,從5個方面進行了闡述 。
我在這裡摘錄其中幾個進行敘述。
從***型別的角度來看,在這平均一年的開銷(1170萬美元)中,惡意軟體的開銷最高,達到236萬美元;其次是web***,達到201萬美元;再往後依次是拒絕服務、惡意內部人員、釣魚和社會工程、惡意**、失竊裝置、勒索軟體、殭屍網路。
針對上述9種***型別,在處理時間上,處理惡意*****問題所花費的時間最長,平均為55.2天,且比去年有所增長。其次是惡意內部人員,平均為50天。而勒索軟體***的處理時間也到達了23天。
從行業分布的角度來看,金融業是重災區,年均開銷在1828萬美元;通用設施和能源次之,為1720萬美元。再往後,依次是航天和防務、技術與軟體、衛生、服務、工業/製造、零售、公共部門、交通、消費品、通訊、生命科學、教育、酒店。
還有乙個很有趣的分析是針對企業/組織的安全投資回報的,如下圖所示:
ponemon給出了9種安全投資類別,其實就是9種安全技術/措施型別。圖中深色條的長度表示針對某種技術的投資程度,也就是問這9種技術用到了哪些,選的人越多,則投資程度(比例)越高,相應的色條越長。而稍淺色條的長度表示這種技術帶來的收益(節約成本)的程度,也就是問這9種技術哪些帶來了收益,選的人越多,則收益程度(比例)越高,相應的色條越長。然後再看兩個色條之間的差距,包括正差距和負差距。正值越高,說明這類技術的roi越好;相反,負值越高,則說明roi越差。
從上圖中,我們可以發現幾點【注意,以下幾點是我個人解讀】:
1)對邊界控制的投資最多,但效果卻一般般,跟投入不符。說明,重兵把守邊界的效果是不夠的。
2)對dlp的投資回報也不滿意。說明,dlp市場雖大,但效果仍需提公升,還有很多任務作要做。
3)對於合規(grc)的投入比例居中,但收益排倒數第二。說明在面對網路犯罪(***),合規性技術是不足以應對的,或者說是收效較低的。
4)安全智慧型系統投入比例不高,但效果卻十分可觀。說明這類系統的應用前景很好。
5)身份管理與訪問控制及治理(iam、iag)投入與回報相當,說明尚且ok,但投入需要達到一定高水平。
6)針對一些新興技術,譬如安全分析、ueba、安全編排與自動化(soa)、機器學習等等,投入不高,但收益反饋較好,尤其是ueba。這說明,企業/組織要花費更多的精力去投資新興技術。但也要注意,這類新興技術的投入比例在短期內依然不會成為主流,並且隨著這類投入的增加,其收益可能會遞減。我們可以看看2023年的報告對這個調研內容的持續跟蹤,再做同比分析。
對於上圖,報告給出的官方分析結論是:
1)組織需要更好地平衡不同的安全技術投資;
2)合規類技術很重要,但不能把寶壓在合規上;
3)組織需要抓住安全技術創新的機遇。
報告談到了當前組織/企業存在的問題,也給出了3個建議:
1)構建乙個健壯的基礎網路安全防禦體系,包括安全智慧型、訪問管理,同時持續創新,力爭跑在***前面;
2)進行極限壓力測試,不要僅僅依賴合規檢查,尤其需要通過極限壓力測試來識別隱藏的漏洞,力度甚至要大過有明確動機的***;
3)對突破性的創新技術進行投資,平衡對新技術的投入,尤其是安全分析和ai。
需要特別注意的是,上述分析圖表都是全球平均的情況。針對不同的國家,9類***的成本和花費時間的排序,以及不同安全投資類別的有效性都有不同。而且由於這個調研的樣本空間美國公司佔比多,因此,全球平均水平更接近美國的情況。而中國公司沒有參與,所以,對國內而言,上述資料僅供參考,我們可以從趨勢上進行研判。
而說到這裡,我想說,在看每個調研報告的時候,也要仔細看看他取樣的空間和時間、分析的模型和假設前提。尤其是看國外的報告的時候,因為我們往往不能簡單地將國外的調研結論簡單地適用於國內,而需要更加審慎的去分析,儘管很難。最起碼,看報告不要只看結論,要看清假設前提和研究方法。這一點上,國外有些報告做的比較好,很多相關資訊都列舉了出來。另一方面,我也有感於國內在這類調研分析領域的極度匱乏,並且也缺乏方**和模型,還缺乏調查研究的土壤。
回到報告,我們最容易產生的問題就是:ponemon是如何計算出這些開銷的?比較有意思的是,ponemon為此建立了乙個網路犯罪的成本框架,從直接成本、間接成本和機會成本三個維度建立了一套計算指標體系。
ponemon一共設計了9個成本指標,並分為內在成本指標(5個)和外延成本指標(4個)。內在成本指標包括:檢測開銷、調查和處置開銷、遏制開銷、恢復開銷、善後處理開銷。外延性成本指標包括:資訊資產洩漏或者失竊損失、業務中斷損失、裝置損壞、收入損失。所有這9個指標都會對映到三種成本專案上。直接成本:就是針對某個指標的直接產生的開銷;間接成本:就是不能直接以金錢衡量的時間、努力、或組織其它資源的開銷;機會成本:就是安全事件發生後由於聲譽受損而可能導致業務機會喪失等不良後果,以此來計算的成本開銷。
【參考】
普華永道:2023年全球資訊保安狀況調查分析報告
安永:第20次全球資訊保安調查報告(2017~2018)
德勤2023年金融機構安全研究報告
埃森哲 七成企業無法保護關鍵資產網路安全
埃森哲發布最新的安全指數稱,當前網路威脅正變得越發嚴重,全球73 的企業無法充分保護其 值資產及程式。報告發現,針對核心業務可能遭遇的種種威脅,全球只有34 的企業有能力進行監控。埃森哲安全指數的推出是為了衡量當前企業安全措施的有效性以及現有網路安全領域投資的充分性。該指數調查了2000家年度收入在...
2023年網路犯罪與社會安全(中國)論壇
為了強化網路和 資訊保安 打擊網路資訊違法犯罪,防止他國網路攻擊,保障 和個人資訊保安。公安部科技資訊化局 公安部 網路安全 保衛局和上海市公安局在2013年5月共同主辦了 網路犯罪 與社會安全 中國 論壇,截至目前已成功舉辦四屆。2014年網路犯罪與社會安全 中國 論壇於6月12日在上海召開,論壇...
2023年網路小說人氣排行榜
最近,由中國作家網路 家 中國公司贊助,到2017年,中國網路 排行榜公布,每半年一次的排名價值權威發布傳送工作組的工作,他們的閱讀列表贏得4個席位,未完成的工作列為五席,名單上有強大的行業類別的領袖結果表明,閱讀生態建設成果的全部內容,證明中國網路文學價值和社會價值。這份名單,材料與往年相比,希望...