2023年對企業(yè)網絡安全人士并不友好：數字化轉型深入、攻擊面快速增長，人工智能技術爆發(fā)，網絡犯罪正在成為第三大“經濟體”，地緣政治和戰(zhàn)爭進一步加劇技術去中立化和巴爾干化，黑客攻擊技術日趨復雜化和“民主化”，而企業(yè)網絡安全預算和人力資源卻拙荊見肘。

面對雨后春筍般快速增長的安全威脅，企業(yè)網絡安全人士只有聚焦關鍵業(yè)務需求、關鍵威脅趨勢才能制定有效的網絡安全計劃。

以下，我們整理了2023年全球數十位安全專家關注的34個關鍵統(tǒng)計數據，涉及網絡犯罪、職業(yè)發(fā)展和威脅趨勢，希望能為廣大網絡安全人士制定2023年安全計劃提供參考。

數據安全（1-10）

到2025年，人類的數據總量將達到175ZB，這些數據包括從流媒體視頻和約會應用程序到醫(yī)療數據庫，數據安全的重要性和面臨的威脅正同步增長。

1.供應鏈攻擊將影響近半數企業(yè)。過去幾年沒有比供應鏈攻擊危害更大的安全威脅了。例如開源世界中軟件管理供應商SolarWinds和Log4j的漏洞，使全球的組織面臨風險。分析公司Gartner預測，到2025年，45%的全球組織將以某種方式受到供應鏈攻擊的影響。

2.漏洞數量持續(xù)增長。HackerOne 2022“黑客驅動的安全報告”發(fā)現，道德黑客僅在2022年就能夠發(fā)現超過65,000個漏洞，比2021年增加21%。

3.防御技術跟不上攻擊技術的發(fā)展。根據世界經濟論壇“2022年全球風險報告”，網絡犯罪份子的攻擊技術和策略日趨復雜，企業(yè)、政府和個人采取的網絡安全措施越來越過時。

4.2023年網絡犯罪造成的損失將高達8萬億美元。根據由eSentire贊助的Cybersecurity Ventures的“2022年官方網絡犯罪報告”，網絡犯罪的成本預計到2023年將達到8萬億美元，到2025年將增長到10.5萬億美元。

5.身份欺詐損失高達520億美元（美國）。雖然企業(yè)試圖保護自己的敏感文件免受攻擊，但客戶信息卻存儲在世界各地易受攻擊的數據庫中。根據Javelin Strategy &Research的“2022年身份欺詐研究：虛擬戰(zhàn)場”，身份欺詐損失總計520億美元，影響了4200萬美國成年人。

6.數據泄漏平均檢測時間為277天。根據IBM和Ponemon Institute發(fā)布的一份報告“2022年數據泄露成本”，安全團隊平均需要277天才能識別和控制數據泄露。

7.加密劫持快速增長。根據卡巴斯基實驗室的數據，加密劫持非常普遍，到2022年將增長230%。

8.加密劫持月入1600美元。卡巴斯基同一項研究顯示，大多數黑客從加密劫持中賺取的金額不定，平均每月約1600美元。

9.憑證數據泄漏成本遠高于普通數據泄漏。根據IBM的“2022年數據泄露成本”報告，涉及憑證丟失或被盜的數據泄露需要更長的時間來識別，并且比普通數據泄露造成的成本高出150,000美元。

10.網絡犯罪投訴量創(chuàng)新高。FBI的互聯(lián)網犯罪投訴中心報告稱，2021年的投訴量為847,376件，創(chuàng)歷史新高。這些投訴造成的總損失超過69億美元。

重大網絡安全威脅（11-17）

安全威脅有很多種。安全事件并不一定意味著數據已經泄露，有時只是數據面臨威脅。最主要的安全威脅類型分別是：惡意軟件、勒索軟件、社會工程、網絡釣魚、憑據盜竊和分布式拒絕服務(DDoS)攻擊：

11.82%的數據泄漏源自人為因素。根據Verizon“2022年數據泄露調查報告”，82%的數據泄露的根本原因是人為因素。人為因素在網絡釣魚攻擊和被盜憑證中扮演著重要角色。網絡釣魚通常通過電子郵件、短信和協(xié)作工具和社交媒體進行，誘使用戶點擊惡意鏈接或交出敏感信息。

12.移動惡意軟件感染數量銳減。根據卡巴斯基實驗室的一份報告，2022年第三季度移動惡意軟件感染數量銳減至560萬。

13.勒索軟件威脅持續(xù)增長。勒索軟件攻擊是所有行業(yè)和企業(yè)面臨的共同威脅，而且只會越來越嚴重?？ò退够鶎嶒炇覉箫@示，在2022年前10個月，受針對性勒索軟件影響的用戶比例翻了一番。

14.網絡釣魚攻擊暴增。根據SlashNext的“2022年網絡釣魚狀況”報告，2022年網絡釣魚攻擊增加了61%。反網絡釣魚工作組(APWG)報告稱，在2022年第三季度總共觀察到300萬次網絡釣魚攻擊，這是該組織觀察到的最糟糕的一個季度。

15.預付費欺詐卷土重來。根據APWG的數據，預付費欺詐詐騙在2022年最有害的電子郵件攻擊類型中再次出現，該詐騙在2022年第三季度增長了1,000%以上。在預付費用欺詐騙局中，如果毫無戒心的用戶能夠預先支付預付費用，攻擊者就會得到一筆意外之財。

16.DDoS攻擊帶寬增加。2022年最大的DDoS攻擊之一是Cloudflare在今年第三季度報告的2.5 Tbps攻擊。根據Netscout的2022年《DDoS威脅情報報告》，2022年上半年的最大DDoS攻擊帶寬較2021年下半年增長57%至957.9 Gbps，全球攻擊總數超過600萬次。在全球范圍內，亞太地區(qū)的攻擊頻率實際上減少了9%。相比之下，北美的DDoS攻擊頻率增加了2%。

17.勒索DDoS呈上升趨勢。Cloudflare還報告了勒索贖金的DDoS攻擊呈上升趨勢，到2022年同比增長67%。勒索DDoS攻擊者聲稱他們只有在收到贖金后才會停止攻擊。

網絡犯罪帶來的損失（18-24）

網絡犯罪活動可能會影響企業(yè)多年。與網絡攻擊相關的成本，包括訴訟、保險費率上漲、刑事調查和負面報道，可能會使公司迅速倒閉。

18.數據泄漏成本飆升，安全意識培訓是數據安全戰(zhàn)略的重點之一。根據埃森哲的《2021年網絡安全彈性狀況》報告，數據泄露的成本將從每年3萬億美元增加到2024年的5萬億美元以上。

維持企業(yè)網絡安全彈性和數據安全的關鍵是確保非網絡安全員工知道安全如何識別和應對安全威脅。建立安全意識培訓計劃是任何公司安全戰(zhàn)略的必要組成部分。從員工到CEO，企業(yè)成員經常被網絡釣魚電子郵件淹沒。當企業(yè)環(huán)境中有移動和物聯(lián)網設備時，必須制定移動事件響應計劃。

19.單次攻擊損失暴增。根據《2022年Hiscox網絡就緒報告》，2022年單次攻擊（無論是數據泄露、惡意軟件、勒索軟件還是DDoS攻擊）給美國公司造成的損失中位數為18,000美元，高于2021年的10,000美元，其中47%的美國企業(yè)在某些地區(qū)遭受網絡攻擊。

20.平均數據泄漏成本高達435萬美元。根據上述IBM/Ponemon Institute報告，2022年數據泄露事件的平均總成本為435萬美元。醫(yī)療保健行業(yè)的違規(guī)行為損失最高，平均為1010萬美元。美國的數據泄露成本最高，高達944萬美元。

21.中小企業(yè)成為熱門目標。據埃森哲稱，雖然43%的攻擊針對中小企業(yè)，但這些企業(yè)中只有14%準備好自衛(wèi)。

22.美國政府網絡安全年度預算超過100億美元。不包括國防部在內，美國政府已為2023年制定了108.9億美元的網絡安全支出預算。國土安全部將在2023年收到約26億美元。

23.失竊數據超過330億條。到2023年，網絡犯罪分子將竊取超過330億條數據記錄，比2018年增長175%。

24.全球網絡安全培訓市場規(guī)模將達到100億美元。根據Cyber security Ventures的數據，到2027年，全球網絡安全培訓支出將達到100億美元。隨著在線用戶數量的增加，內部威脅與來自企業(yè)外部的威脅同樣重要。培訓員工識別并報告安全威脅可以有效增強企業(yè)的網絡防御策略。

網絡安全行業(yè)的熱點趨勢（25-29）

從2022年起，網絡犯罪并不是安全專家應該考慮的唯一新聞。以下是與事件響應、攻擊和測試相關的一些主要行業(yè)熱點趨勢：

25.六成企業(yè)遭遇深度偽造攻擊。根據VMware的2022年《全球事件響應威脅報告》，66%的組織發(fā)現了深度偽造（deepfake）。該報告還發(fā)現，65%的組織報告稱在俄羅斯入侵烏克蘭后網絡攻擊有所增加。

26.FBI網絡通緝名單超過100人。FBI的網絡通緝犯名單列出了100多個密謀對美國犯下最具破壞性罪行的個人和團體。這些罪行包括計算機入侵、電匯欺詐、身份盜竊、間諜活動、商業(yè)機密盜竊和許多其他罪行。

27.VPN市場面臨壟斷。安全研究公司VPNpro的報告顯示，VPN市場正在被國家力量壟斷。97家頂級VPN由23家母公司運營，其中許多母公司位于隱私法松懈的國家。

28.企業(yè)提高軟件安全測試頻率。根據Veracode“軟件安全狀況，第12卷”報告，企業(yè)正在執(zhí)行比以往更多的應用程序安全測試掃描。2021年，大多數公司大約每周掃描3次申請——高于2010年的每年3次。

29.移動設備安全惡化。已獲得root權限或越獄的設備，以及可能安裝了惡意軟件的設備是企業(yè)面臨的重大風險。另一個移動風險來自越來越多的基于短信的商業(yè)電子郵件泄露攻擊（BEC）。根據美國聯(lián)邦通信委員會的數據，2022年未經請求的短信數量是2019年的三倍。

網絡安全人才與技能短缺（30-34）

網絡安全行業(yè)的人才短缺問題由來已久。Forrester Research的安全與風險研究主管約瑟夫·布蘭肯希普(Joseph Blankenship)建議企業(yè)從內部挖掘適合安全崗位的員工，并提供必要的培訓。企業(yè)有很多適合轉崗網絡安全的人才，例如網絡管理員、開發(fā)人員、系統(tǒng)工程師都具備從事網絡安全工作所需的能力。

其他安全就業(yè)統(tǒng)計數據如下：

30.全球網絡安全人才缺口為340萬人。根據2022年“(ISC)2網絡安全勞動力研究”，到2022年底，美國的安全勞動力缺口為436,080個，全球為340萬個。

31.六成企業(yè)難以留住安全人才。ISACA的“2022年網絡安全狀況”報告指出，62%的企業(yè)認為他們在網絡安全專業(yè)人員方面人手不足。雪上加霜的是，該研究發(fā)現60%的企業(yè)難以留住合格的網絡安全人員。

32.網絡安全人員離職的主要原因是被挖角。同一項調查顯示，網絡安全人員離職的主要原因是他們被其他公司招聘。調查顯示，員工離職的其他主要原因是工作壓力大和缺乏管理支持。

33.網絡安全主管離職率驚人。據賽門鐵克稱，三分之二的網絡安全決策者想要辭職，五分之四的安全專業(yè)人員表示他們已經筋疲力盡。調查受訪者表示，他們覺得長期超負荷狀態(tài)的職業(yè)注定會失敗。

34.不同地區(qū)網絡安全薪酬待遇差距巨大。網絡安全是一個高薪工作領域，尤其是在北美。根據(ISC)2的研究，北美網絡安全專業(yè)人員的平均工資為134,800美元。這一數字在歐洲、中東和非洲降至93,535美元，在拉丁美洲降至22,185美元甚至更低。