2019年3月,埃森哲聯合Ponemon發佈了第九次網絡犯罪成本調研報告(Ninth Annual Cost of Cybercrime Study)。這份報告針對來自11個國家(都是發達經濟體,不含中國)的16個行業的355家公司的2647名高階主管進行了調研,結果顯示,隨着被攻|擊目標越來越多、影響越來越大、攻|擊手段越來越先進,安全泄露事件持續攀升,儘管組織的安全投入也在不斷增長,但其應付網絡攻|擊犯罪的成本(這裏的cost也可以叫做代價、開銷)仍然在不斷提升,預計從2019年到2023年的5年總風險價值5.2萬億美元。報告通過量化的成本計算模型,對各種攻|擊類型的不同成本項目進行了量化分析,揭示了降低網絡犯罪成本的三條快速路徑,即:優先遏制基於人的攻|擊(主要就是釣魚)、強化信息保護(主要就是數據安全)、投資那些回報率高的技術(包括情報、ML、IAM、行爲分析等)。
以下進一步進行分析:
從上圖可知,組織年均安全泄露從2017年的130起增長到2018年的145起,增長了11%,過去五年共增長了67%。
需要注意的是本報告對security breach的定義,不同於DBIR或者SANS的定義,這個的security breach泛指成功的網絡攻|擊(包括針對工控系統的攻|擊)。這裏的breach不等於一般討論的data breach,也不完全等於incident。按照我的理解,security breach > security incident > (data) breach。
上圖中還有一個數據,即只有16%的CISO表示他們對人員進行網絡安全審計,而人是報告認爲的當前最爲薄弱的安全環節。同樣,在安永第21次全球信息安全調查報告 中,也是將人列爲組織最大的弱點,並進一步揭示出與人的安全意識密切相關的釣魚攻|擊是最大的網絡威脅。
基於Ponemon的計算模型,報告得出網絡犯罪帶來的平均成本在2018年達到了1300萬美元,比上一年增長了12%,如下圖:
進一步按不同的行業細分進行分析,可以發現網絡犯罪給銀行業帶來的成本(損失)相對最大。如下圖:
而從攻|擊手段的角度來看,惡意軟件造成的損失最大,而勒索軟件與惡意內部用戶造成的損失增長最快。如下圖:
進一步分析每種攻|擊手段造成的不同影響性所帶來的成本分佈,如下圖:
可以看出,對於惡意軟件、web攻|擊、惡意代碼而言,最主要的影響是信息損失(即信息泄露帶來的損失);對於DoS而言最大的影響性顯然是業務中斷了。總體而言,最大損失的來自於信息損失。
從組織爲了對抗網絡犯罪所投入的不同階段的成本來看,36%的成本花在了發現攻|擊上,調查的成本佔22%,遏制的成本佔24%,恢復的成本佔18%,如下圖:
報告進一步指出,發現攻|擊的花費持續上升的原因包括各種安全技術的大量採用,譬如SIEM、DLP、NGFW、IDPS、UTM等,以及對相關人才的聘用。調查花費下降的原因則在於取證分析和威脅獵捕工具的運用,提升了調查的效率,此外,雲服務也大大提升了調查與遏制的效率。遏制的花費上升的原因主要是對抗威脅的複雜程度上升,以及合規性要求導致。修復的花費下降則主要是因爲編排與自動化技術的運用。
最有趣的圖還是這個對於不同的安全技術所發揮的作用的分析,如下圖:
從上圖,我們不難發現,安全情報與威脅共享是最能降低對抗網絡犯罪的成本的技術手段,同時,該技術的採用者佔了所有受訪者的67%。其次最有效的技術是自動化、AI和機器學習技術,再往後依次是高級IAM、網絡和用戶行爲分析、加密技術、GRC、自動化策略管理、DLP。
更有意思的是高級邊界控制技術,報告指出受訪者對該技術的平均投入達到了140萬美元,但收益卻是負值。我理解,這並不是說該技術沒有用,事實上仍然十分重要和基礎。但說明,我們要平衡在邊界控制阻斷與檢測和響應之間的投資比重,實現更高效的投資組合。
如下圖顯示的是2017年的分析 :
跟2017年度的調研結果相比,前四種高效的安全技術基本相同。
報告給出瞭解鎖(提升)網絡安全價值的三個步驟:
1)優先防範基於人的攻|擊。對人的審計是關鍵,培訓和教育必不可少,對第三方人員和合作伙伴的人員也要納入安全管理的範疇。
2)重點限制信息泄露和業務中斷的損失。信息保護是可信賴業務實踐的核心,要採用以數據爲中心的安全方法論,運用DLP和加密技術,加強對安全的度量。
3)關注新興安全技術,靈活投資和運用上面提及的高效安全技術。
最後,報告提供了Ponemon設計的網絡犯罪成本計算模型,如下圖所示,跟2017年的模型 略有不同。
【參考】