埃森哲:2017年網絡犯罪成本研究報告(含分析)
如下圖,報告一共列舉了19個關鍵發現,從5個方面進行了闡述 。
我在這裏摘錄其中幾個進行敘述。
從攻擊類型的角度來看,在這平均一年的開銷(1170萬美元)中,惡意軟件的開銷最高,達到236萬美元;其次是WEB攻擊,達到201萬美元;再往後依次是拒絕服務、惡意內部人員、釣魚和社會工程、惡意代碼、失竊設備、勒索軟件、僵屍網絡。
針對上述9種攻擊類型,在處理時間上,處理惡意代碼攻擊問題所花費的時間最長,平均為55.2天,且比去年有所增長。其次是惡意內部人員,平均為50天。而勒索軟件攻擊的處理時間也到達了23天。
從行業分布的角度來看,金融業是重災區,年均開銷在1828萬美元;通用設施和能源次之,為1720萬美元。再往後,依次是航天和防務、技術與軟件、衛生、服務、工業/制造、零售、公共部門、交通、消費品、通訊、生命科學、教育、酒店。
還有一個很有趣的分析是針對企業/組織的安全投資回報的,如下圖所示:
Ponemon給出了9種安全投資類別,其實就是9種安全技術/措施類型。圖中深色條的長度表示針對某種技術的投資程度,也就是問這9種技術用到了哪些,選的人越多,則投資程度(比例)越高,相應的色條越長。而稍淺色條的長度表示這種技術帶來的收益(節約成本)的程度,也就是問這9種技術哪些帶來了收益,選的人越多,則收益程度(比例)越高,相應的色條越長。然後再看兩個色條之間的差距,包括正差距和負差距。正值越高,說明這類技術的ROI越好;相反,負值越高,則說明ROI越差。
從上圖中,我們可以發現幾點【註意,以下幾點是我個人解讀】:
1)對邊界控制的投資最多,但效果卻一般般,跟投入不符。說明,重兵把守邊界的效果是不夠的。
2)對DLP的投資回報也不滿意。說明,DLP市場雖大,但效果仍需提升,還有很多工作要做。
3)對於合規(GRC)的投入比例居中,但收益排倒數第二。說明在面對網絡犯罪(攻擊),合規性技術是不足以應對的,或者說是收效較低的。
4)安全智能系統投入比例不高,但效果卻十分可觀。說明這類系統的應用前景很好。
5)身份管理與訪問控制及治理(IAM、IAG)投入與回報相當,說明尚且OK,但投入需要達到一定高水平。
6)針對一些新興技術,譬如安全分析、UEBA、安全編排與自動化(SOA)、機器學習等等,投入不高,但收益反饋較好,尤其是UEBA。這說明,企業/組織要花費更多的精力去投資新興技術。但也要註意,這類新興技術的投入比例在短期內依然不會成為主流,並且隨著這類投入的增加,其收益可能會遞減。我們可以看看2018年的報告對這個調研內容的持續跟蹤,再做同比分析。
對於上圖,報告給出的官方分析結論是:
1)組織需要更好地平衡不同的安全技術投資;
2)合規類技術很重要,但不能把寶壓在合規上;
3)組織需要抓住安全技術創新的機遇。
報告談到了當前組織/企業存在的問題,也給出了3個建議:
1)構建一個健壯的基礎網絡安全防禦體系,包括安全智能、訪問管理,同時持續創新,力爭跑在黑客前面;
2)進行極限壓力測試,不要僅僅依賴合規檢查,尤其需要通過極限壓力測試來識別隱藏的漏洞,力度甚至要大過有明確動機的黑客;
3)對突破性的創新技術進行投資,平衡對新技術的投入,尤其是安全分析和AI。
需要特別註意的是,上述分析圖表都是全球平均的情況。針對不同的國家,9類攻擊的成本和花費時間的排序,以及不同安全投資類別的有效性都有不同。而且由於這個調研的樣本空間美國公司占比多,因此,全球平均水平更接近美國的情況。而中國公司沒有參與,所以,對國內而言,上述數據僅供參考,我們可以從趨勢上進行研判。
而說到這裏,我想說,在看每個調研報告的時候,也要仔細看看他采樣的空間和時間、分析的模型和假設前提。尤其是看國外的報告的時候,因為我們往往不能簡單地將國外的調研結論簡單地適用於國內,而需要更加審慎的去分析,盡管很難。最起碼,看報告不要只看結論,要看清假設前提和研究方法。這一點上,國外有些報告做的比較好,很多相關信息都列舉了出來。另一方面,我也有感於國內在這類調研分析領域的極度匱乏,並且也缺乏方法論和模型,還缺乏調查研究的土壤。
回到報告,我們最容易產生的問題就是:Ponemon是如何計算出這些開銷的?比較有意思的是,Ponemon為此建立了一個網絡犯罪的成本框架,從直接成本、間接成本和機會成本三個維度建立了一套計算指標體系。
Ponemon一共設計了9個成本指標,並分為內在成本指標(5個)和外延成本指標(4個)。內在成本指標包括:檢測開銷、調查和處置開銷、遏制開銷、恢復開銷、善後處理開銷。外延性成本指標包括:信息資產泄漏或者失竊損失、業務中斷損失、設備損壞、收入損失。所有這9個指標都會映射到三種成本項目上。直接成本:就是針對某個指標的直接產生的開銷;間接成本:就是不能直接以金錢衡量的時間、努力、或組織其它資源的開銷;機會成本:就是安全事件發生後由於聲譽受損而可能導致業務機會喪失等不良後果,以此來計算的成本開銷。
最後,提醒一下,不要將這個報告與之前Ponemon受IBM之托做的另一份報告(2017年6月發布的《2017年全球數據泄漏成本研究報告》)相混淆。在那份報告中,顯示平均一個數據泄漏事件造成的損失是362萬美元;平均一次泄漏事件包括24000條記錄,並特別分析了建立一支應急響應隊伍、使用加密技術、參與威脅情報分享、讓董事會參與其中的重要性和價值。
【參考】
普華永道:2018年全球信息安全狀況調查分析報告
安永:第20次全球信息安全調查報告(2017~2018)
德勤2010年金融機構安全研究報告
埃森哲:2017年網絡犯罪成本研究報告(含分析)