2017年网络犯罪现状分析报告

概述

过去一年，对企业安全团队来说一定是分外艰辛的一年。类似Petya和NotPetya这样的攻击表明，攻击的影响规模正在显著增加。最近，由某些政府开发的恶意软件和囤积的漏洞信息泄露，赋予了网络犯罪分子更强的攻击能力。IT行业正在通过发布安全补丁和更新程序，努力跟上对手的脚步。而像物联网等新技术的应用又为安全团队制造了层出不穷的新型漏洞来应对。

根据外媒CSO的一项新调查显示，所有这些正促使许多企业反思该如何应对网络犯罪的威胁。其调查结果不仅可以深入剖析美国企业面临的威胁的性质和范围，而且可以深入了解这些企业的应对方式。

《2017美国网络犯罪状况调查》是每年由美国特勤局和卡内基梅隆大学软件工程研究所的CERT（计算机紧急应对小组）合作发布的一项研究报告。而今年的调查由Forcepoint赞助。

该调查共有510名受访者，70%的受访者在各行业和公共部门担任副总裁或更高级别的职务（其中35%为公司管理层）。

41%的受访企业为员工500+的大型企业；而这些受访企业的平均IT安全预算为1100万美元。

越来越受重视的安全工作

尽管安全工作在短期内见效甚微，但是其在企业层面却得到了越来越多的关注，获得了越来越多的资源投入。如今，20%的首席安全官（CSO）/首席信息安全官（CISO）每月都会向董事会进行安全报告，高于去年同期的17%。

然而，仍有61%的董事会将安全视为IT问题，而不是公司治理问题。这一数字与去年的63%减少得并不明显。

企业在IT安全预算方面的投入也越来越多，平均预算增长了7.5%。其中10%的受访企业表示IT安全预算增长超过了20%。其中大部分的预算资金主要用于：新技术（40%）、审计和评估（34%）、培训新技能（33%）以及知识共享（15%）。此外，受访企业还表示，他们正在投资重建其网络安全策略（25%）和流程（17%）。

说到网络安全策略，一个惊人的结果显示，35%的受访者认为网络应对计划并不是安全策略的一部分。但好消息是，19%的受访企业计划在明年实行一项网络应对计划。

尽管，企业仍在大规模使用诸如移动、云和物联网等新技术，但是对安全威胁的重视和投入也使公司对其安全性能有了更多信心。76%的受访者认为他们有专业的技能来应对这些威胁。不管怎么说，如今有74%的受访者表示他们比一年前更关心安全了，从去年的64%到今年的74%实现了一个飞跃。

安全事件减少，但影响加剧

受访者估计，他们公司在过去一年里发生的安全事件数量从平均161起下降到了148起，下降幅度为8.2%。但是，尽管安全事件数量有所下降，但是仍有68%的受访者表示，其公司遭受的损失与上年相同或更高。没有亏损的企业数量也从36%下降到了30%。

虽然，安全事件总数降低了，但是导致损失或损害的攻击事件却有所增多。在过去一年中，有14%的受访者表示自己的关键系统受到过干扰，高于去年的10%。此外，还有10%的受访者表示损失了机密或私人信息，该数据与去年的7%相比也有所增加。而破坏企业声誉或影响客户和合作伙伴的事件发生率都下降到了4%。

【尽管事件总数下降了，但是钓鱼攻击和勒索攻击的数量增加了，同时企业因网络攻击造成的损失也随之增加了】

如果你一直关注有关网络攻击的报告，就不会对上述的调查结果感到奇怪。36%的受访者表示受到了钓鱼攻击影响，高于去年的26%。勒索攻击的影响比例也从14%上升到了17%。金融欺诈也从7%上升到了12%。

关键安全建议

网络犯罪调查结果显示，大多数企业正在努力提高防御水平来阻止或减少攻击造成的损失。报告还显示，太多企业跟不上威胁环境的变化或同行的网络安全标准。对此，他们可以通过以下几点安全建议来跟上时代的步伐：

1. 接受安全性不仅仅是个IT问题

越来越多的首席安全官/首席信息安全官正在定期向董事会报告的原因在于：有效的网络安全策略往往要从上层开始，并覆盖公司的所有领域。更频繁地向企业高管报告安全问题，各部门选取员工组建风险委员会，这都是向安全迈出得很好的第一步。

2. 对安全人员进行投资

这意味着要确保为安全人员提供充足的资源和培训，以保证其时刻掌握最新的威胁形势。此外，参与共享威胁信息的组织及其解决方案也是至关重要的一步。

3. 扩大威胁视野

39%的受访者认为，外部威胁的破坏力最为严重。一旦外部人员发起攻击行为，平均需要花费92天才能发现。所以，评估入侵检测工具和流程的有效性，才是明智之举。

4. 为员工制定持续的安全意识培训计划

调查显示，28%的安全事故由内部人员的疏忽或意外所造成。考虑到基于欺骗的攻击正在飞速进化，企业需要为员工提供定期、持续性的培训。

5. 评估供应链和合作伙伴的网络安全能力

网络罪犯通常会将那些与大企业有业务往来的小企业作为突破口，因为他们认为这些小公司更易下手。所以，务必要确保这些小企业不会成为你安全体系中的薄弱环节。

6. 重要的事说三遍：测试，测试，测试

只有53%的受访者表示，他们有方法来测试其安全体系的有效性。测试是一件必不可少的事，不应该只是保持一年一次的频率。网络威胁形势需要企业定期进行测试。