本文作者是Osterman Research的Michael Osterman。
Osterman Research最近代表Malwarebytes完成了一项主要调查,以确定网络犯罪对企业的实际成本。必威平台APP许多研究都集中在网络犯罪造成的声誉损失、未来业务损失和其他后果上,尽管这些都是合理的考虑因素,但我们想要了解的是直接的网络犯罪的成本。为此,我们针对各种问题对大中型企业进行了调查,但重点关注三个成本组成部分:
- 安全预算
- 补救“重大”事件的成本,例如,像大范围的勒索软件感染或重大数据泄漏事件,将高度破坏一个组织,并可能使其离线一段时间
- “灰帽”犯下的网络犯罪的成本,即那些不放弃作为安全专业人员的日常工作而涉足网络犯罪的员工
这是我们发现的:
网络犯罪并不便宜
各种规模的组织可以期望在各种网络安全相关成本上花费大量金额。例如,我们的研究发现,美国2,500名员工的组织可以预计每年有近190万美元的网络安全相关费用(每位雇员近760美元)。
虽然我们调查的大多数其他国家的成本较低,但全球平均水平超过2,500名员工组织的250万美元。
灰帽子是个问题
在全球范围内,每22个安全专业人员中就有一个被他们的安全专业同行认为是灰色帽子,但在英国的机构中,这个数字上升到13个。中等规模的组织(500到999名员工)受到的压力最大,这是技能短缺的地方,成为一名灰色帽子的诱惑可能最大。
强调灰色帽子问题的深度是,12%的安全专业人士承认要考虑参加黑色帽子活动,而且实际上已经接近了22%的人,并且要么知道或者已知参加的人,有41%活动。这绝不是一个罕见或孤立的问题!
再一次向缺口冲去
我们发现,在调查之前的12个月里,绝大多数组织都遭受过某种类型的安全漏洞和/或攻击。最常见的攻击途径是网络钓鱼,但也有其他经验包括广告软件/间谍软件、勒索软件、鱼叉式钓鱼、意外和故意的数据泄露、国家攻击和黑客攻击。
只有27%的组织在12个月内报告了导致调查的12个月内没有攻击,甚至该数字可能低估问题的深度:一些组织可以通过初始渗透后几个月可能未发现的隐身攻击渗透。
中生综合征
与Osterman Research在其他研究中发现的相印证的是,拥有500至999名员工的中端市场公司在安全方面面临着最严峻的挑战。它们遇到的攻击率比小公司高,攻击率与大公司相似,但它们的员工较少,可以分摊安全基础设施的成本。
简而言之,中型市场组织有大公司的问题和小公司的预算来解决这些问题。
重大攻击
我们发现“重大”攻击的发生频率惊人。在全球范围内,我们发现,2017年,我们调查的组织平均每15个月发生一次此类攻击。但2017年美国机构受到的攻击最为严重,平均每6.7个月就发生一次攻击。这些都是极具破坏性的事件,可能会让一家公司离线数天或数周。
作为这种攻击的一个例子,考虑亚特兰大该公司于2018年4月感染了勒索软件,并花费了260多万美元来修复这一漏洞。这次袭击影响了纽约市13个部门中的5个部门和警察局的记录系统,还对该市员工和公众造成了其他伤害。
最重要的是,网络犯罪造成的巨大损失远远超出了年度安全预算。如果公司找不到办法阻止网络犯罪在公司内部和外部发生,他们将不得不付出代价。
评论