网络安全行业趋势与预测 | 2022 年131项网络安全统

2022年7月29日，云安全联盟（Cloud Security Alliance，简称“CSA”）发布了名为《166项网络安全统计和趋势》（

166 Cybersecurity Statistics and Trends

）的研究报告。该报告汇编了160多项网络安全统计数据，

包括数据泄露、黑客攻击统计、不同类型的网络犯罪、特定行业统计、支出、成本以及网络安全职业领域的信息

，有助于更好地了解目前的总体安全状况及趋势。本文重点摘译131项数据，进行分享。

摘译 |林心雨/赛博研究院实习研究员

来源 |CSA

过去的一年，世界各地仍然遭受网络安全破坏。随着远程办公成为趋势，基于云的运营活动激增，不断发展的5G网络以更快的速度和更大的带宽扩展连接各种设备，加密货币越来越受欢迎，网络安全从未像现在这样重要。报告汇整的行业趋势和预测预计将在2022年及未来进一步展现：

• 随着全球互联网用户数量逐年增加，网络犯罪也新增许多新的受害者。

• 网络疲劳困扰着那些已经放弃主动防御攻击的公司。

• 随着加密货币的采用率不断增加，它们将受到更严格的监管。

• 社交媒体组织将更严格地监督信息共享。

• 远程工作者将继续成为网络犯罪分子的目标。

• 由于远程工作，云漏洞将增加。

• 随着更多工作岗位空缺，网络安全技能差距仍将是一个问题。

• 随着5G增加了连接设备的带宽，物联网设备将更容易受到网络攻击。

有影响力的网络安全统计数据和事实

全球信息安全市场正在快速增长，这在很大程度上是由于企业加强了对网络威胁的防御。

不幸的是，大多数网络安全漏洞都是人为错误造成的。考虑到网络安全方面的技能短缺，这一趋势可能不会很快消退。该报告概述了网络安全领域的更多细节，以及网络攻击的总体影响。

1.95%的网络安全漏洞是人为错误造成的。（世界经济论坛）

2.预计2028年全球信息安全市场将达到3661亿美元。（财富商业观察）

3.2020年，46%的网络攻击目标是美国，是其他国家的两倍多。（微软）

4.68%的企业认为其网络安全风险正在增加。（Accenture）

5.平均而言，只有5%的公司文件夹受到适当保护。（Varonis）

6.54%的公司表示，他们的IT部门不够成熟，无法处理高级网络攻击。（Sophos）

7.网络疲劳，或对主动防御网络攻击的冷漠，影响了多达42%的公司。（思科）

8.在有意或无意的违规行为中，43%都来自内部威胁。（Check Point）

9.2021年的数据泄露暴露了220亿条记录。（RiskBased Secutity）

10.2021年，大约70%的违规行为是出于经济动机，出于间谍活动的却不到5%。（Verizon）

11.2021年，近40%的漏洞涉及网络钓鱼，约11%涉及恶意软件，约22%涉及黑客攻击。（Verizon）

12.2021年，有1862次数据泄露记录，超过了2017年的1506次数据泄露记录。（CNET）

13.顶级恶意电子邮件的附件类型是.doc和.dot，占37%；其次是.exe，占19.5%。（赛门铁克）

14.据统计，全球人类和机器使用3000亿个密码。（Cybersecurity Media）

15.大约40%的世界人口处于离线状态，一旦连接，将成为网络攻击的重点目标。（Data Reportal）

关键数据泄露和黑客统计数据

大规模广为人知的违规行为正在增加，这表明安全漏洞不仅数量上升，而且严重性也在增加。数据泄露暴露了敏感信息，这些信息往往使受损用户面临身份盗窃的风险，破坏公司声誉，并导致公司对违规行为负责。通过以下数据泄露统计数据，能够帮助量化这些破坏性攻击的影响、动机和原因。

值得注意的黑客统计数据

1.2021年，数据泄露的平均成本为424万美元，是有记录以来的最高平均成本。（IBM）

2.2021年识别违规行为的平均时间为212天。（IBM）

3.2021年，从识别到遏制，违规行为的平均生命周期为286天。（IBM）

4.在美国，网络犯罪实体被发现和起诉的可能性约为0.05%。（世界经济论坛）

5.2021年，45%的违规行为涉及个人数据。（Verizon）

6.与前一年相比，2020年身份盗窃增加了42%。（保险信息研究所）

7.自2018年以来，安全漏洞增加了11%，自2014年以来增加了67%。（Accenture）

8.64%的美国人从未检查过他们是否受到数据泄露的影响。（Varonis）

9.56%的美国人不知道在发生数据泄露时应采取什么措施。（Varonis）

按攻击类型分列的网络犯罪统计数据

网络安全问题多种多样且不断演变，每天都会发现新的恶意软件和病毒。因此，掌握最常见的攻击类型及其来源至关重要，继而预防未来的攻击。

一些最常见的攻击包括网络钓鱼、在线捕鲸、恶意软件、社交工程、勒索软件和分布式拒绝服务（DDoS）攻击。

勒索软件和恶意软件攻击统计信息

1.2021年，勒索软件的平均支付额飙升了518%，达到57万美元。（GRC世界论坛）

2.2020年，恶意软件增加了38%。（Help Net Security）

3.与2019年相比，2020年勒索软件攻击增加了435%。（Help Net Security）

4.超过30万安卓用户通过Google Play商店下载了银行特洛伊木马应用程序。（Threat Fabric）

5.2018年，平均每天有10573个恶意移动应用程序被阻止。（赛门铁克）

6. 大约26%的网络流量是恶意机器人流量。（Imperva）

7.Microsoft Office文档是最容易被操纵的目标，受到的攻击增加了112%。（Help Net Security）

8.94%的恶意软件是通过电子邮件发送的。（Verizon）

9.勒索软件恢复的平均成本接近200万美元。（Sophos）

10.在向黑客支付赎金的企业中，只有8%的企业收回了他们的数据。（Sophos）

11.48%的恶意电子邮件附件是Microsoft Office文件。（赛门铁克）

12.大约60%的恶意域名与垃圾邮件活动有关。（思科）

13.一家公司平均每11秒就会成为被勒索软件攻击的受害者。（网络安全风险投资公司）

14.大约20%的恶意域名是新的，并在注册后一周左右使用。（思科）

网络钓鱼攻击统计

1.57%的组织每周或每天都会遇到网络钓鱼行为。（GreatHorn）

2.在2019年下降后，网络钓鱼邮件在2020年有所增加，每4200封电子邮件中就有一封是钓鱼邮件。（赛门铁克）

3. 65%的网络犯罪集团将鱼叉式网络钓鱼作为主要的传染媒介。（赛门铁克）

4.网络钓鱼攻击占所报告安全事件的80%以上。（CSO Online）

5.网络钓鱼攻击会导致每分钟损失17700美元。（CSO Online）

关于物联网、DDoS和其他攻击的统计数据

1.到2023年，全球DDoS袭击总数将达到1540万次。（思科）

2.2019年上半年，对物联网设备的攻击增加了两倍。（CSO Online）

3.2018年，端点上被屏蔽的恶意PowerShell脚本增加了1000%。（赛门铁克）

4.Mirai分布的DDoS蠕虫是2018年第三大最常见的物联网威胁。（赛门铁克）

5.30%的数据泄露涉及内部人员。（Verizon）

6.物联网设备每月平均遭受5200次攻击。（赛门铁克）

7.90%的远程代码执行攻击与加密有关。（Purplesec）

8.69%的组织认为他们的防病毒软件对当前的网络威胁毫无用处。（Ponemon研究所）

9.36台移动设备中就有一个安装了高风险app。（赛门铁克）

网络安全合规和治理统计数据

无法保护文件的风险比以往更加普遍和危险，特别是对于拥有远程员工的公司来说。随着世界各地通过更严格的立法来捍卫数据隐私，将产生更严重的后果。如欧盟2018年发布《通用数据保护条例》（GDPR）和加利福尼亚州2020年发布《加州消费者隐私法》（CCPA）。

随着全球更多地区将出台相关立法，企业应该注意GDPR带来的启示。为了保持安全，正确设置文件权限和删除过时数据至关重要。保持数据分类和治理达到标准有助于数据隐私的合规，可以参考HIPAA、SOX、ISO 27001等。

1.66%的公司表示，合规要求正在其增加支出。（CSO Online）

2.78%的公司预计监管合规要求每年都会增加。（汤森路透）

3.对于大公司来说，每名员工的合规成本可能接近1万美元。（Competitive Enterprise Institute）

4.2018年，企业平均花费130万美元来满足合规要求，预计还将额外花费180万美元。（IAAP）

5.平均而言，每位员工都可以访问1100万个文件。（Varonis）

6.15%的公司发现每个员工都可以打开100多万份文件。（Varonis）

7.所有员工都可以访问17%的敏感文件。（Varonis）

8.大约60%的公司拥有500多个帐户，密码未过期。（Varonis）

9.超过77%的组织没有事件响应计划。（Cybint）

GDPR网络安全统计

1.西班牙在2021年发布了212项GDPR罚款，并发布了比其他国家多3倍的罚款。（Lexology）

2.2021年，GDPR罚款总额为12亿美元。（CNBC）

3．据报道，公司在GDPR准备方面花费了90亿美元。2018年，英国富时350指数公司的法律咨询和团队花费了约40%的GDPR预算，即240万美元。（福布斯）

4.88%的公司花费了100多万美元来准备GDPR。（IT Governance）

5.在GDPR实施的第一年，各种GDPR执法机构接收了144000起投诉，记录了89000起数据泄露。（EDPB）

6.1000家新闻机构屏蔽了欧盟读者，以规避GDPR合规规定。（尼曼实验室）

7.第一年，GDPR罚款总额为6300万美元。（GDPR.eu）

8.谷歌因违反GDPR而被法国数据保护机构CNIL罚款570亿美元。（TechCrunch）

9.自GDPR颁布以来，31%的消费者认为他们的总体体验有所改善。（Marketing Week）

10.到2019年，只有59%的公司认为他们符合GDPR的要求。（ZDNet）

11.70%的公司同意，他们所建立的系统不会随着新的GDPR法规的出现而扩展。（DataGrail）

网络安全支出和成本统计

网络犯罪的平均支出正在急剧增加，对于那些没有将网络安全作为其预算重要部分的公司来说，相关成本可能会使之瘫痪。随着越来越多的高管和决策者意识到网络安全投资的价值和重要性，网络安全预算一直在稳步增加。

1.网络犯罪导致的总损失大于除美国和中国以外的所有国家的GDP。（Cybersecurity Ventures）

2.2021年第三季度，网络保险价格上涨了96%，同比上涨了204%。（Marsh）

3.远程工作比其他导致数据泄露的因素平均成本要高107万美元/次。（IBM）

4.人工智能为数据泄露最有效地降低了成本，为组织每次泄露节省高达381万美元。（IBM）

5.采用零信任方法的组织的平均违约成本比没有零信任方法的组织少176万美元。（IBM）

6.2020年，安全服务估计占网络安全预算的50%。（Gartner）

7.对公司的恶意软件攻击的平均成本为260万美元。（Accenture）

8.数据泄露可能会使公司平均损失159万美元的业务损失。（IBM）

9.医疗保健行业的平均数据泄露成本最高，为713万美元。（IBM）

10.每家公司防范网络犯罪的总成本增加了12%，从2017年的1170万美元增加到2018年的1300万美元。（Accenture）

11.每名员工的平均年安全支出从2019年的2337美元增加到2020年的2691美元。（德勤）

12.网络攻击最昂贵的组成部分是信息丢失，平均为590万美元。（Accenture）

13.个人每条丢失或被盗记录的平均成本为146美元。（IBM）

14.小公司（500名员工或以下）的数据泄露的平均总成本从2019年的274万美元降至2020年的235万美元。（IBM）

15.超大公司（超过25000名员工）违规的平均总成本从2019年的511万美元降至2020年的425万美元。（IBM）

16.一半的大型企业（员工超过10000人）每年在安全方面花费100万美元或以上，43%的企业支出为25万至999999美元，只有7%的支出低于25万美元。（思科）

17.从2019年到2020年，斯堪的纳维亚半岛的数据泄露总成本增幅最大，为12%；而南非的降幅最大，为7.4%。（IBM）

18.美国的数据泄露成本是世界上最高的，平均为864万美元，其次是中东，为652万美元。（IBM）

19.2019年，网络安全行业的支出达到约48亿美元。（Statista）

网络安全成本预测

1.到2025年，全球网络犯罪成本将达到每年10.5万亿美元。（Cybersecurity Ventures）

2.70%以上的安全高管认为，在新冠肺炎爆发后，他们的财政预算将减少。（Mckinsey）

网络安全劳动力统计和预测

随着网络攻击频率的增加，对网络安全专业人员的需求也随之增加。随着这些的增长，许多公司的网络安全预算也在继续上升。然而，熟练网络安全工作者的不平衡以及填补这些职位的高需求导致网络安全技能的严重短缺。

1.截至2022年2月，美国有1053468名员工从事网络安全工作。（Cyber Seek）

2.截至2022年2月，网络安全行业有近60万个职位空缺，这意味着只有68%的空缺职位被填补。（Cyber Seek）

3.华盛顿特区的网络安全专业人员集中度最高，是全国平均水平的8倍以上。（Cyber Seek）

4.系统安全分析师的角色比任何其他网络安全职业都更开放。（Cyber Seek）

5.59%的网络安全专业人士认为他们的工作要求限制了他们掌握网络安全技能。（ISSA & ESG）

6.超过一半的网络安全专业人员认为，熟练掌握该行业至少需要三年。（ISSA & ESG）

7.超过三分之二的网络安全专业人士难以确定自己的职业道路。（ISSA & ESG）

8.76%的网络安全专业人员认为招聘和雇用新员工很困难。（ISSA & ESG）

9.70%的网络安全专业人员声称他们的组织受到网络安全技能短缺的影响。（ISSA & ESG）

10.十分之六的安全运营中心专业人员认为只有一半的网络安全申请人符合条件。（Cyberbit）

11.自2016年以来，由于GDPR的吃出台，对数据保护官员的需求飙升了700%以上。（路透社）

12.从2013年到2021年，开放的网络安全职位增长了350%。（Cybercrime Magazine）

13.40%的IT领导者表示，网络安全工作是最难填补的。（CSO Online）

14.网络安全工程师是业内薪酬最高的职位之一，平均每年起价为14万美元。（Cybint）

网络安全劳动力预测

1.网络安全行业失业率接近零，预计将在可预见的未来保持不变。（Cybersecurity Ventures）

2.到2025年，全球将有350万个未填补的网络安全工作岗位——与2021年大致相同。（Cybersecurity Ventures）

3.预计2019年至2029年间，美国的信息安全分析师职位将增加31%。（美国劳工统计局）

4.预计2019年至2029年间，美国计算机网络架构师职位将增加5%。（美国劳工统计局）

5.预计2019年至2029年间，美国计算机程序员职位将减少9%。（美国劳工统计局）

按行业分列的网络安全统计数据

说到网络安全，并非所有行业都是平等的。医疗保健和金融等存储有价值信息的行业通常是黑客的重点目标，他们想要窃取社会安全号码、医疗记录和其他个人数据。这并不意味着低风险行业就不是受害者。实际上，他们经常成为攻击目标，因为他们可能没有足够的安全措施，从而使得他们的信息更容易获取。

医疗保健网络安全统计

1.WannaCry勒索软件攻击使英国国家卫生服务（NHS）损失了超过1亿美元。（Datto）

2.2020年，医疗保健行业因勒索软件攻击损失了约210亿美元。（Comparitech）

3.从2017年到2020年，超过93%的医疗保健组织数据遭到泄露。（Herjavec Group）

4.2021年有712起医疗保健数据泄露，比2020年多11%。（HIPAA Journal）

金融和加密网络安全数据

1.从2013年到2020年，加密货币赎金的总价值增长了近8万%。（世界经济论坛）

2.金融服务有449855份暴露的敏感文件，其中36004份向组织中的每个人开放。与其他行业相较，这是最高的。（Varonis）

3.平均而言，金融服务业70%的敏感文件都是陈旧的。（Varonis）

4.平均而言，金融服务员工在入职当天可以访问近1100万份文件。对于大型组织，员工可以访问2000万个文件。（Varonis）

5.金融服务企业平均需要233天来检测和遏制数据泄露。（Varonis）

6.金融服务数据泄露的平均成本为585万美元。（IBM）

7.金融漏洞占所有攻击的10%。（Verizon）

8.2018年，金融服务业的网络犯罪成本最高，为1830万美元。（Accenture）

9.特洛伊木马病毒拉姆尼特（Ramnit）在2017年对金融部门造成了重大影响，占攻击的53%。（思科）

政府网络安全统计

1.制造业公司占所有勒索软件攻击目标的近四分之一，其次是专业服务公司(17%)和政府机构(13%)。（Security Intelligence）

2.58%的APT攻击来自俄罗斯。（微软）

3.79%的APT攻击者以政府机构、非政府组织和智囊团为目标。（微软）

企业网络安全统计

1.规模较小的组织（1-250名员工）的恶意电子邮件攻击率最高，为1/323。（赛门铁克）

2.生活类（15%）和娱乐类（7%）是恶意应用程序中最常见的类别。（赛门铁克）

3.2021年，供应链攻击同比增长超过100%。（赛门铁克）

CYBER RESEARCH INSTITUTE