网络犯罪是全球各家公司企业的最大威胁,也是未来20年人类面临的最大难题之一。
Cybersecurity Ventures 曾在2016年做出预测:到2021年,网络犯罪将给世界造成6万亿美元损失,比2015年的3万亿翻一倍。这代表着史上最大经济财富转移,危及创新与投资热情,甚至比全球所有非法药物交易都要赚钱。
该网络犯罪预测无可辩驳,过去两年来正在被数百主流媒体、学术机构、政府高官、协会、业界专家、大型技术与网络安全公司,以及全球打击网络犯罪的从业者所证实。
Frank W. Abagnale 为FBI当了40多年顾问,是伪造、侵吞公款与安全文档方面全球最受尊崇的权威之一,同时也是斯皮尔伯格2002年电影《逍遥法外》中莱昂纳多·迪卡普里奥饰演的神骗主角的原型人物。他很赞同6万亿美元的网络犯罪损失预测。
我很担心网络开始变得非常黑暗。目前为止还只是金融犯罪,只为盗取钱财或相当于钱财的数据,但我们已经拥有关闭某人心脏起搏器的能力了。
Cybersecurity Ventures 的损失预测是基于历史网络犯罪数据的,包括近些年一年比一年增多的网络犯罪事件数量、敌对国家支持的黑客团体及有组织犯罪团伙黑客行动的急剧增加,还有到2021年将迎来指数级增长的网络攻击界面。
Cybersecurity Ventures 预测,2021年,网络犯罪将给世界造成6万亿美元损失,比2015年的3万亿翻一倍。
网络犯罪损失包括数据破坏、资金被盗、生产力受损、知识产权被盗、个人及金融数据被盗、公款被侵吞、欺诈、正常业务过程中断、取证调查、被黑数据及系统的恢复和删除,以及声誉损失。
全球托管安全服务提供商(MSSP) Herjavec Group 的创始人兼首席执行官 Robert Herjavec 表示:损害成本的急剧上升只会促使更多的公司企业疏于应对网络攻击。
网络攻击是美国增长最快的犯罪形式之一,不仅在规模上,在复杂程度和损失额度上都增长迅速。2018年底曝出的万豪数据泄露是今年第二大数据泄露事件,估计有5亿用户账户被泄。史上最大的雅虎黑客事件经重新计算后受影响用户账户数量从之前估测的10亿个上升到了30亿个。2017年的Equifax也曾夺过史上最大桂冠,影响了1.46亿客户。还有2017年发生的WannaCry和NotPetya勒索软件攻击,都是比之前的攻击更为复杂更大规模的网络攻击事件,而且是标志性事件。
美国的网络犯罪已成一种流行,FBI一位督导特工就向《华尔街日报》表示:每个美国人都应预计自己的所有个人数据(个人可识别信息:PII)已经被盗并正在暗网上贩卖。
DDoS攻击、勒索软件和不断冒出的零日漏洞利用正将对网络犯罪所致损失的预测演变为现实。但更令人担心的是那些围绕网络犯罪的媒体热炒,那些新闻和数据泄露通告令我们洋洋自得。风险真实存在,而我们不能放任自己麻木于一种泄露无可避免的感觉。
网络攻击界面
我们的整个社会都与互联网相连。互联网连接的增长速度已经超出了我们保护互联网的能力。
1989年,万维网诞生;1991年,第一个网站上线;今天,全世界有将近19亿个网站。
2015年,全球互联网用户数20亿;2018年,这个数字直接翻了个倍,世界半数人口都连上了互联网(全球人口77亿,互联网用户数近40亿)。
Cybersecurity Ventures 预测2022年时互联网用户数将达60亿(届时世界总人口数80亿中的75%),2030年时将超过75亿(届时全球6岁以上总人口数85亿的90%)。
就像传统上随人口数量增长而加剧的街头犯罪,网络犯罪也遵循同样的规律。不仅仅是武器越来越复杂,也因为作为目标的人和数字资产的增加。
保护公司企业免遭网络攻击侵害的难度受多方面因素的影响。新兴黑客团伙、互联设备增长是其中最重要的——需保护的海量数据给本就复杂的局面再添一重困难。
微软预测,2020年时的在线数据规模将是2016年时的50倍以上。
思科证实,云数据中心流量到2021年将占数据中心总体流量的95%。或者,换个说法,云计算将在未来3-4年里取代数据中心模式。
Cybersecurity Ventures 预计,云端存储的数据总量到2021年将是现在的100多倍,其中包括供应商和社交媒体公司运营的公共云(比如AWS、推特和Facebook)、可被公民和公司企业访问的政府自有云,以及中小型企业拥有的私有云。
英特尔的预测是IoT世界将引发‘数据大爆炸’,无线通信的智能设备数量将从2006年的20亿个,暴增到2020年时的2000亿个。
Gartner预报,2021年全球将卖出5亿多可穿戴设备,远超2017年时的3.1亿。可穿戴设备包括智能手表、头戴式显示器、随身摄录机、蓝牙耳机和健康监测装置。
尽管生物特征识别技术开发者承诺未来将消灭口令,一份2017年的报告却发现,到2020年,全球需要保护的网络口令将达3000亿个。
每年都要新增1110亿行软件代码,其中暗藏大量可被利用的漏洞。
全球数字内容将从2016年的40亿TB(4ZB),增加到2020年的96ZB。
深网是搜索引擎搜不到的网络深处,暗网隐在深网的角落,故意藏起来供罪犯秘密进行邪恶犯罪活动。有人估算深网规模是表面网络的5000倍以上,并以无法量化的速率增长。
ABI预测到2020年将有2000万辆联网汽车附带内置软件安全技术出售;西班牙电信公司也称,90%的汽车将联网——2012年的联网汽车比例仅仅2%。
数百万人面临自身植入式医疗设备(IMD)被黑的风险,包括心脏除颤器、起搏器、脑神经刺激器、胰岛素泵、耳管等等。
Fairchild Semiconductor 微机电系统及传感解决方案副总裁 Janusz Bryzek 预测,20年之内将出现45万亿联网传感器。IoT、手机及可穿戴设备市场的增长、数字医疗、上下文计算、全球环境监测和IBM“5 in5”——人工智能(AI)、超图像、超摄镜、芯片医疗实验室、硅光子,是联网传感器激增的推动力。
网络安全开支
网络犯罪给私营和上市公司都带来了前所未有的破坏,推高了IT安全开支。
Gartner最新预测显示,全球信息安全(网络安全市场的一个子集)产品及服务开支在2018年会突破1140亿美元,比去年增长12.4%。2019年,该市场预计将再增8.7%,达1240亿美元。
该Gartner预测没计入各种网络安全分类,比如物联网(IoT)、工业控制系统(ICS)和工业物联网(IIoT)安全,汽车网络安全等等。
Cybersecurity Ventures 预计,2017-2021年5年全球网络安全产品及服务开支累计将超1万亿美元。也就是说,这5年里网络安全市场平均年增长率将达12-15%。
Cybersecurity Ventures 预计2017-2021年全球网络安全开支将超1万亿美元。
IT分析师预测仍赶不上网络犯罪的急剧增加:勒索软件的流行,恶意软件焦点从PC和笔记本电脑重回智能手机与移动设备,数十亿防护不周的物联网设备,黑客雇佣兵的兴起,以及公司企业、政府部门、教育机构和全球消费者更频繁遭遇高级网络攻击。
《投资者商业日报》一篇报道称:
网络安全开支追踪的问题在于,除了IBM和思科,其他科技巨头并不总会公布网络安全盈利数据,手机恶意软件和数据恢复上的消费者安全开支大幅削减更是从不会被列入报告内容。与企业类似,消费者也在为网络攻击花费时间与精力。所以,一些业内分析师的网络安全开支预测与 Cybersecurity Ventures 的万亿美元5年市场预测之间存在偏差也正常。
勒索软件兴起
美国司法部将勒索软件描述为新的网络犯罪商业模式,一种全球性现象。
勒索软件感染计算机后会限制用户对文件的访问,往往威胁用户如果不支付赎金就会永久销毁数据。此类网络威胁已泛滥成灾,成为发展最快的网络犯罪。
2016年末,每40秒就有一家公司沦为勒索软件的受害者。Cybersecurity Ventures 预测,到2019年,该间隔将缩短到每14秒一家,2021年将达美11秒有一家公司受害。
去年,FBI估测,公司企业和个人每年支付出去的勒索软件赎金总额达10亿美元。
Cybersecurity Ventures 预测,到2019年,每14秒就会有一家公司沦为勒索软件攻击受害者,2021年时这一间隔将缩短至每11秒。
网络安全行业专家和司法官员一直在建议公司企业不要支付赎金。虽然支付赎金期望能找回数据的勒索软件受害者占比呈减少趋势,但勒索软件攻击相关的总损失却在激增。
2017年的全球勒索软件损失预测是超50亿美元,比2015年增长15倍。如今,2019年的勒索软件全球总损失预计将达115亿美元,到2021年,这个数字是200亿。
专精勒索软件攻击检测与响应员工培训的KnowBe4公司创始人兼首席执行官 Stu Sjouwerman 称:
勒索软件攻击正从广撒网式网络钓鱼转向高度针对性、强破坏力的网络感染,可致整个公司数天乃至数周宕机掉线。生活就是这么残酷,勒索软件仍将存在,而传统基于软件的终端防护无法抵御此类恶意软件。
人力资源危机
微软全球事件响应与恢复团队表示:安全运营中心(SOC)每天分拣的网络攻击和安全事件总量持续增长,仅靠人力几乎不可能跟进。
安全其实是人的问题。网络犯罪都是人的执行的。我们需要有资质的人来追捕作恶者。
技术当然很关键,我们在技术上也取得了长足进展,但如果缺乏足够的白帽子军团对抗逐年增多的黑帽子,我们将无法拉低网络犯罪率。
美国证券交易委员会(SEC)互联网强化办公室前主任 John Reed Stark 在去年的博客文章中写道:今天最大的实际威胁不是国家支持的网络攻击、新奇的隐秘恶意软件,或黑客文化横行;信息安全领域最危险的阴云是严重的网络安全人才短缺。
Palo Alto Networks 研究中心的业内专家称,到2019年,全世界对网络安全人员的需求将增至约600万人。
网络犯罪将促使网络安全职位空缺在2021年时达到350万个,是目前缺额的3倍,且网络安全失业率仍将继续保持为零。
如今每个IT岗位同时也是网络安全岗位。每个IT员工、每个技术工人都或多或少要负责一些保护App、数据、设备、基础设施和人员安全的工作。
传统上IT公司与其安全团队之间是有条分界线的。事实上,除了CIO,唯一的另一个IT‘首席’就是首席信息安全官(CISO)。但未来的网络人才来源于更广泛的IT员工。董事会的问题是招聘和留住新鲜安全血液。
网络攻击愈演愈烈的当下,网络安全人才短缺让CIO、CSO和CISO捉襟见肘,纷纷投身抢人大战。面对有限的人力资源,安全主管们必须分清主次,学会取舍。
美国最大医药提供商CVSHealth首席安全官 Jim Routh 称:
我的工作基本上就是确定如何分配稀缺资源去处理高等级风险。你永远不会有足够的资源去做每一件事,你必须从分配资源的角度挑选投入的方向。
安全意识培训
虽然黑客年报总是点缀着聪明程序员找出系统漏洞完成恶意入侵的传说,但绝大多数网络攻击其实始于简单的电子邮件。超过90%的成功黑客攻击和数据泄露源于网络钓鱼。网络钓鱼者精心编制电子邮件诱使收件人点击钓鱼链接、打开藏毒附件,或向本不应该发送的对象转发信息。
美国主流医疗企业 Northwell Health 副总裁兼首席信息安全官 Kathy Hughes 表示:安全链中最弱的一环是人。企业可以拥有各种精妙的技术和安全防护层,但安全最终落脚到人身上,那些真正意识到威胁且知晓如何检测与报告的人。
2018是有所突破的一年,很多公司企业都开始正视这个问题,要么训练自己的员工,要么双管齐下,投注更健壮的持续安全意识培训及网络钓鱼模拟项目。
培训员工如何识别和防御网络攻击是网络安全行业投资最欠缺的一个领域。
Northwell可能是大型企业如何培训员工了解网络威胁并从中受益的典型例子了。Hughes主导了该公司的安全意识培训项目,招聘了安全意识培训经理和专职员工,针对容易上当受骗的用户(包括新员工)组织了网络钓鱼模拟攻击演练。
全球160多个国家都有分公司的施乐公司特别看重安全意识文化。其副总监兼首席信息安全官Jay博士曾任白宫副CIO,她表示:施乐的安全部门规模有多大呢?3万人!包括了施乐公司每一名员工。
网络攻击界里施乐的待遇与白宫一样,都被两块九毛九就能买到的黑客工具攻击。如《财富》杂志所言,黑客工具包提供的网络犯罪价目表中工具从1美元到200美元都有,其中很多都能被新手使用,可用于注入勒索软件、窃取个人可识别信息(PII)、黑进电子邮箱账户等等邪恶举动。
全球网络安全意识培训开支预计在2027年达到100亿美元,2014年这个数字是10亿美元。培训员工如何识别和防御网络攻击是网络安全行业投资最欠缺的一个领域。
未来5年,员工培训将被证明是网络安全投资中回报率最高的。
前瞻
Infoworld计算机安全专栏作家,在微软担任了11年首席安全架构师的 Roger Grimes 表示:每家公司都将被黑。
过去3年里医疗提供商是黑客眼中的靶心。Herjavec认为:2017和2018年我们见证了医疗提供商对网络安全投资的重视。他们感受到了老旧系统的痛,不得不多加保护自身基础设施与患者数据。对医院的勒索软件攻击到2021年预计会增加5倍。
今年我们看到了传统行业中越来越多的牵引,希望2019继续保持这种势头。尤其是在制造业这种加密锁定软件造成了一些真正伤害的领域,我们将看到公司企业不断完善自己的安全项目与安全投资,赶上不断进化的漏洞利用。制造业已变成2018年时的医疗行业。
思科调查访问的制造业安全人员中40%表示他们并不具备正式的安全策略。制造业杂志 Process Industry Informer 认为,因为普遍缺乏网络安全投入,又越来越依赖现代技术,制造业是目前最脆弱最容易被网络罪犯盯上的行业。
建筑业是2018年另一个网络攻击热点目标。随着建筑公司开始标准化IoT设备,比如恒温器、热水器和电力系统,一整个新的攻击界面出现在黑客面前。
IoT设备是2018年最大的技术犯罪驱动器,且所有迹象表明这一状态在2019年仍将持续。
消费者产品公司是今年冒出的又一个遭受网络攻击和网络安全人才招聘挑战的行业。《华尔街日报》一篇文章称,千禧一代和Z世代劳动者可能觉得新兴技术或投资银行是更具吸引力的潜在雇主。
2016年最遭网络攻击的行业:医疗、制造、金融服务、政府和交通运输,基本上维持原样,除了排序略有调整。每个行业都走向了“科技”——广告科技(广告业)、金融科技(金融服务)、教育科技(教育技术)、政府科技(政府)、法律科技(律所)等等,所有这些行业都得扩展其网络防护。
小企业在今年遭遇网络安全阻碍。大量小公司猛然醒悟自己也是网络攻击的对象,也需要采取预防性安全措施。很多只有不到250名员工的公司通过惨痛的经历认识到了:如果等到被黑后才开始处理网络安全问题,可能就为时已晚了。近乎半数的网络攻击针对小公司实施,该比率在来年可能还会继续增加。
不管大中小型公司企业的CEO都应留意的一条警告是:数字网络事件与可能造成业务中断的任何自然灾害或人为破坏一样,都是需要提前防备的。
除了上述行业,物联网设备是2018年最大的技术犯罪驱动力——所有迹象表明这一状态在2019年及可预见的未来仍将持续。思科估测,IoT设备数量到2021年将是全球人口总数的3倍。IoT设备制造过程中只重功能轻视安全,操作系统本就极小,安全就更像是一种“增强”而非“内置”特性了。
最后,2019年,在雅虎、万豪和其他数据泄露事件的后续影响开始显现的日子里,消费者最好多加关注安全。
考虑到被盗电子邮箱和PII,想想黑客能够读取私人短信和查看婴儿监视器,人们就有动力转向更安全的电子邮件提供商,开启两步验证,以及开始购买自己的网络安全产品了。
尽管网络犯罪泛滥,技术可以让世界成为更安全的地方。
交通运输部预见,未来10年里自治车辆技术将大幅降低交通事故死亡率,拯救近30万人的生命。
英特尔在去年宣布了最大安全相关并购案,以153亿美元买下以色列汽车碰撞规避技术公司Mobileye——包括其450名工程师和近150万辆车的安装基础。
当市政传感器和先进家用安全远程监视系统开始通过IoT无缝融合,犯罪统计数字可减少20%。
全球的网络工程师和创业者都在努力研发新解决方案以对抗和减少网络犯罪。数百家顶级网络安全公司正在创新尖端产品和创建新服务以打赢网络犯罪攻坚战。越来越多的MSSP正在接过全球各型企业面对的艰巨网络风险责任。
网络犯罪是网络攻击界面不断扩大的必然产物,这是可以预见也应该预见的。对我们面对的风险和威胁有清醒的认知可以帮助公司企业和消费者更好地保护自身。
Herjavec Group 《2019网络犯罪年度报告》:
https://www.herjavecgroup.com/the-2019-official-annual-cybercrime-report/