6萬億美元:網絡犯罪已成全球增長最快的犯罪經濟
責編:gltian |2018-12-18 16:20:48網絡犯罪是全球各家公司企業的最大威脅,也是未來20年人類面臨的最大難題之一。
Cybersecurity Ventures 曾在2016年做出預測:到2021年,網絡犯罪將給世界造成6萬億美元損失,比2015年的3萬億翻一倍。這代表著史上最大經濟財富轉移,危及創新與投資熱情,甚至比全球所有非法藥物交易都要賺錢。
該網絡犯罪預測無可辯駁,過去兩年來正在被數百主流媒體、學術機構、政府高官、協會、業界專家、大型技術與網絡安全公司,以及全球打擊網絡犯罪的從業者所證實。
Frank W. Abagnale 為FBI當了40多年顧問,是偽造、侵吞公款與安全文檔方面全球最受尊崇的權威之一,同時也是斯皮爾伯格2002年電影《逍遙法外》中萊昂納多·迪卡普里奧飾演的神騙主角的原型人物。他很贊同6萬億美元的網絡犯罪損失預測。
我很擔心網絡開始變得非常黑暗。目前為止還只是金融犯罪,只為盜取錢財或相當于錢財的數據,但我們已經擁有關閉某人心臟起搏器的能力了。
Cybersecurity Ventures 的損失預測是基于歷史網絡犯罪數據的,包括近些年一年比一年增多的網絡犯罪事件數量、敵對國家支持的黑客團體及有組織犯罪團伙黑客行動的急劇增加,還有到2021年將迎來指數級增長的網絡攻擊界面。
Cybersecurity Ventures 預測,2021年,網絡犯罪將給世界造成6萬億美元損失,比2015年的3萬億翻一倍。
網絡犯罪損失包括數據破壞、資金被盜、生產力受損、知識產權被盜、個人及金融數據被盜、公款被侵吞、欺詐、正常業務過程中斷、取證調查、被黑數據及系統的恢復和刪除,以及聲譽損失。
全球托管安全服務提供商(MSSP) Herjavec Group 的創始人兼首席執行官 Robert Herjavec 表示:損害成本的急劇上升只會促使更多的公司企業疏于應對網絡攻擊。
網絡攻擊是美國增長最快的犯罪形式之一,不僅在規模上,在復雜程度和損失額度上都增長迅速。2018年底曝出的萬豪數據泄露是今年第二大數據泄露事件,估計有5億用戶賬戶被泄。史上最大的雅虎黑客事件經重新計算后受影響用戶賬戶數量從之前估測的10億個上升到了30億個。2017年的Equifax也曾奪過史上最大桂冠,影響了1.46億客戶。還有2017年發生的WannaCry和NotPetya勒索軟件攻擊,都是比之前的攻擊更為復雜更大規模的網絡攻擊事件,而且是標志性事件。
美國的網絡犯罪已成一種流行,FBI一位督導特工就向《華爾街日報》表示:每個美國人都應預計自己的所有個人數據(個人可識別信息:PII)已經被盜并正在暗網上販賣。
DDoS攻擊、勒索軟件和不斷冒出的零日漏洞利用正將對網絡犯罪所致損失的預測演變為現實。但更令人擔心的是那些圍繞網絡犯罪的媒體熱炒,那些新聞和數據泄露通告令我們洋洋自得。風險真實存在,而我們不能放任自己麻木于一種泄露無可避免的感覺。
網絡攻擊界面
我們的整個社會都與互聯網相連。互聯網連接的增長速度已經超出了我們保護互聯網的能力。
1989年,萬維網誕生;1991年,第一個網站上線;今天,全世界有將近19億個網站。
2015年,全球互聯網用戶數20億;2018年,這個數字直接翻了個倍,世界半數人口都連上了互聯網(全球人口77億,互聯網用戶數近40億)。
Cybersecurity Ventures 預測2022年時互聯網用戶數將達60億(屆時世界總人口數80億中的75%),2030年時將超過75億(屆時全球6歲以上總人口數85億的90%)。
就像傳統上隨人口數量增長而加劇的街頭犯罪,網絡犯罪也遵循同樣的規律。不僅僅是武器越來越復雜,也因為作為目標的人和數字資產的增加。
保護公司企業免遭網絡攻擊侵害的難度受多方面因素的影響。新興黑客團伙、互聯設備增長是其中最重要的——需保護的海量數據給本就復雜的局面再添一重困難。
微軟預測,2020年時的在線數據規模將是2016年時的50倍以上。
思科證實,云數據中心流量到2021年將占數據中心總體流量的95%。或者,換個說法,云計算將在未來3-4年里取代數據中心模式。
Cybersecurity Ventures 預計,云端存儲的數據總量到2021年將是現在的100多倍,其中包括供應商和社交媒體公司運營的公共云(比如AWS、推特和Facebook)、可被公民和公司企業訪問的政府自有云,以及中小型企業擁有的私有云。
英特爾的預測是IoT世界將引發‘數據大爆炸’,無線通信的智能設備數量將從2006年的20億個,暴增到2020年時的2000億個。
Gartner預報,2021年全球將賣出5億多可穿戴設備,遠超2017年時的3.1億。可穿戴設備包括智能手表、頭戴式顯示器、隨身攝錄機、藍牙耳機和健康監測裝置。
盡管生物特征識別技術開發者承諾未來將消滅口令,一份2017年的報告卻發現,到2020年,全球需要保護的網絡口令將達3000億個。
每年都要新增1110億行軟件代碼,其中暗藏大量可被利用的漏洞。
全球數字內容將從2016年的40億TB(4ZB),增加到2020年的96ZB。
深網是搜索引擎搜不到的網絡深處,暗網隱在深網的角落,故意藏起來供罪犯秘密進行邪惡犯罪活動。有人估算深網規模是表面網絡的5000倍以上,并以無法量化的速率增長。
ABI預測到2020年將有2000萬輛聯網汽車附帶內置軟件安全技術出售;西班牙電信公司也稱,90%的汽車將聯網——2012年的聯網汽車比例僅僅2%。
數百萬人面臨自身植入式醫療設備(IMD)被黑的風險,包括心臟除顫器、起搏器、腦神經刺激器、胰島素泵、耳管等等。
Fairchild Semiconductor 微機電系統及傳感解決方案副總裁 Janusz Bryzek 預測,20年之內將出現45萬億聯網傳感器。IoT、手機及可穿戴設備市場的增長、數字醫療、上下文計算、全球環境監測和IBM“5 in5”——人工智能(AI)、超圖像、超攝鏡、芯片醫療實驗室、硅光子,是聯網傳感器激增的推動力。
網絡安全開支
網絡犯罪給私營和上市公司都帶來了前所未有的破壞,推高了IT安全開支。
Gartner最新預測顯示,全球信息安全(網絡安全市場的一個子集)產品及服務開支在2018年會突破1140億美元,比去年增長12.4%。2019年,該市場預計將再增8.7%,達1240億美元。
該Gartner預測沒計入各種網絡安全分類,比如物聯網(IoT)、工業控制系統(ICS)和工業物聯網(IIoT)安全,汽車網絡安全等等。
Cybersecurity Ventures 預計,2017-2021年5年全球網絡安全產品及服務開支累計將超1萬億美元。也就是說,這5年里網絡安全市場平均年增長率將達12-15%。
Cybersecurity Ventures 預計2017-2021年全球網絡安全開支將超1萬億美元。
IT分析師預測仍趕不上網絡犯罪的急劇增加:勒索軟件的流行,惡意軟件焦點從PC和筆記本電腦重回智能手機與移動設備,數十億防護不周的物聯網設備,黑客雇傭兵的興起,以及公司企業、政府部門、教育機構和全球消費者更頻繁遭遇高級網絡攻擊。
《投資者商業日報》一篇報道稱:
網絡安全開支追蹤的問題在于,除了IBM和思科,其他科技巨頭并不總會公布網絡安全盈利數據,手機惡意軟件和數據恢復上的消費者安全開支大幅削減更是從不會被列入報告內容。與企業類似,消費者也在為網絡攻擊花費時間與精力。所以,一些業內分析師的網絡安全開支預測與 Cybersecurity Ventures 的萬億美元5年市場預測之間存在偏差也正常。
勒索軟件興起
美國司法部將勒索軟件描述為新的網絡犯罪商業模式,一種全球性現象。
勒索軟件感染計算機后會限制用戶對文件的訪問,往往威脅用戶如果不支付贖金就會永久銷毀數據。此類網絡威脅已泛濫成災,成為發展最快的網絡犯罪。
2016年末,每40秒就有一家公司淪為勒索軟件的受害者。Cybersecurity Ventures 預測,到2019年,該間隔將縮短到每14秒一家,2021年將達美11秒有一家公司受害。
去年,FBI估測,公司企業和個人每年支付出去的勒索軟件贖金總額達10億美元。
Cybersecurity Ventures 預測,到2019年,每14秒就會有一家公司淪為勒索軟件攻擊受害者,2021年時這一間隔將縮短至每11秒。
網絡安全行業專家和司法官員一直在建議公司企業不要支付贖金。雖然支付贖金期望能找回數據的勒索軟件受害者占比呈減少趨勢,但勒索軟件攻擊相關的總損失卻在激增。
2017年的全球勒索軟件損失預測是超50億美元,比2015年增長15倍。如今,2019年的勒索軟件全球總損失預計將達115億美元,到2021年,這個數字是200億。
專精勒索軟件攻擊檢測與響應員工培訓的KnowBe4公司創始人兼首席執行官 Stu Sjouwerman 稱:
勒索軟件攻擊正從廣撒網式網絡釣魚轉向高度針對性、強破壞力的網絡感染,可致整個公司數天乃至數周宕機掉線。生活就是這么殘酷,勒索軟件仍將存在,而傳統基于軟件的終端防護無法抵御此類惡意軟件。
人力資源危機
微軟全球事件響應與恢復團隊表示:安全運營中心(SOC)每天分揀的網絡攻擊和安全事件總量持續增長,僅靠人力幾乎不可能跟進。
安全其實是人的問題。網絡犯罪都是人的執行的。我們需要有資質的人來追捕作惡者。
技術當然很關鍵,我們在技術上也取得了長足進展,但如果缺乏足夠的白帽子軍團對抗逐年增多的黑帽子,我們將無法拉低網絡犯罪率。
美國證券交易委員會(SEC)互聯網強化辦公室前主任 John Reed Stark 在去年的博客文章中寫道:今天最大的實際威脅不是國家支持的網絡攻擊、新奇的隱秘惡意軟件,或黑客文化橫行;信息安全領域最危險的陰云是嚴重的網絡安全人才短缺。
Palo Alto Networks 研究中心的業內專家稱,到2019年,全世界對網絡安全人員的需求將增至約600萬人。
網絡犯罪將促使網絡安全職位空缺在2021年時達到350萬個,是目前缺額的3倍,且網絡安全失業率仍將繼續保持為零。
如今每個IT崗位同時也是網絡安全崗位。每個IT員工、每個技術工人都或多或少要負責一些保護App、數據、設備、基礎設施和人員安全的工作。
傳統上IT公司與其安全團隊之間是有條分界線的。事實上,除了CIO,唯一的另一個IT‘首席’就是首席信息安全官(CISO)。但未來的網絡人才來源于更廣泛的IT員工。董事會的問題是招聘和留住新鮮安全血液。
網絡攻擊愈演愈烈的當下,網絡安全人才短缺讓CIO、CSO和CISO捉襟見肘,紛紛投身搶人大戰。面對有限的人力資源,安全主管們必須分清主次,學會取舍。
美國最大醫藥提供商CVSHealth首席安全官 Jim Routh 稱:
我的工作基本上就是確定如何分配稀缺資源去處理高等級風險。你永遠不會有足夠的資源去做每一件事,你必須從分配資源的角度挑選投入的方向。
安全意識培訓
雖然黑客年報總是點綴著聰明程序員找出系統漏洞完成惡意入侵的傳說,但絕大多數網絡攻擊其實始于簡單的電子郵件。超過90%的成功黑客攻擊和數據泄露源于網絡釣魚。網絡釣魚者精心編制電子郵件誘使收件人點擊釣魚鏈接、打開藏毒附件,或向本不應該發送的對象轉發信息。
美國主流醫療企業 Northwell Health 副總裁兼首席信息安全官 Kathy Hughes 表示:安全鏈中最弱的一環是人。企業可以擁有各種精妙的技術和安全防護層,但安全最終落腳到人身上,那些真正意識到威脅且知曉如何檢測與報告的人。
2018是有所突破的一年,很多公司企業都開始正視這個問題,要么訓練自己的員工,要么雙管齊下,投注更健壯的持續安全意識培訓及網絡釣魚模擬項目。
培訓員工如何識別和防御網絡攻擊是網絡安全行業投資最欠缺的一個領域。
Northwell可能是大型企業如何培訓員工了解網絡威脅并從中受益的典型例子了。Hughes主導了該公司的安全意識培訓項目,招聘了安全意識培訓經理和專職員工,針對容易上當受騙的用戶(包括新員工)組織了網絡釣魚模擬攻擊演練。
全球160多個國家都有分公司的施樂公司特別看重安全意識文化。其副總監兼首席信息安全官Jay博士曾任白宮副CIO,她表示:施樂的安全部門規模有多大呢?3萬人!包括了施樂公司每一名員工。
網絡攻擊界里施樂的待遇與白宮一樣,都被兩塊九毛九就能買到的黑客工具攻擊。如《財富》雜志所言,黑客工具包提供的網絡犯罪價目表中工具從1美元到200美元都有,其中很多都能被新手使用,可用于注入勒索軟件、竊取個人可識別信息(PII)、黑進電子郵箱賬戶等等邪惡舉動。
全球網絡安全意識培訓開支預計在2027年達到100億美元,2014年這個數字是10億美元。培訓員工如何識別和防御網絡攻擊是網絡安全行業投資最欠缺的一個領域。
未來5年,員工培訓將被證明是網絡安全投資中回報率最高的。
前瞻
Infoworld計算機安全專欄作家,在微軟擔任了11年首席安全架構師的 Roger Grimes 表示:每家公司都將被黑。
過去3年里醫療提供商是黑客眼中的靶心。Herjavec認為:2017和2018年我們見證了醫療提供商對網絡安全投資的重視。他們感受到了老舊系統的痛,不得不多加保護自身基礎設施與患者數據。對醫院的勒索軟件攻擊到2021年預計會增加5倍。
今年我們看到了傳統行業中越來越多的牽引,希望2019繼續保持這種勢頭。尤其是在制造業這種加密鎖定軟件造成了一些真正傷害的領域,我們將看到公司企業不斷完善自己的安全項目與安全投資,趕上不斷進化的漏洞利用。制造業已變成2018年時的醫療行業。
思科調查訪問的制造業安全人員中40%表示他們并不具備正式的安全策略。制造業雜志 Process Industry Informer 認為,因為普遍缺乏網絡安全投入,又越來越依賴現代技術,制造業是目前最脆弱最容易被網絡罪犯盯上的行業。
建筑業是2018年另一個網絡攻擊熱點目標。隨著建筑公司開始標準化IoT設備,比如恒溫器、熱水器和電力系統,一整個新的攻擊界面出現在黑客面前。
IoT設備是2018年最大的技術犯罪驅動器,且所有跡象表明這一狀態在2019年仍將持續。
消費者產品公司是今年冒出的又一個遭受網絡攻擊和網絡安全人才招聘挑戰的行業。《華爾街日報》一篇文章稱,千禧一代和Z世代勞動者可能覺得新興技術或投資銀行是更具吸引力的潛在雇主。
2016年最遭網絡攻擊的行業:醫療、制造、金融服務、政府和交通運輸,基本上維持原樣,除了排序略有調整。每個行業都走向了“科技”——廣告科技(廣告業)、金融科技(金融服務)、教育科技(教育技術)、政府科技(政府)、法律科技(律所)等等,所有這些行業都得擴展其網絡防護。
小企業在今年遭遇網絡安全阻礙。大量小公司猛然醒悟自己也是網絡攻擊的對象,也需要采取預防性安全措施。很多只有不到250名員工的公司通過慘痛的經歷認識到了:如果等到被黑后才開始處理網絡安全問題,可能就為時已晚了。近乎半數的網絡攻擊針對小公司實施,該比率在來年可能還會繼續增加。
不管大中小型公司企業的CEO都應留意的一條警告是:數字網絡事件與可能造成業務中斷的任何自然災害或人為破壞一樣,都是需要提前防備的。
除了上述行業,物聯網設備是2018年最大的技術犯罪驅動力——所有跡象表明這一狀態在2019年及可預見的未來仍將持續。思科估測,IoT設備數量到2021年將是全球人口總數的3倍。IoT設備制造過程中只重功能輕視安全,操作系統本就極小,安全就更像是一種“增強”而非“內置”特性了。
最后,2019年,在雅虎、萬豪和其他數據泄露事件的后續影響開始顯現的日子里,消費者最好多加關注安全。
考慮到被盜電子郵箱和PII,想想黑客能夠讀取私人短信和查看嬰兒監視器,人們就有動力轉向更安全的電子郵件提供商,開啟兩步驗證,以及開始購買自己的網絡安全產品了。
數說安全
盡管網絡犯罪泛濫,技術可以讓世界成為更安全的地方。
交通運輸部預見,未來10年里自治車輛技術將大幅降低交通事故死亡率,拯救近30萬人的生命。
英特爾在去年宣布了最大安全相關并購案,以153億美元買下以色列汽車碰撞規避技術公司Mobileye——包括其450名工程師和近150萬輛車的安裝基礎。
當市政傳感器和先進家用安全遠程監視系統開始通過IoT無縫融合,犯罪統計數字可減少20%。
全球的網絡工程師和創業者都在努力研發新解決方案以對抗和減少網絡犯罪。數百家頂級網絡安全公司正在創新尖端產品和創建新服務以打贏網絡犯罪攻堅戰。越來越多的MSSP正在接過全球各型企業面對的艱巨網絡風險責任。
網絡犯罪是網絡攻擊界面不斷擴大的必然產物,這是可以預見也應該預見的。對我們面對的風險和威脅有清醒的認知可以幫助公司企業和消費者更好地保護自身。
Herjavec Group 《2019網絡犯罪年度報告》:
https://www.herjavecgroup.com/the-2019-official-annual-cybercrime-report/