埃森哲：2017年网络犯罪成本研究报告（含分析）

2017年10月1日，在埃森哲的委托下，Ponemon发布了第8次网络犯罪成本研究报告。根据这份访谈了来自全球7个国家，254个公司，2182名受访者的报告显示，全球一个组织或企业用于网络安全的年平均成本（/花费）是1170万美圆，比去年增加了22.7%，美国地区更是高达2122万美圆；平均一年发生的安全（泄漏）事件有130起，比去年增长了27.4%。

以下图，报告一共列举了19个关键发现，从5个方面进行了阐述 。

我在这里摘录其中几个进行叙述。

从***类型的角度来看，在这平均一年的开销（1170万美圆）中，恶意软件的开销最高，达到236万美圆；其次是WEB***，达到201万美圆；再日后依次是拒绝服务、恶意内部人员、钓鱼和社会工程、恶意代码、失窃设备、勒索软件、僵尸网络。

针对上述9种***类型，在处理时间上，处理恶意代码***问题所花费的时间最长，平均为55.2天，且比去年有所增加。其次是恶意内部人员，平均为50天。而勒索软件***的处理时间也到达了23天。

从行业分布的角度来看，金融业是重灾区，年均开销在1828万美圆；通用设施和能源次之，为1720万美圆。再日后，依次是航天和防务、技术与软件、卫生、服务、工业/制造、零售、公共部门、交通、消费品、通信、生命科学、教育、酒店。

还有一个颇有趣的分析是针对企业/组织的安全投资回报的，以下图所示：

Ponemon给出了9种安全投资类别，其实就是9种安全技术/措施类型。图中深色条的长度表示针对某种技术的投资程度，也就是问这9种技术用到了哪些，选的人越多，则投资程度（比例）越高，相应的色条越长。而稍浅色条的长度表示这种技术带来的收益（节约成本）的程度，也就是问这9种技术哪些带来了收益，选的人越多，则收益程度（比例）越高，相应的色条越长。而后再看两个色条之间的差距，包括正差距和负差距。正值越高，说明这类技术的ROI越好；相反，负值越高，则说明ROI越差。

从上图中，咱们能够发现几点【注意，如下几点是我我的解读】：

1）对边界控制的投资最多，但效果却通常般，跟投入不符。说明，重兵把守边界的效果是不够的。

2）对DLP的投资回报也不满意。说明，DLP市场虽大，但效果仍需提高，还有不少工做要作。

3）对于合规（GRC）的投入比例居中，但收益排倒数第二。说明在面对网络犯罪（***），合规性技术是不足以应对的，或者说是收效较低的。

4）安全智能系统投入比例不高，但效果却十分可观。说明这类系统的应用前景很好。

5）身份管理与访问控制及治理（IAM、IAG）投入与回报至关，说明尚且OK，但投入须要达到必定高水平。

6）针对一些新兴技术，譬如安全分析、UEBA、安全编排与自动化（SOA）、机器学习等等，投入不高，但收益反馈较好，尤为是UEBA。这说明，企业/组织要花费更多的精力去投资新兴技术。但也要注意，这类新兴技术的投入比例在短时间内依然不会成为主流，而且随着这类投入的增长，其收益可能会递减。咱们能够看看2018年的报告对这个调研内容的持续跟踪，再作同比分析。

对于上图，报告给出的官方分析结论是：

1）组织须要更好地平衡不一样的安全技术投资；

2）合规类技术很重要，但不能把宝压在合规上；

3）组织须要抓住安全技术创新的机遇。

报告谈到了当前组织/企业存在的问题，也给出了3个建议：

1）构建一个健壮的基础网络安全防护体系，包括安全智能、访问管理，同时持续创新，力争跑在***前面；

2）进行极限压力测试，不要仅仅依赖合规检查，尤为须要经过极限压力测试来识别隐藏的漏洞，力度甚至要大过有明确动机的***；

3）对突破性的创新技术进行投资，平衡对新技术的投入，尤为是安全分析和AI。

须要特别注意的是，上述分析图表都是全球平均的状况。针对不一样的国家，9类***的成本和花费时间的排序，以及不一样安全投资类别的有效性都有不一样。并且因为这个调研的样本空间美国公司占比多，所以，全球平均水平更接近美国的状况。而中国公司没有参与，因此，对国内而言，上述数据仅供参考，咱们能够从趋势上进行研判。

而说到这里，我想说，在看每一个调研报告的时候，也要仔细看看他采样的空间和时间、分析的模型和假设前提。尤为是看国外的报告的时候，由于咱们每每不能简单地将国外的调研结论简单地适用于国内，而须要更加审慎的去分析，尽管很难。最起码，看报告不要只看结论，要看清假设前提和研究方法。这一点上，国外有些报告作的比较好，不少相关信息都列举了出来。另外一方面，我也有感于国内在这类调研分析领域的极度匮乏，而且也缺少方法论和模型，还缺少调查研究的土壤。

回到报告，咱们最容易产生的问题就是：Ponemon是如何计算出这些开销的？比较有意思的是，Ponemon为此创建了一个网络犯罪的成本框架，从直接成本、间接成本和机会成本三个维度创建了一套计算指标体系。

Ponemon一共设计了9个成本指标，并分为内在成本指标（5个）和外延成本指标（4个）。内在成本指标包括：检测开销、调查和处置开销、遏制开销、恢复开销、善后处理开销。外延性成本指标包括：信息资产泄漏或者失窃损失、业务中断损失、设备损坏、收入损失。全部这9个指标都会映射到三种成本项目上。直接成本：就是针对某个指标的直接产生的开销；间接成本：就是不能直接以金钱衡量的时间、努力、或组织其它资源的开销；机会成本：就是安全事件发生后因为声誉受损而可能致使业务机会丧失等不良后果，以此来计算的成本开销。

最后，提醒一下，不要将这个报告与以前Ponemon受IBM之托作的另外一份报告（2017年6月发布的《2017年全球数据泄漏成本研究报告》）相混淆。在那份报告中，显示平均一个数据泄漏事件形成的损失是362万美圆；平均一次泄漏事件包括24000条记录，并特别分析了创建一支应急响应队伍、使用加密技术、参与威胁情报分享、让董事会参与其中的重要性和价值。更多有关这个数据泄漏成本报告的内容，能够参见凌晨MM的微信号。

【参考】

普华永道：2018年全球信息安全情况调查分析报告

安永：第20次全球信息安全调查报告（2017～2018）

德勤2010年金融机构安全研究报告