IT 安全经济学

引言

IT 安全要求日新月异。人工智能 (AI)、数字化和云采用的兴起正在改变各行各业，但同时也带来了 IT 决策者必须应对的风险。这份《IT 安全经济学》报告探讨了这些转变如何影响各种规模和行业的企业（从大型企业到小型企业，包括公共部门组织）的安全策略。

AI 和自动化正在重塑各公司的运营方式。AI 推动创新和效率，但也暴露出缺陷。网络犯罪分子越来越多地使用 AI 驱动的工具发起更复杂的攻击，而自动化系统为黑客提供了新的切入点[1]。IT 团队必须快速适应，在 AI 带来的优势与保护数字环境的需求之间取得平衡。各行业数字化的快速发展加剧了这一挑战，使得安全团队必须实时领先于威胁。

向”一切即服务”(XaaS) 和云基础设施的转变使企业转向基于订阅的模式，这种模式提供了灵活性和可扩展性。然而，这种转变也带来了新的风险。公共、私有和混合云环境需要持续监控才能确保大量数据的安全，这对于 IT 资源有限的小型企业来说尤其具有挑战性[2]。大型企业也面临风险，多云环境增加了其安全工作的复杂性。经常处理敏感数据的公共部门组织在确保合规性的同时，也必须应对这些风险。

供应链的全球化给 IT 安全带来了机遇和挑战[3]。全球网络提高了效率，但也产生了漏洞。供应链中某个环节的单个漏洞就可能波及整个行业，影响全球企业。与此同时，本地化趋势日益明显，各公司正在寻求在更接近本土的地方生产更多商品，以增强恢复能力。虽然这有助于最大限度地降低全球风险，但本地化运营仍然面临针对性的网络攻击，特别是在医疗保健、能源和政府等关键领域。

供应链恢复能力已成为 IT 安全团队的关注重点，越来越多的企业认识到需要对其供应商进行更严格的监督和控制。疫情暴露了全球供应链的脆弱性，网络安全现已成为这一讨论的关键部分。IT 决策者必须努力确保其整个供应链的安全，而不仅仅是他们自己的系统。这包括评估供应商的安全实践、监控潜在风险并确保所有合作伙伴遵守严格的安全协议。

近年来，几起备受瞩目的网络攻击事件凸显了强大网络安全的重要性。2022 年，Lapsus$ 黑客组织将包括微软和 Okta 在内的大公司作为攻击目标，泄露了敏感的客户数据，并导致了重大声誉损失[4]。2023 年，英国大型外包公司 Capita 遭受网络攻击，影响了其公共和私营部门的客户，该公司估计恢复工作耗资约 2500 万英镑[5]。

对于小型和中小型企业 (SMB) 来说，这些趋势带来了重大挑战。有限的预算和较少的 IT 人员使得防御复杂威胁变得更加困难，特别是在基于 AI 和云的攻击的背景下。大型企业拥有更多资源，配备更加完善，但必须应对在多个地理区域保护庞大基础设施的复杂性。公共部门机构也面临着这些问题，需要在严格的预算限制下保护关键基础设施和敏感信息。

本报告深入探讨了这些挑战，并提供了关于各种规模的企业更好地为不断变化的安全环境做好准备的见解。随着 AI、数字化和云化继续重塑各行业，IT 决策者必须优先考虑能够跟上这些大趋势的安全策略。

方法

本研究基于从 1985 次访谈中收集的数据，访谈对象是在各种规模的组织中工作的决策者和 IT 安全专家，这些组织包括员工人数少于 500 人的中小企业、员工人数在 500 至 5,000 人的中小型企业以及员工人数超过 5,000 人的大型企业*。研究在卡巴斯基的主要业务市场中的 27 个国家进行。范围包括对 IT 安全预算、人员配备、漏洞和行业特定洞察的详细分析。

关键见解

各行业IT 安全支出全面增长

调查显示，各种规模的组织在 IT 安全方面的预算分配都有所增加。

公司规模	总 IT 预算	IT 安全预算	IT 安全支出占总 IT 支出的比例	IT 安全支出计划增长*
大型企业	4180 万美元	570 万美元	13.6%	+ 8.5%
SME	1050 万美元	120 万美元	11.6%	+ 9.2%
SMB	160 万美元	20 万美元	12.5%	+ 8.8%

*未来两年的变化

不同规模组织的 IT 安全支出比例相对一致，而且预计在未来两年内将增长近 10%，这反映出人们越来越认识到，无论规模大小，网络安全都是整体 IT 投资的重要组成部分。

随着数字基础设施变得越来越重要，这种上升趋势凸显了行业的共同认识，即安全不是一项可有可无的开支，而是保护不断发展的 IT 环境的必要保障。

中小企业的 IT 安全成本

组织规模	IT 员工总数	IT 安全专家数量	平均解决方案数量	IT 安全人员占 IT 员工总数的比例
大型企业	105	23	15	21.9%
SME	29	9	12	31%
SMB	12	4	9	33.3%

尽管大型企业的 IT 安全系统复杂且规模庞大，但分配给安全工作的 IT 员工比例却较低，这表明他们在先进 IT 解决方案和自动化方面的大量投资带来了更大的规模经济效益，减少了对专业人员的需求，同时仍保持强大的安全能力。

缺乏培训带来严重风险

IT 安全解决方案	使用各种解决方案的受访者百分比（所有行业和所有规模的公司的平均值）
端点安全	100%
网络安全	94%
云安全	83%
安全服务	75%
网络安全分析、情报、响应和编排	69%
安全培训	53%

100% 的企业，无论规模大小，都已实施端点安全，并且几乎所有企业都拥有网络安全 (94%)、云安全 (83%) 和安全服务 (75%)，这表明各组织均认识到保护核心数字基础设施的重要性。

然而，对安全培训的关注度明显较低 (53%)，这表明许多公司缺少关键的防御层。由于社会工程和人为错误仍是最主要的安全漏洞，缺乏员工培训构成了一个显著的缺口。如果没有足够的培训，即使是最先进的技术防御系统也可能因为简单、可预防的错误而遭到破坏。

事件概览

尽管在 IT 安全方面投入了数百万美元，并且各种规模的组织几乎都采用了网络安全措施，但绝大多数组织仍然报告受到网络攻击。大型企业有 97% 报告遭受攻击，其次是中小型企业（ 88%）和中小企业（ 83%）。

即使是在安全投入巨大的组织中，高攻击率也凸显了持续演变的威胁环境。这表明，虽然保护网络边界仍然至关重要，但攻击者正在寻找新的、复杂的方法来入侵系统，通常是利用传统网络安全措施无法完全解决的漏洞。

特别是中小企业，更容易通过公共云服务遭受数据盗窃，49% 的中小企业报告了此类事件，而大型企业只有 19%。这种差异可能源于中小企业很少有严格的策略或系统来控制公共云服务的使用，使得员工能够在不安全的环境中访问或存储敏感数据。

此外，中小企业更可能依赖公共云解决方案，而不是投资于本地基础设施，大型企业通常会维护本地基础设施，以便更好地控制其数据。这种缺乏足够监督的对第三方服务的依赖可能会增加数据泄露和盗窃的风险。

引文

导致安全漏洞的另一个关键因素，尤其在小型企业中，是人为错误。员工的错误或疏忽，无论是由于缺乏安全意识还是培训不足，都是组织遭到入侵的主要原因[6]。

只有 53% 的公司投资于安全培训，许多公司仍然容易受到社会工程攻击、网络钓鱼和其他形式的人为漏洞的侵害。加强员工在安全最佳实践方面的教育，可以显著减少因可避免的错误而引发的事件数量。

按规模划分的 IT 安全

大型企业

IT 预算	4180 万美元
IT 安全支出	570 万美元
IT 支出在两年内增长	+8.5%
平均事件数量	12
平均公司损失	620 万美元（安全预算的 1.1 倍）

SME

IT 预算	1050 万美元
IT 安全支出	120 万美元
IT 支出在两年内增长	+9.2%
平均事件数量	13
平均公司损失	170 万美元（安全预算的 1.4 倍）

SMB

IT 预算	160 万美元
IT 安全支出	20 万美元
IT 支出在两年内增长	+8.8%
平均事件数量	16
平均公司损失	30 万美元（安全预算的 1.5 倍）

尽管大型企业拥有更丰富的资源和先进的安全基础设施，但其庞大的规模和复杂性使其更容易受到代价高昂的攻击。尽管这些企业通常更有能力快速检测到事件，但完全响应和缓解这些威胁所需的时间可能长达数小时，这凸显了管理广泛、复杂的 IT 环境所面临的挑战。

在预算影响方面，中小企业是受影响最严重的群体。中小企业通常缺乏强大的网络安全策略和程序，这使得它们容易受到涉及员工、公共云错误配置和高级权限的事件的影响。

引文

随着云采用和远程办公不断增加，人为因素和不完善的云安全策略仍然是关键的漏洞环节，尤其是对于这些小型企业而言。这些洞察强调了定制安全策略的重要性，这些策略根据组织的规模和资源来解决组织面临的特定风险。

行业特定的洞察

公共服务（政府、教育、国防）

• IT 预算 820 万美元
• IT 安全支出 100 万美元
• IT 支出在两年内增长 +8.9%
• 平均事件数量 18
• 平均公司损失 110 万美元（IT 安全预算的1 倍）

最关注的问题	最大挑战
39% – 遭遇停机/生产力损失	34% – 无法获得客户服务	33% – IT 安全被视为业务转型的障碍	32% – 响应时间过长
34% – 复杂安全技术环境的成本	45% – 涉及非计算设备	36% – 跨平台管理安全	31% – 操作错误
24% – 数据保护问题	40% – 物理损失	35% – 数据泄露 [员工]	34% – 数据泄露 [网络攻击]

此行业的 IT 预算为 820 万美元，安全支出为 100 万美元，相对于行业规模和复杂性，安全投资相对较低。事件数量高（18 起），平均公司损失达 110 万美元，相当于安全预算的 1.1 倍，表明这些组织经常成为攻击目标，但缺乏资源和成熟度来有效预防或应对。

由于反 DDoS、威胁情报 (TI) 和漏洞管理 (VM) 等关键安全解决方案的采用率较低，此行业经常在应对与员工相关的事件和数据盗窃方面面临困难。响应时间较长表明需要更好的事件管理和更快的检测，以减少损失。

制造业

• IT 预算 600 万美元
• 安全支出 70 万美元
• IT 支出在两年内增长 +8.4%
• 平均事件数量 17
• 平均公司损失 180 万美元（IT 安全预算的5 倍）

最关注的问题	最大挑战
43% – 遭遇停机/生产力损失	44% – 检测时间长	35% – 无法获得客户 服务	33% – 响应时间过长
38% – 数据保护问题	46% – 数据泄露 [网络攻击]	36% – 数据泄露 [员工]	33% – 物理损失
33% – 复杂安全技术环境的成本	47% – 涉及非计算设备	33% – 跨平台管理安全	27% – 操作错误

制造业的 IT 预算较少（600 万美元），安全支出仅为 70 万美元，导致每次事件的经济损失高达180万美元，是其安全预算的2.5倍。。虽然与成熟度类似的行业相比，此行业对托管检测与响应 (MDR) 和威胁情报等解决方案的使用率更高，但在检测和响应事件方面仍然面临重大挑战，尤其是涉及物联网、密码盗窃和高权限入侵时。需要数天的时间才能对威胁做出响应，这凸显了制造业运营对持续攻击的脆弱性。

酒店餐饮和医疗保健行业

• IT 预算 540 万美元
• 安全支出 60 万美元
• IT 支出在两年内增长 +9.3%
• 平均事件数量 18
• 平均公司损失 180 万美元（IT 安全预算的 2 倍）

最关注的问题	最大挑战
40% – 数据保护问题	44% – 设备或介质的物理损失	37% – 数据泄露 [网络攻击]	33% – 数据泄露 [员工]
34% – 复杂安全技术环境的成本	41% – 涉及非计算设备	37% – 跨平台管理安全	29% – 识别 IT 系统中的漏洞
33% – 遭遇停机/生产力损失	37% – 检测时间长	34% – 响应时间长	32% – 无法获得客户服务

酒店餐饮和医疗保健行业虽然有不同的运营要求，但它们在事件和 IT 预算方面的统计数据相似，因此被归为一组。该行业的平均 IT 预算为 540 万美元，安全支出为 60 万美元，与其面临的威胁相比，资金不足。虽然平均事件数量为 18，但该行业的安全成熟度仍然较低，只是非常重视安全培训。平均损失 180 万美元（安全预算的 2 倍）反映了这一差距，特别是当这些行业面临恶意软件、公共云漏洞和高权限入侵等事件。检测和响应时间通常持续数周，使这些组织面临长期风险。

BFSI （银行、金融服务和保险）行业

• IT 预算 830 万美元
• 安全支出 120 万美元
• IT 支出在两年内增长 +9.3%
• 平均事件数量 8
• 平均公司损失 320 万美元（IT 安全预算的7 倍）

最关注的问题	最大挑战
41% – 遭遇停机/生产力损失	46% – 检测时间长	42% – 无法获得客户服务	41% – 无法获得内部 服务
36% – 复杂安全技术环境的成本	43% – 跨平台管理安全	39% – 操作错误	35% – 涉及非计算设备
27% – 云基础设施采用问题	45% – 影响虚拟化环境	42% – 影响第三方托管的 IT 基础设施	32% – 影响所使用的第三方云服务

BFSI 在安全投资方面领先，预算为 120 万美元，并且坚定采用 SIEM 和扩展检测与响应 (XDR) 等安全服务。BFSI 的事件数较少（8 起），检测和响应时间更快，证明了大量安全投资是有回报的。尽管如此，他们每次事件的平均损失为 320 万美元（其安全预算的 2.7 倍），反映了金融服务所涉及的高风险。但是，该行业对安全教育和复杂工具的关注凸显了资金充足的安全计划在减少漏洞频率和影响方面的有效性。

IT 和电信行业

• IT 预算 690 万美元
• 安全支出 110 万美元
• IT 支出在两年内增长 +8.9%
• 平均事件数量 10
• 平均公司损失 280 万美元（IT 安全预算的5 倍）

最关注的问题	最大挑战
38% – 复杂安全技术环境的成本	46% – 涉及非计算设备	39% – CS 错误使系统不受保护	35% – 跨平台管理安全
34% – 遭遇停机/生产力损失	49% – 检测时间长	40% – 响应时间长	39% – 无法获得客户服务
32% – 数据保护问题	48% – 设备或介质的物理损失	34% – 数据泄露 [网络攻击]	27% – 数据泄露 [员工]

IT 和电信行业的安全态势较为成熟，安全支出为 110 万美元，遇到的事件也相对较少（10 起）。但是，当发生泄露时，代价却非常高昂，平均损失为 280 万美元（安全预算的 2.5 倍）。该行业广泛使用 EDR、XDR 和云基础设施授权管理 (CIEM) 等先进的安全解决方案来帮助防止频繁入侵，但成为攻击目标时，攻击往往非常复杂且长期不被发现，导致重大的经济和运营损失。

B2B 服务行业

• IT 预算 220 万美元
• 安全支出 30 万美元
• IT 支出在两年内增长 +8.9%
• 平均事件数量 11
• 平均公司损失 60 万美元（IT 安全预算的 2 倍）

最关注的问题	最大挑战
42% – 遭遇停机/生产力损失	33% – 检测时间长	31% – 响应时间长	31% – 无法获得客户服务
31% – 数据保护问题	39% – 数据泄露 [员工]	38% – 数据泄露 [网络攻击]	38% – 物理损失
28% – 复杂安全技术环境的成本	43% – 跨平台管理安全	32% – 涉及非计算设备	23% – 维护旧系统的安全

B2B 服务行业的 IT 预算仅为 220 万美元，分配给安全的预算为 30 万美元，遇到的事件较少（平均 11 起），但损失（60 万美元）与安全预算的比率（2 倍）表明，即使少数事件也可能造成重大损失。该垂直行业的安全预算和团队规模在各行业中最低，未能充分利用大多数安全解决方案，使其更容易遭受数据和密码盗窃。但是，其较为低调的运营方式可能会降低攻击频率，尽管对云服务的依赖仍然是一个关键的脆弱点。

结论

不断变化的 IT 安全态势给各种规模的企业带来了重大挑战。随着 AI、数字化和云采用持续重塑各行业，组织必须保持警惕以应对日益复杂的网络威胁。

本报告收集的数据强调了投资于强大的网络安全策略（从确保云环境安全到保护运营技术）的至关重要性。

大型企业因运营规模而经常面临复杂的安全问题，而中小企业和公共部门机构也面临着资源有限和高影响事件的困扰。在所有行业中，整合先进的安全解决方案并注重员工培训，对于在不断变化的威胁环境中减轻风险和保持恢复能力至关重要。

除了投资于网络安全解决方案，额外的帮助也触手可及。为了支持各个行业各种规模的组织，卡巴斯基设立了五个专业中心，体现了其在全球网络安全领域的领导地位，每个专业中心都在应对复杂数字威胁方面发挥着重要作用。

• 全球研究与分析团队 (GReAT) 主导对复杂攻击、网络间谍活动和主要恶意软件趋势的调查。
• 威胁研究中心专注于反恶意软件和内容过滤，积极开发检测方法和安全软件开发实践。
• AI 技术研究中心专注于 AI 赋能的威胁检测和生成式 AI 解决方案，以增强网络安全。
• 安全服务中心提供托管检测、事件响应和安全评估。
• ICS CERT 中心专注于工业网络安全，为关键基础设施提供专业研究和咨询。

这些实体共同利用 5,000 多名专家的专业知识，在全球范围内提供尖端的网络安全解决方案和服务。

产品推荐

• 利用 IT 安全计算器等专门资源，预测与您所在国家和行业相关的网络和数据风险，并制定相应预算。该工具将帮助您最大限度地提高您的保护措施的效率。

• 为了保护公司免受各种威胁，请使用Kaspersky Next 产品线的解决方案，这些解决方案可以为任何规模和行业的组织提供 EDR 和 XDR 的实时保护、威胁可见性、调查和响应能力。根据您当前的需求和可用资源，您可以选择最相关的产品层级，并在网络安全需求发生变化时轻松迁移到另一个层级。

• 通过采用卡巴斯基托管检测与响应等托管安全服务，无需额外招聘即可获得额外的专业知识。它可以提供最先进的自动化安全服务，并全天候实时分析每天收集的企业数据，以帮助抵御复杂的网络攻击，即使公司缺乏安全人员。

• 让您的信息安全专业人员能够深入了解以您的组织为目标的网络威胁。最新的卡巴斯基威胁情报将在整个事件管理周期中为他们提供丰富且有意义的背景信息，并帮助及时识别网络风险。

• 为了使云采用、数字化转型和 DevOps 实践更安全，请使用卡巴斯基云工作负载安全生态系统的解决方案，释放您的信息安全服务资源来处理其他任务，降低运营和基础设施成本，提高可见性并确保在任何云环境中都保持合规。

• 为您的员工投资额外的网络安全课程，让他们掌握最新的知识。通过以实践为导向的卡巴斯基专家培训，信息安全专业人员可以提高他们的硬技能，并能够保护其公司免受复杂攻击。

[1] 卡巴斯基：3 年内，超过 3600 万个 AI 和游戏凭据被信息窃取者泄露

[2] 卡巴斯基表示，有新的组织利用公共云服务监视俄罗斯机构

[3] 卡巴斯基强调供应链中 AI 驱动的安全风险

[4] Lapsus$ 网络攻击：有关该黑客组织的最新消息

[5] 网络攻击导致外包公司 Capita 损失高达 2500 万英镑

*SMB = 中小企业；SME = 中小型企业

[6] 重新定义网络安全中的人为因素