执行摘要*
综述
2016年,卡巴斯基实验室连同B2B International对来自全球25个国家超过4000名企业代表进行了调查研究,内容包括:IT安全预算、基础设施的复杂度、对于安全威胁和解决方案的态度以及遭遇数据外泄和安全事故的实际损失。该报告致力于揭示网络安全的财务一面:企业在保护自身安全以及从网络安全事故中恢复所花费的成本。
点击这里下载含精选统计数据的区域报告版本(亚太区)。注册后即可免费下载报告。
调查主要成果
IT安全预算未来三年预计将平均增长14%。
所有企业都将IT基础设施的复杂度作为投资安全领域的主要原因:48%的大型企业和42%的中小企业。
平均每年安全支出从1000美元(微型公司)到100万美元(大型公司)不等。
IT安全预算各分段企业%
从单次安全事故中恢复的平均成本估算后分别为8.65万美元(中小型企业)和86.1万美元(大型企业)。
多数’昂贵’的网络攻击类型往往采用的是零日漏洞及有针对性的攻击。中小型企业主要因移动设备漏洞被利用而遭受攻击,大型企业报告受影响最大的是黑客行动主义者攻击。
调查:安全支出背后的原因
不可否认IT安全正在成为企业的优先考虑事项,原因在于对IT安全的依赖程度和技术本身的复杂性在不断提高。事实上于企业而言,不断提高的IT基础设施复杂性已成为IT安全支出增加的首要推动力(48%)。42%的中小型企业以及1/4(24%)的微型企业将技术复杂性视为预算增加的首要原因,而另外35%的受访企业则将新业务/扩展视为首要原因。
尽管很难向高级管理层说明IT安全的投资回报率,但几乎所有企业均一致认同不在乎投资回报率,而是继续投入资金改进企业的IT安全,因为防范于未然总没有错。
按照具体费用,2/3(66%)的中小型企业为IT安全每年支出超过1000美元,相比之下68%大型企业的年支出超过100万美元。
安全事故经历
在过去12个月,超过1/3的企业(38%)因受到病毒和恶意软件的影响而导致生产力受损,并发生员工使用不适当的IT资源(36%)。1/5(21%)的企业因遭受有针对性的攻击导致数据丢失或外泄。
过去12个月遭遇安全事件的类型(遭遇各种攻击的企业%)
在所有企业遭遇的安全事件中,其中约有一半(43%)最终导致数据外泄、丢失或某种程度的曝光。结合起来,中小型企业单次遭数据外泄和攻击的平均财务成本估算为8.65万美元,而大型企业则达到惊人的86.1万美元。因此,对IT员工时间的重新分配也可以看出,无论是中小型企业还是大型企业都是最大的一笔额外支出。
估算的单次数据外泄的平均财务成本
我们有意将恢复成本分为几大类,为的是更好地评估单次安全事故的总体成本,发现成本远超雇佣额外IT资源所需的费用。中小型企业和大型企业通常的损失由以下费用组成:
中小型企业
大型企业
但这只是遭受各种网络攻击后的平均损失,有些类型的攻击可能需要企业支出的成本更高。比如,未知”零日”漏洞–尽管比较少见–使中小型及大型企业分别付出了14.9万和200万美元的成本,而有针对性的攻击则分别会造成14.3万和170万美元的财务成本。
IT安全部门的快速反应能挽回许多损失
无论如何,财务成本的多少均与时间长短有关,迅速检测数据外泄的重要原因除了最大减少数据损失外,还能降低企业的财务成本。数据泄露持续的时间越长,企业花费的成本越高,数据完整性也会受到影响。就算一旦发生数据外泄就立即检测出,中小型企业估计也将产生2.8万美元的成本,一旦在一周内未能成功检测出,则成本立即飙升至10.5万美元。而对于大型企业,同样数据外泄发生后立即检测出,则估计财务损失为39.3万美元,而超过7天后依然未检测出的话,则财务成本将超过100万美元。
恢复成本对比发现安全漏洞所需时间,中小型企业
恢复成本对比发现安全漏洞所需时间,大型企业
由于网络存在各种漏洞可谓众所周知,各路黑客都希望能来分一杯羹,因此针对各家企业网络攻击的成功案例只会不断攀升。但预计未来几年IT安全预算只会平稳上升,因此网络攻击造成的财务成本将面临严峻考验。
总结
尽管网络攻击不可避免,但企业使用现有预算和资源的方式将对未来几年能否持续降低财务成本(和提高声誉)起到至关重要的作用。尽管损失不可避免,但如何最大减少损失又是另一回事。这就是我们一直努力的目标,卡巴斯基实验室的客户在遭受网络攻击后平均损失要远低于我们竞争对手的客户– 分别低了30%(中小型企业)和18%(大型企业)。
为了解更多有关卡巴斯基实验室针对中小型企业的解决方案,请访问卡巴斯基实验室网站。
只有采取整体的IT安全保护方法取代单纯依赖检测技术,才能有效降低财务成本。令人鼓舞的是,45%的公司并不认为单靠硬件和软件就能解决所有IT安全事故。尽管如此,使用合适资源提供全方位保护的实际情况却不甚理想–有73%的企业依然认为只需工作站安全软件就能有效防范网络攻击。
查看最新适用于大型企业的卡巴斯基实验室解决方案,扩大对安全部门安全防范以外的支持。
借助安全防范技术,以及让相关员工了解到企业目前以及未来所面临的风险,将有助于改进检测效果并最大降低成本。而在评估安全预算支出到什么地方时,部分企业并不愿意接受外部帮助–只有18%的组织认为对网络威胁更好的洞察和分析是改进检测效果的最佳方法。
了解更多有关卡巴斯基实验室的安全情报服务。
显然,缺少更好的洞察和分析,公司仍然无法改进安全检测效果,在与数量不断增加且愈加严重的网络威胁较量中,很难占到上风。只有将重心从安全防范转向对减轻网络攻击后的损失及恢复,公司才可能降低风险并减少因网络攻击造成的财务损失。
点击这里下载含精选统计数据的区域报告版本(亚太区)。注册后即可免费下载报告。