網絡安全有一個現實問題，就是我們很難從中獲得可靠的行業分析。當然，這主要說的是如何以安全為對象，以組織為載體，從中提煉出更高層次的統計數據。Venture in Security的作者Ross Haleliuk對此表示：“我們為什么很難找到可靠的安全信息來源？同時，我們為什么不應該憑空捏造數據？這是安全從業人員需要去思考的內容。”

將安全視為一個行業

Haleliuk說，當他將安全視為一個行業時，會想到這幾個問題：安全部門有多少職位空缺？哪些類型的安全工作仍然空缺？美國的安全行業是什么樣的？在美國以外，安全行業又是什么樣？此外，在全球范圍內，網絡犯罪造成的損失總額是多少？哪些組織受到的影響最大？有多少公司在安全事故后倒閉了？等等。

而真正的問題在于，盡管人們能在網上查到一些數據，但往往這些數據與事實相差甚遠。比如，根據Statista的估計，2023年美國網絡犯罪成本約為3200億美元，但根據Cybersecurity Ventures的預測，2023年全球網絡犯罪成本預計將達到8萬億美元，兩者數據之間差了整整25倍。

“當然，一個是全球數字，另一個是專注于美國本土的數字，但我預計美國網絡犯罪所占全球的比例應該不止4%，因為美國是網絡攻擊的最大目標。此外，關于網絡安全人才短缺的數據也是令人疑惑不解的。僅在2023年，人才短缺就從1月的340萬人增加到了10月的400萬人。只能說目前尚不清楚是什么領域的變化導致了50萬人的需求，更不要說還有經濟環境、安全預算等負面情況的加持了。”

因此，為了弄清這些統計數據的真實情況以及是否可信，業內有必要討論一下這些數據背后的主體和驅動它們的動機，以及如何建立確保數據有效性的流程，否則市面上所生產的數據將不再擁有可信度。

以下是Haleliuk對“數據制造主體”的一些看法。

行業分析公司

Haleliuk表示，行業分析公司的職責是了解行業、產品、人員和趨勢。行業分析師不像傳統的網絡安全分析師，他們所擁有的是在企業環境中的個人工作經驗，而并非重要的技術領域專業知識，一般他們的知識面涵蓋了技術、業務和管理。

通常而言，分析師會通過以下方式為網絡安全生態系統增值：

1、出版關于市場趨勢、技術和行業未來的研究；

2、發布供應商簡報，與市場上不同的公司進行交談，了解供應商的產品和服務；

3、回答供應商關于市場、產品和市場戰略走向的問題；

4、就供應商、產品以及所面臨的問題，提出最有效的方法和建議；

5、組織活動和網絡研討會。

Haleliuk表示，行業分析公司在市場上有著獨特的作用，他們能同服務兩類客戶：企業用戶和廠商。“兩個因素導致了行業分析公司的主觀性。首先，行業分析師在一個系統中運作，這個系統在設計上會產生巨大的利益沖突。而分析公司會從利益截然相反的兩方拿錢：一方是為讓別人對其產品產生需求而付費的廠商；另一方是為獲得客觀建議而付費的企業用戶。”

此外，行業分析師對他們所評估的廠商信息是有限的。當分析師撰寫安全工具的評論時，他們會根據產品演示和部分企業用戶的建議來撰寫。在市場的作用下，廠商與用戶的比例可能高達5:1。而這就是問題所在，分析師在沒有親自比對過的情況下就發表評論，這對用戶和業內人士的價值是有限的。

然而，行業分析公司并不是旨在了解網絡安全和該領域動態的研究機構；相反，他們的存在是為了回答付費客戶的問題。這些問題的方向自然會決定分析師將把時間花費在哪兒（通常是細分市場和產品）。

培訓和認證機構

Haleliuk說，培訓和認證機構已成為了網絡安全行業的有力代言人。在過去的幾年里，各類培訓機構一直在進行年度網絡勞動力研究。2023年10月，14865名網絡安全專業人士在某平臺上分享了他們對勞動力狀況的獨特看法。而這就引出了一個有趣的問題：激勵機制。

作為一家培訓機構，該平臺擁有所有的激勵措施，可以讓更多的人注冊認證并完成其課程。而這就是為什么人們會懷疑“所謂的網絡安全人才短缺”，其背后的數據正來源于該平臺的調查，并且扭曲了一定的真實性。“可以說，該培訓機構才是‘全行業需要雇傭400萬網絡安全從業者’的主要推動者，是真正的恐慌制造者。”

Ben Rothke最近發表了一篇標題為“數百萬信息安全工作崗位的彌天大謊”的文章。他在文章中寫道：“培訓機構的主要數據來源是調查，而單憑調查，即使能與二級數據來源相結合，也不足以獲得有效的可操作數據。此外，他們客戶群里，47%的受訪者是非管理中層、初級員工和獨立承包商。這些人對招聘根本不了解。”

因此，Haleliuk認為，培訓提供商有充分的動機會去修改一些數據，從而創造對培訓的需求。其次，根據約15000名處于職業生涯不同階段安全從業者的反應，來推斷全球對安全專業人員的需求，這是一個非常值得懷疑的問題。

獨立分析師和博客

關于播客，Haleliuk是這么認為，他說自己正努力將個人博客做成一個公正的平臺。結果，盡管他在每個帖子上所花的時間是5到25個小時，但他沒有時間讓其變得完全客觀。因此，他認為這一領域的其他獨立博主也是如此。“我們都有自己的觀點和見解，但沒有人會分配數周的時間只為完善一篇文章，并去驗證每一個來源。”

Haleliuk表示，在瀏覽博客時，重要的是去探究作者的動機，并注意這些動機是如何直接或間接影響作者思維方向和觀點的。比如，就他自己而言，Haleliuk會將博客作為一種分享平臺，其包含了Haleliuk對安全行業的學習、觀點和意見，以及他在構建產品和投資安全初創公司時的經驗。

“在我的博客中，我會提供一個安全從業者的視角，我會根據周圍同僚對同一問題的看法而進行各式各樣的總結。顯然，網絡往往會放大我們的想法，所以每當個人博客的作者對他們的受眾進行調查時，都必須要注意，不要將其作為行業的客觀視角來呈現，因為同一個觀點并不適用于每一個行業、每一個個體。”

當然，還有許多博客會接受安全廠商的贊助。雖然不是所有這樣的做法都會影響內容的客觀性，但界線往往會模糊。如果廠商贊助了一篇關于其產品類別的分析文章，獨立博客們還能做到客觀嗎？只能說見仁見智吧。

數據聚合

Haleliuk說，數據聚合并不是一個可靠的分析來源，有些數據聚合的信息圖表包含了大量錯誤，并且經常相互矛盾；另外數據聚合本身也不并非數據來源。在大多數情況下，其所提供的數據來自于其他地方，其中許多都是公開的。而問題是，當人們在谷歌上查詢有關安全市場規模或網絡犯罪損失金額的問題時，這些圖表通常會出現在第一頁。

總之，各類數據聚合的圖表不是可靠的數據來源。它們看起來可能很有吸引力，但缺乏嚴謹性，通常基于直線預測。

媒體公司

對于媒體公司，Haleliuk認為，報道安全的媒體公司可以分為三類：以網絡安全為重點的媒體，如《黑暗閱讀》和《安全周刊》；科技媒體，如TechCrunch和VentureBeat；以及廣泛媒體，例如《福布斯》和《華爾街日報》。

一些以網絡安全和技術為重點的媒體，會經常雇傭具有技術背景甚至擁有計算機科學學位的記者。這是因為網絡安全領域的知識會影響記者識別真實性的能力。比如2023年，有消息稱，一架軍用人工智能無人機殺死了一名操作員。這個消息像野火一樣蔓延開來，后來卻被揭穿為誤解：這只是一個安全假設，但記者理解錯了。

再比如某新聞在社交媒體上被瘋狂傳播，其標題簡直聳人聽聞：小心，你的電動牙刷可能被黑客入侵了。這一次的內容是關于300萬支電動牙刷被用于DDoS攻擊。幾天后，在許多安全從業者的抵制下，我們了解到這只是一個假設的場景，而不是實際的攻擊。

Haleliuk補充道：“今年早些時候，有報道說：‘在網絡威脅不斷增加的情況下，摩根大通每天用150億美元的國防武庫與450億次黑客攻擊作斗爭’。顯然，450億這個數字并不完全正確，但大多數人永遠不會知道這一點，大多數記者也沒有質疑這位摩根大通高管所提供的數字。”

Haleliuk表示，這些誤解不勝枚舉，絕大多數錯誤都是真實的、無意的、看似無害的遺漏。然而，當我們下次聽到新的網絡安全攻擊時，我們必須小心：這很可能是一場騙局。更糟糕的是，當我們應該對自己的數字安全習慣提高警惕時，我們可能會對這些頭條新聞感到麻木，不再關注安全問題。

Haleliuk說，雖然一些媒體公司專注于獨立報道，但其他媒體公司則采取了更為固執己見的立場，并將自己定位成與分析公司類似的公司。比如Cybersecurity Ventures，其將自己描述為“全球網絡經濟領域的領先研究機構，全球網絡安全事件、數據和統計信息的可靠來源”。這里的“研究機構”是關鍵，因為Cybersecurity Ventures正是以這一點而聞名的。

正如該公司自豪地在其網站上所聲稱的那樣：“據Cybersecurity Ventures稱是網絡安全界最流行的短語之一。”事實上，Cybersecurity Ventures發表過許多關于安全行業最大膽、最常被分享的數據和預測。比如，其預測“到2023年，網絡犯罪將給世界造成8萬億美元的損失”，這一說法已被福布斯和各種其他媒體所報道；另一個預測“全球將有350萬個網絡安全職位空缺”已被CNBC和其他媒體所報道。此外，Cybersecurity Ventures還發表過關于加密貨幣犯罪、網絡保險、互聯網用戶數量等預測。

Haleliuk對此表示：“這些預測背后可能確實有著可靠的方法論，但問題在于，這些數字的來源在哪兒？也就是說其缺乏有效依據。比如以網絡犯罪的估計成本為例，很難想象10.5萬億美元的數據是從哪里來的，也很難想象Cybersecurity Ventures是如何匯總政府或國際組織所訪問不到的數據的。”

從另一個角度來看，媒體一定有足夠的動機來分享這巨大的新聞（10.5萬億美元的損失！），行業內的廠商很快就會將這些數字納入到他們的營銷材料中。但這些報告和預測的作者是否考慮到了生態系統中其他的參與者？如政府、安全公司、保險公司和其他人，他們正在做什么？他們了解勒索軟件所依賴的商業模式嗎？他們能依賴這些消息來源嗎？所以，只能說網絡安全并不是一個靜態的領域，如果不了解眾多因素是如何協同作用的，任何預測都只會是憑空產生的數字。

Haleliuk表示，網絡安全行業對“什么可以被視為研究”設定了非常低的標準。“很多人看待數據的視角是很膚淺的。有些是出于興奮，有些是出于憤怒，還有些則是想出售更多的工具，只要能滿足個人意愿，就能接受任何數據。”

其他來源

其他還有一些數據發布主體，包括：

1、風險投資公司：風險投資公司經常會創建反映其投資主題的數據。根據風險投資公司的不同，其報告的深度和有用性各不相同。值得注意的是，風險投資公司公開分享的觀點旨在塑造行業的現在和未來，而不是提供公正的見解。

2、投資銀行：Momentum Cyber和Houlihan Lokey的網絡安全行業報告提供了一個很好的視角，但通常僅限于金融、類別增長和資本流動。

3、智庫：一些智庫也會發布關于網絡安全市場狀況的報告。

將安全視為一種實踐

另一方面，Haleliuk說，當他將安全視為一種實踐時，他會想到這些問題：安全團隊應該把時間花在哪里？需要涵蓋的最重要的問題領域是什么？如果某個特定控件丟失，發生安全事件的可能性有多大？“不幸的是，要找到有關網絡安全實踐的公正數據，一樣也是困難重重。”

網絡安全供應商

從理論來說，網絡安全廠商應該是安全從業者最有力的行業報告來源，但事實上，很多供應商并沒有描繪出安全需求的整體圖景。

Haleliuk表示，出現這種情況有幾個原因。首先與“動機”有關，網絡安全廠商制作這些報告是為了營銷、品牌和維護潛在客戶，因此他們總是講述只符合自身處境的場景。比如，安全自動化公司一定會說安全自動化是最重要的，云安全供應商一定會表明云才是最重要的攻擊向量。

其次，許多涉及調查的用戶已經在廠商的合作范圍內了，因此他們更有可能與廠商保持一致的世界觀。最后，即使網絡安全公司盡最大努力使其報告盡可能客觀，但問題的措辭或結果的匯總方式仍將有利于廠商。“因此，所有這些都使得安全負責人和從業者很難將廠商提供的報告作為行業的標準。”

政府組織

在過去的幾年里，世界各國政府開始重視起了安全問題。其中，網絡安全和基礎設施安全局（CISA）就是很好的例子。Haleliuk表示，該機構在促進公共和私營部門之間的合作，以及在建立信息共享基礎設施方面發揮了重要作用，其中包括：

1、自動指標共享（AIS）。AIS能夠實時交換機器可讀的網絡威脅指標和防御措施，以保護AIS參與者并降低網絡攻擊的流行率；

2、協調漏洞披露計劃（CVD）。CVD會協調產品和服務中新發現的網絡安全漏洞的修復工作，并向受影響的供應商公開披露這些漏洞；

3、增強的網絡安全服務（ECS）。ECS是一項自愿的信息共享計劃，旨在幫助關鍵基礎設施的所有者和運營商加強對其系統的保護，使其免受未經授權的訪問、利用或數據泄露。

“CISA經常會發布網絡安全警報和咨詢，我預計該機構將會繼續幫助安全從業者專注于重要事項。也就是說，我不知道該機構有沒有任何全行業的報告，所以很難說它是否打算在未來制作一些報告，以幫助安全從業者專注于重要的事情。”

另一方面，Haleliuk表示，安全從業者還有一個重要來源是NIST網絡安全框架，這是一套由美國國家標準與技術研究所（NIST）發布的指南，其作用是減輕組織的網絡安全風險。NIST網絡安全框架能幫助各種規模的企業更好地了解、管理和降低其網絡安全風險，并保護網絡和數據。

“網絡安全框架和政府標準提供了一種全面的網絡安全方法。正如我說過的那樣，合規優先的安全方法有一長串缺點，但如果使用得當，這些框架可以成為安全負責人和從業者的對照標準。而現階段的問題在于，政府對安全行業的了解并不充分，其尚未成為能幫助公司建立更好網絡防御的主要平臺。”

其他來源

Haleliuk還例舉了一些其他對安全行業有利的報告主體：

1、專業協會：專業協會經常會分享關于其成員的最佳實踐和研究調查。此外，他們還創建了自己的安全標準和基準。例如，美國注冊會計師協會（AICPA）開發了服務組織控制（SOC）類型2，這是一種基于信任的網絡安全框架和審計標準，側重于驗證廠商和合作伙伴是否能安全地處理客戶數據。

2、國際組織：ISO 27001和ISO 27002認證被視為驗證網絡安全計劃的國際標準。

3、信息共享和分析中心（ISACs）：ISACs能收集、分析并向其成員傳播可操作的威脅信息，并能為成員提供減輕風險和增強抵御能力的工具。然而，他們的大部分見解并沒有與非成員分享。

4、教育計劃：教育機構在學生中傳播知識，但他們保持相關性和最新信息的能力取決于他們的員工，所以可能會產生較大的差異。

許多數據不能完全相信

最后Haleliuk總結道：無論我們談論的是網絡安全業務還是實踐，都很難找到任何關于網絡安全行業的統計數據，原因很簡單，沒有任何一方會受到足夠的激勵來進行這樣的分析。對此，Haleliuk例舉了幾點理由：

1、行業分析公司很少有工具或時間來做這件事。他們的重點是客戶需求，比如大型供應商和財富1000強企業的安全負責人；

2、培訓和認證機構會炒作人才短缺信息；

3、獨立分析師和博客作者不夠嚴謹，因此對安全行業的描繪會非常主觀；

4、數據聚合專注于創建漂亮的視覺效果和圖表，而不會去檢查底層數據的準確性；

5、安全廠商的報告往往都帶著偏見，他們會將自己所處領域描繪為最重要的場景；

6、專注于合規性和框架的組織往往很快與現實生活脫節，因為威脅格局的變化速度遠快于安全框架；

7、政府組織無法提供可操作的視角；

8、風險投資公司會專注于符合他們投資理論的場景。

“我們根本沒有可以公開訪問、分析和聚合的數據。在國際層面上，我們已經建立了共享健康數據的基礎設施，但由于網絡安全是一門新學科，這項工作尚未開展。有人理所當然地建議我們需要建立網絡安全聯盟，但我認為我們至少應該建立一個類似于世界衛生組織的存在，首先是要能分享信息。”

Haleliuk表示，在我們可以聚合全球數據集之前，我們至少需要有能力了解境內發生的事情。而截至目前，大多數安全事件的根本原因從未公開，其受到了保密協議和雇傭合同的保護。此外，美國證券交易委員會的新規只適用于上市公司，而不是整個經濟。根據美國國家經濟研究局的數據，上市公司在美國所有公司中所占比例不到1%，約占美國非農商業部門就業人數的1/3。“假設這些數字在今天仍然相關，我們需要了解雇傭美國2/3人口，即其他99%企業的真實情況。”

Haleliuk希望保險公司能夠填補這一空白。“保險公司知道不同企業在特定年份向網絡犯罪分子支付的金額，因此他們完全能夠估計與安全相關的實際損失金額。既然保險公司能知道安全事件的真實情況，他們應該能指導安全團隊將精力集中在哪兒，以實現最高的投資回報。”

當然，上述CISA等政府機構，以及會計準則委員會也可以發揮作用。Haleliuk表示，安全行業需要具備高度誠信的研究人員，這些人不會傳播FUD，而是以實際情況看待問題。“我不知道這些人員可以從哪兒挑選，但如果行業無法擁有這些人員，我們將繼續被蒙蔽眼睛，我們會在信息繭房里被放大恐懼、不確定性和懷疑，并認為自己生活在水深火熱之中。我們需要數據，我們需要數字，但我們更應該停止憑空捏造。安全行業不該只為牟利和發展，我們更應該關注于人類命運共同體，更應該關注于我們的未來！”

編者說

雖然Haleliuk的觀點確實客觀，實際情況也真實存在，但對于各類數據和行業報告我們也不能一律采取“一棒子打死”的態度，而是要學會“去偽存真”。當然，那些純粹捏造的“假數據”和“假新聞”除外。

不同類型的數據，從不同角度出發所產生的報告，雖有其各自不同的目的，但本質大多遵循行業發展的規律和安全建設所需的底層邏輯，也寄希望于先利好行業，再利好自己。

作為用戶和讀者，我們需要用審慎的思維辨識、汲取其中真實、有利的信息，并加以利用，應用在日常實際的建設、溝通、匯報中，作用于安全產業的正向發展。“去其糟粕，取其精華”，最終通過其中那些“真實”的數據和報告，落實網絡安全建設，推動產業發展。

同時，作為文中所提及的各類信息源點，也需要在數據、內容的輸出上更加謹慎負責，盡最大可能做到客觀公正。給予受眾有價值的信息、知識，傳遞正確的觀點和內容。誠如Haleliuk所說：“安全行業不該只為牟利和發展，我們更應該關注于人類命運共同體，更應該關注于我們的未來！”

原文：

《為什么我們不能相信網絡安全行業的大多數統計數據》作者：ROSS HALELIUK