生活在现代世界意味着将技术融入我们生活的几乎每一个方面。我们与技术的关系使我们极易受到黑客攻击。此漏洞从我们的手机、个人和工作计算机、交通、银行和信用卡购买延伸到我们家庭和工作场所中的每个智能设备。
为什么数据泄露和网络安全漏洞越来越受到关注?
互联网用户和消费者可能对黑客攻击的威胁不够关注,但我们远非安全。据估计,每 39 秒就有一次黑客攻击。美国人事管理办公室 (OPM)、Anthem Blue Cross、雅虎、优步、Quora、Facebook、国泰航空、万豪国际、Equifax、LinkedIn 等大公司和联邦部门在过去几年都经历过网络威胁年。没有人能免疫。
数据泄露的复杂性和频率正在增加。许多重大漏洞攻击了美国、欧洲和澳大利亚的知名公司。为了解决这个问题,受影响的国家出台了新的立法,旨在改变与威胁时间框架和用户通知相关的规则。本文全面介绍了网络犯罪和数据泄露,这会影响客户、社交网络用户和公司等。信息以一系列点的形式呈现,涵盖 2019-21 年最关键的网络安全统计数据。
数据泄露的成本
一次数据泄露可能会对企业产生巨大影响。企业在攻击和随后的诉讼中损失了数十亿美元。一家规模较小的公司可能会因一次违规而倒闭。
以下是一些统计数据,显示了数据泄露的代价:
- 目前,数据泄露的平均成本为 386 万美元。如果你只分析美国,这个数字就会上升到 864 万美元。
- 到 2021 年底,全球网络犯罪成本每年将达到 6 万亿美元。到 2025 年,这个数字将上升到每年 10.5 万亿美元。
- 远程工作使平均违规成本增加了 137,000 美元。
- 每人丢失或被盗记录的平均成本为 146 美元。
- 自 2020 年以来,平均勒索软件付款增长了 33%,目前为 111,605 美元。
- 到 2021 年底,勒索软件的损失总额将达到 200 亿美元,是 2015 年的 57 倍。平均而言,2021 年每 11 秒就有一次勒索软件对企业的攻击。
- Business Email Compromise hack 的平均价格为每箱 24,439 美元。
- 恶意软件攻击的平均成本为 260 万美元。
- 2020 年,网络钓鱼占每 4.200 封电子邮件中的 1 封。每分钟,公司都会因网络钓鱼攻击而损失 17,700 美元。
- 信息丢失的平均成本是网络攻击中最昂贵的方面,为 590 万美元。
数据泄露数量和风险
苏黎世保险发布的 2019 年泰雷兹数据威胁报告——全球版发现,快速的数字化和物联网扩大了发达国家及其基础设施的连通性。为了跟上快速发展的技术,许多公司都在对其服务可用性进行投资。为了追求更大的竞争力,他们正在快速迁移到云或多云环境。威胁报告指出,这会使数据非常难以保护。大多数组织发现很难控制安全漏洞并实施强有力的安全措施。对于由于预算限制或缺乏员工而更容易受到攻击的中小型公司来说,情况就更加困难了。以下是数据泄露统计数据,可让您深入了解当前的网络安全形势:
- 超过 95% 的数据泄露是人为错误造成的。
- 网络钓鱼攻击占所有报告的安全事件的 80% 以上。
- 2020 年上半年,数据泄露损害了 360 亿条记录。
- 超过 30% 的数据泄露涉及内部参与者。
- 医疗机构是 2020 年所有违规行为的 15% 的目标,而金融业和公共部门分别遭受了 10% 和 16% 的违规行为。
- 在所有金融违规事件中,有 47% 的受害者是银行。
- 越来越多的恶意软件攻击(25.7%)针对全球金融服务和银行。
- 美国公司的数据泄露风险最高。
- 近 41% 的美国公司允许员工不受限制地访问敏感数据。
- 拥有超过 100 万个文件夹的企业中有 88% 不限制员工访问公司文件。
- 报告的网络犯罪数量仅占实际网络攻击数量的 10-12%。
- 个人数据是 2020 年 58% 的数据泄露事件的目标。
- 拥有多达 250 名员工的组织的恶意电子邮件率最高(323 分之 1)。
- 典型用户有 27.9% 的机会遇到可能影响至少 10,000 条记录的数据泄露。
- 68% 的商业领袖认为他们的网络安全风险在 2021 年会增加。
- 平均每个 IoT 设备每月都会经历 5,200 次违规尝试。
业务连续性计划
如果发生数据泄露,制定业务连续性计划 (BCP)至关重要。计划概述了存储的数据类型、存储位置以及恢复操作的潜在责任。AON 的 2019 年网络安全风险报告发现,大多数组织都没有 BCP。违规的常见原因是犯罪活动或人为错误,或两者兼而有之。但最常见的原因是组织未能提前准备和进行评估以识别弱点。处理弱密码、不正确的配置、未经培训的员工和过时的操作系统都可以防止攻击。
事件响应
BCP 需要有效的网络事件响应计划。这是指一种有组织的方法,可以在网络攻击或数据泄露之后解决、管理和纠正损害。
- 超过 77% 的公司没有事件响应计划。
- 2020 年数据泄露(从识别到遏制)的平均生命周期为 280 天。
- 2020 年,组织发现数据泄露的平均时间为 207 天。
- 在 30 天内控制数据泄露的公司每年可节省超过 100 万美元。
历史上最大的数据泄露
自 2013 年以来,数据泄露事件的数量一直在稳步增加,估计有 14,717,618,286 起数据被盗或丢失的案例。以下是近年来记录的一些最突出的数据泄露示例。
- 2013 年目标:数据泄露是通过安装在客户使用卡支付的机器上的恶意软件进行的。共有 1.1 亿个 Target 帐户遭到入侵。
- 2014 年的 E-Bay:数据泄露是使用从少数员工那里窃取的登录凭据进行的。共有 1.45 亿个 eBay 账户遭到入侵。
- Anthem Inc. 在 2015 年:数据泄露是由黑客入侵公司服务器后进行的。共有 3750 万条客户个人身份记录被盗。
- 雅虎!2013/2014 年:最严重的数据泄露事件之一发生在 2013-2014 年,雅虎的 30 亿个账户遭到入侵。这是一个有组织的、身份不明的网络犯罪组织的协同攻击。
- 2003 年的 AOL:在 24 岁的 AOL 软件工程师 Jason Smathers 造成安全漏洞之后,估计有 9200 万客户帐户遭到入侵。
- 2018 年的 Quora:数据泄露是由于恶意第三方未经授权的访问造成的。一亿个用户帐户遭到入侵。
- 2018 年的 Facebook:这次数据泄露是在黑客利用 Facebook 的“查看为”代码中的漏洞之后造成的。他们留下了 5000 万个被盗账户。
- 万豪国际在 2014/2018 年:由于未经授权访问客人的信息数据库而发生违规行为。结果,超过 5 亿个用户帐户遭到入侵。
- 2016 年的优步:在这种情况下,攻击者获得了凭据并访问了优步的云服务器。然后他们可以访问敏感的用户信息。结果,超过 5700 万用户和司机帐户遭到入侵。
- 2017 年的 Equifax:数据泄露是由于用于访问其服务器的开源软件中的漏洞而发生的。结果,1.43亿消费者的个人信息被曝光。
- 2018 年 Aadhar 数据泄露:存储“Aadhar”信息的印度政府国家 ID 数据库于 2018 年 3 月遭到网络攻击。超过 15 亿印度公民的个人数据,包括电话号码、地址、身份证号码等.,被暴露在网络上。专家将其标记为有史以来最严重的数据泄露事件之一。
- 2020 年万豪国际:安全漏洞影响了万豪国际超过 520 万酒店客人的数据。
数据黑客趋势
我们正在经历云和物联网应用程序的指数级增长,例如连接的健康设备、家庭或儿童监控设备以及智能汽车。这种增长催生了新形式的网络犯罪,因为现在有更多设备可以破解。
云的兴起也在影响网络攻击趋势。仅在 2 年内,存储在云中的总数据(包括第三方供应商运营的公共云、政府拥有的云、社交媒体公司和私有云)将比现在多一百倍。
以下是近年来最有趣(也是最令人担忧)的数据泄露趋势:
- 自 COVID-19 以来,FBI 宣布报告的网络犯罪增加了 300%。
- 与 COVID-19 相关的攻击导致 2020 年对银行的攻击增加了 238%。
- 在过去几年中,每月报告估计有 4,000,000 次 DDoS 攻击。
- 到 2023 年,全球 DDoS 攻击总数将达到 1540 万次。
- 2020 年 1 月至 2020 年 4 月,基于云的网络攻击增长了 630%。
- 只有 12% 的违规行为针对公共云环境。37% 的决策者认为,增强的安全性使得迁移到公共云对未来的成功至关重要。
- 最常见的恶意电子邮件附件类型是.doc和.dot (37%)。第二高的是.exe (19.5%)。
- 超过 94% 的恶意软件交付通过电子邮件进行。
- 2020 年,65% 的犯罪集团将鱼叉式网络钓鱼作为主要的感染策略。
- 报告网络钓鱼和社会工程攻击的组织每年以 16% 的速度增长。
- 2020 年,45% 的违规行为以黑客为特征,17% 使用恶意软件,22% 涉及某种形式的网络钓鱼。
- 2020 年,86% 的违规行为是出于经济动机。只有 10% 的人受到间谍活动的驱使。
网络攻击作为一种技术战形式最近一直在上升,据隐私事务部称,高达 4% 。政府和非政府组织已经参与了网络战,随着技术越来越融入公众的生活,这一比例应该会继续增长。
最高管理层和网络安全
- 根据最近对高管用户进行的一项调查,共有 53% 的受访者表示“网络犯罪和数据泄露”是网络安全的首要问题。
对服务提供商的攻击增加
近年来,针对雅虎、AML 等服务提供商的攻击有所增加。雅虎面临最严重的服务提供商攻击,2013 年、2014 年和 2016 年分别影响了 300 万、5 亿和 2 亿用户帐户。
组织漏洞
- 由于拒绝服务攻击,中小型组织平均损失了大约 120,000 美元。由于拒绝服务攻击,企业总共可能损失超过 200 万美元。
- 如果发生与勒索软件相关的服务中断、交易失败或数据无法访问的情况,美国、英国、法国和德国约有 25% 的消费者会放弃产品或服务。
第三方/供应链风险
- 供应链攻击在 2019 年增长了 78%。
- 大多数数据泄露 (56%) 是由实体外部的恶意活动引起的。恶意内部人员仅占违规行为的 7%。
- 网络钓鱼造成的入侵影响了美国 82% 的制造商,这也涵盖了制造业中存在的工业供应链。
- 在使用第三方服务的英国和美国公司中,近 59% 的公司都经历过数据泄露。只有 16% 的受访者认为 2020 年第三方风险管理体系足够有效。
网络安全技能短缺
网络安全措施的整体技能水平未达到要求的标准。
- 过去一年,全球超过 54% 的组织经历了某种重大的网络攻击。
- 只有 38% 的全球组织声称他们可以应对复杂的网络攻击。
- 在 2019 年和 2020 年,近 53% 的组织报告说存在网络安全技能短缺的问题。
HIPAA 数据泄露趋势
- 医疗保健行业的平均数据泄露成本最高(713 万美元)。
- 2019 年,全美共有 3800 万份医疗记录被曝光。
- 2020 年,医疗保健行业已确认的数据泄露事件增加了 58%。
- 仅在 2020 年 9 月,就有 970 万条医疗记录成为 83 次成功违规的目标。
- 在过去三年中,超过 93% 的医疗保健实体是违规企图的受害者。
- 仅在 2019 年 10 月,美国卫生与公众服务部就发生了 52 起数据泄露事件。
- 2015 年仍然是该行业数据泄露最严重的一年,两次事件分别暴露了 7880 万和 1100 万客户。
网络安全支出
随着网络安全威胁的加剧,自 2015 年以来,用于网络安全的总支出一直在增加。
- 2020 年,近 52% 的公司认为云计算是网络安全投资的优先事项。
- 到 2021 年,云计算提供商在安全方面的支出将增加 57%。其他将获得更多发展的领域是物联网、移动计算、网络安全分析和机器人流程自动化。
- 到 2023 年,预计企业将在云安全工具上花费 126 亿美元。这比 2018 年的 56 亿美元增加了一倍多。
- 到 2021 年底,全球 100% 的大公司将拥有 CISO(首席信息安全官)职位。
- 到 2022 年,全球信息安全市场将达到 1704 亿美元。
- 美国在 2021 年为网络安全支出拨款 187.8 亿美元。
- 公司分配的 IT 安全预算中只有 10% 用于智能设备安全。
- 超过 70% 的安全高管认为,他们在 2021 财年的预算将会缩减。
现代、相互联系的世界正越来越多地受到越来越多的网络犯罪事件的威胁。许多大公司已成为精心策划的网络计划的牺牲品,并在诉讼中损失了数百万美元。
自 2014 年以来,美国每年的数据泄露数量逐渐增加:
- 2014年783例
- 2015年781例
- 2016年1093例
- 2017年1579例
- 2018年1244例
然而,到了 2019 年,这个数字却猛增。
- 2019 年报告的违规事件超过 3800 起。
- 与 2018 年前六个月相比,报告的违规数量增加了 54%。
- 与 2018 年相比,泄露的记录增加了 52%。
2019 年最大的数据泄露事件:
- 2019 年共有 16 个网站的 6.2 亿个账户遭受了数据泄露。
- Dubsmash、Armor Games、ShareThis、Whitepages 和 500px 等网站都受到影响。
以下是 2021 年及以后值得关注的一些行业趋势和预测:
- 对于试图防止数据泄露的公司而言,网络安全技能差距将继续是一个问题。
- 随着员工继续在家工作,远程工作人员将成为网络犯罪分子的主要目标。
- 作为远程劳动力的副作用,云漏洞将增加。
- 连接设备的带宽增加将使物联网设备更容易受到网络攻击。
预防总是胜于治疗,并且在处理网络犯罪时最适用。对于不同形式的网络攻击,从恶意软件、网络钓鱼、拒绝服务、SQL 注入、零日漏洞利用、DNS 隧道等,需要有效的网络安全措施是重中之重。
网络安全措施的范围从简单到复杂。密码保护和身份验证等必要的预防措施不足以防止当今公司面临的更加复杂和复杂的网络威胁。
从商业的角度来看,数据泄露是不容忽视的,公司必须采取适当的措施,这是目前所缺乏的。随着黑客找到更复杂的方法来破坏安全性,需要采取对策。应对此类威胁的唯一方法是开发复杂的安全技术,并让用户和员工了解当前普遍存在的不同形式的网络安全威胁的危险。
如果不加以处理,网络犯罪和数据泄露可能会损害公司的声誉、资产、财务,甚至它们的存在,这意味着如果您现在不开始预防,就没有未来。通过与我们的一位专家联系,了解有关如何保护云中数据的更多信息。
数据泄露统计的关键要点
- 随着越来越多的系统和流程上线,客户、企业和政府变得更容易受到网络犯罪和攻击。
- 为了应对网络犯罪的威胁,组织必须增加对网络安全的投资。
- 网络攻击的种类和严重程度正在上升。
- 培训员工了解社会工程的危险。禁止从未知来源下载不熟悉的应用程序。
- 如果确实发生了网络攻击并且黑客要求付款,通过不报告和让步,您可以轻松退出。如果黑客可以从你身上获利,他们会回来获得更多。向当局举报犯罪并拒绝付款。这将使未来的攻击不太可能发生。