全景解析:166個網絡安全統計數字和趨勢
網絡安全已經成為許多企業的日常運營部分。然而,缺乏數據保護、全球疫情的副作用以及漏洞利用的復雜性增加導致被黑和受損數據急劇增加,這些數據通常來自工作場所中越來越常見的來源,例如移動設備和物聯網(IoT)設備等。
最重要的是,疫情大流行催生的遠程辦公潮流,進一步增加了網絡攻擊面。最近的安全研究表明,大多數企業的網絡安全實踐都很糟糕,這使得它們更易受到數據丟失的影響。為了成功打擊惡意意圖,企業組織必須將網絡安全意識、預防和安全最佳實踐作為其文化的一部分。
為了讓您更好地了解當前的網絡安全整體狀況,我們編制了2022年的160多項網絡安全統計數據。這將有助于展示網絡安全在業務各個方面的普遍性和需求。這些統計數據包括數據泄露、攻擊數據、不同類型的網絡犯罪、特定行業的統計數據、支出、成本以及有關網絡安全職業領域的信息。
2022年網絡安全趨勢正在形成
去年,盡管疫情有所緩和,但網絡安全領域還是出現了許多中斷。遠程工作仍然是許多大企業關注的焦點,這也導致基于云的操作進一步激增、以更快的速度和更大的帶寬擴展5G網絡連接的設備,以及加密貨幣大受歡迎,現在個人購買、出售和交易的規模比以往任何時候都大。
這一切都表明網絡安全的重要性日益凸顯。下述行業趨勢和預測預計將在2022年及以后生效:
隨著全球互聯網用戶數量逐年增加,網絡犯罪會有許多新的受害者;
網絡疲勞困擾著那些團隊已經放棄主動防御攻擊的公司;
隨著采用率的增長,加密貨幣將受到更嚴格的監管;
社交媒體組織將努力更嚴格地監督信息共享;
遠程工作者將繼續成為網絡犯罪分子的目標;
鑒于遠程勞動力規模不斷擴大,云漏洞將會增加;
隨著越來越多的工作崗位空缺,網絡安全技能差距仍將是一個問題;
隨著5G增加了連接設備的帶寬,物聯網設備將更容易受到網絡攻擊。
15個有影響力的網絡安全統計數據和事實
全球信息安全市場正在迅速增長。這在很大程度上是由于組織加強了對網絡威脅的防御——以及此類威脅的增加,包括企業內部威脅。
不幸的現實是,大多數網絡安全漏洞都是由人為錯誤造成的。考慮到網絡安全的技能短缺,這種趨勢不太可能很快消退。我們概述了更多細節,以便您了解整個領域以及網絡攻擊的整體影響:
1. 95%的網絡安全漏洞是由人為錯誤造成的(數據來源:世界經濟論壇);
2. 全球信息安全市場預計將在2028年達到3661億美元(財富商業洞察);
3. 2020年46%的網絡攻擊目標為美國,是其他任何國家的兩倍多(微軟);
4. 68%的企業領導者認為他們的網絡安全風險正在增加(埃森哲);
5. 平均而言,只有5%的企業文件夾受到適當保護(Varonis);
6. 54%的公司表示,他們的IT部門不夠成熟,無法應對高級網絡攻擊(Sophos);
7. 網絡疲勞或漠視主動防御網絡攻擊影響了多達42%的公司(思科);
8. 43%的違規行為源自有意或無意的內部威脅(Check Point);
9. 數據泄露在2021年暴露了220億條記錄(RiskBased Security);
10. 2021年,大約70%的違規行為是出于經濟動機,而只有不到5%是出于間諜活動(Verizon);
11. 2021年,近40%的違規行為以網絡釣魚為特征,約11%涉及惡意軟件,約22%涉及黑客攻擊(Verizon);
12. 2021年記錄的數據泄露事件為1,862起,超過了2017年1,506起的記錄(CNET);
13. 最常見的惡意電子郵件附件類型是.doc和.dot,占37%;第二高的是.exe,占19.5%(賽門鐵克);
14. 據估計,全球人類和機器使用了3000億個密碼(Cybersecurity Media);
15. 世界上大約40%的人口處于“離線狀態”(即從未用過互聯網),如果哪天他們訪問互聯網的話,則很容易淪為網絡攻擊的目標(Data Reportal)。
32個關鍵數據泄露和黑客攻擊統計數據
大規模、廣為人知的數據泄露事件正在上升,這表明不僅安全違規的數量在增加,其嚴重程度也在增加。
數據泄露會暴露敏感信息,而這些信息通常會使受感染的用戶面臨身份盜竊的風險,此外,數據泄露還會破壞公司聲譽,并使公司面臨違規罰款。
請參閱下述數據泄露統計數據,以幫助量化這些破壞性攻擊的影響、動機和原因:
值得關注的黑客攻擊統計數據
1. 2021年數據泄露的平均成本為424萬美元,是有記錄以來的最高平均水平(IBM);
2. 2021年發現漏洞的平均時間為212天(IBM);
3. 2021年漏洞的平均生命周期(即從識別到遏制)為286天(IBM);
4. 網絡犯罪實體在美國被檢測和起訴的可能性估計約為0.05%(世界經濟論壇);
5. 2021年,45%的數據泄露事件涉及個人數據(Verizon);
6. 與2019年相比,2020年的身份盜竊增加了42%(保險信息研究所);
7. 自2018年以來,數據泄露增加了11%,自2014年以來增加了67%(埃森哲);
8. 64%的美國人從未檢查過自己是否受到數據泄露的影響(Varonis);
9. 56%的美國人不知道在發生數據泄露時應該采取什么措施(Varonis);
歷史數據泄露事件
1. 2021年的一次LinkedIn數據泄露暴露了7億用戶或大約93%的LinkedIn成員的個人信息(RestorePrivacy);
2. 2021年3月,針對微軟的攻擊影響了美國30,000多個組織,包括企業和政府機構(微軟);
3. 2021年4月,一個存在兩年之久的漏洞被發現,暴露了超過5.33億用戶的個人信息(Auth0);
4. 2021年,黑客使用一個密碼侵入了Colonial Pipeline公司發起了勒索軟件攻擊,導致美國各地的燃料短缺(彭博社);
5. 肉類加工公司JBS淪為勒索軟件攻擊受害者,攻擊導致四個不同大陸的牛肉和家禽加工廠關閉(華爾街日報);
6. 在2021年的T-Mobile數據泄露事件中,近4800萬人的個人信息被盜(T-Mobile) ;
7. 2021年9月,Neiman Marcus發現了一個長達18個月的數據泄露事件,泄露了460萬購物者的支付數據和其他信息(Neiman Marcus);
8. 由于云服務配置錯誤,超過1億安卓用戶的個人數據在2021年的數據泄露事件中暴露無遺(Check Point);
9. 2021年11月,松下宣布業務合作伙伴數據、求職者信息和實習生信息被泄露(Tech Crunch);
10. 交易應用程序Robinhood淪為社會工程攻擊受害者,泄露了500萬用戶的個人數據(Robinhood);
11. 2020年的一次Twitter數據泄露事件影響了130個賬戶,包括前美國總統和特斯拉首席執行官Elon Musk的賬戶,導致攻擊者通過近300筆交易騙取了121,000美元的比特幣(CNBC);
12. 2020年,萬豪披露了一起數據泄露事件,影響了超過520萬酒店客人的數據(萬豪);
13. 自2014年以來,有5億消費者的信息在2018年萬豪-喜達屋數據泄露事件中慘遭泄露(CSO Online);
14. 2019年米高梅數據泄露事件導致1.42億酒店客人的記錄外泄(CPO雜志);
15. 2018年,Under Armour報告稱其“My Fitness Pal”應用程序遭到黑客攻擊,影響了1.5億用戶(Under Armour);
16. 2017年,有1.479億消費者受到Equifax漏洞影響(Equifax);
17. Equifax泄露事件使該公司共計損失了超過40億美元(時代雜志);
18. 2017年,4.12億個用戶帳戶從Friendfinder的網站上被盜(華爾街日報);
19. 2017年,至少150個國家/地區的100,000個群組和超過400,000臺服務器感染了Wannacry病毒,總損失約為40億美元(Technology Inquirer);
20. 2016年,Uber報告稱黑客竊取了超過5700萬乘客和司機的信息(優步);
21. Uber試圖付錢給黑客,以刪除5700萬用戶的被盜數據并保持安全(彭博社);
22. 2013年,30億雅虎賬戶遭到黑客入侵,成為有史以來最大的數據泄露事件之一(紐約時報);
23. 2020年,網絡犯罪分子克隆了U.A.E.公司董事的聲音并發起一筆3500萬美元的銀行轉賬(福布斯);
勒索軟件和惡意軟件攻擊統計數據
1. 2021年,平均勒索軟件支付猛增518%至570,000美元(GRC世界論壇);
2. 惡意軟件在2020年增加了358%(Help Net Security);
3. 與2019年相比,2020年勒索軟件攻擊增加了435%(Help Net Security);
4. 超過300,000名Android用戶通過Google Play商店下載了銀行木馬應用程序(Threat Fabric);
5. 2018年,平均每天有10,573個惡意移動應用程序被阻止(賽門鐵克);
6. 大約26%的網絡流量是惡意機器人流量(Imperva);
7. Microsoft Office文檔是被操縱最多的目標,攻擊增加了112%(Help Net Security);
8. 94%的惡意軟件是通過電子郵件傳遞的(Verizon);
9. 勒索軟件恢復的平均成本接近200萬美元(Sophos);
10. 在向黑客支付贖金的企業中,只有8%會收到所有的數據作為回報(Sophos);
11. 48%的惡意電子郵件附件是Microsoft Office文件(賽門鐵克);
12. 大約60%的惡意域與垃圾郵件活動有關(思科);
13. 平均而言,每11秒就有一家公司淪為勒索軟件攻擊的受害者(Cybersecurity Ventures);
14. 大約20%的惡意域是新的,并在注冊后一周左右使用(思科);
網絡釣魚攻擊統計數據
1. 57%的組織每周或每天都會看到網絡釣魚嘗試(GreatHorn);
2. 在經歷2019年的下降趨勢后,網絡釣魚在2020年再次呈現上升趨勢,平均每4,200封電子郵件中就有1封釣魚郵件(賽門鐵克);
3. 65%的網絡犯罪集團使用魚叉式網絡釣魚作為主要感染媒介(賽門鐵克);
4. 網絡釣魚攻擊占所有報告的安全事件的80%以上(CSO Online);
5. 由于網絡釣魚攻擊,每分鐘就會損失17,700美元(CSO Online);
IoT、DDoS 和其他攻擊的統計數據
1. 到2023年,全球DDoS攻擊總數將達到1540萬次(思科);
2. 2019年上半年對物聯網設備的攻擊增加了兩倍(CSO Online);
3. 2018年在端點上阻止的惡意PowerShell腳本增加了1,000%(賽門鐵克);
4. Mirai分布式DDoS蠕蟲是2018年第三大最常見的物聯網威脅(賽門鐵克);
5. 30%的數據泄露涉及內部參與者(Verizon);
6. IoT設備每月平均遭受5,200次攻擊(賽門鐵克);
7. 90%的遠程代碼執行攻擊與加密貨幣挖礦有關(Purplese);
8. 69%的組織認為,他們的防病毒軟件對當前的網絡威脅毫無用處(Ponemon Institute);
9. 每36臺移動設備中就有一臺安裝了高風險應用程序(賽門鐵克);
20個網絡安全合規和治理統計數據
不保護文件的風險比以往任何時候都更加普遍和危險,尤其是對于擁有遠程員工的公司而言。隨著世界各地陸續出臺保護數據隱私的嚴格立法,更嚴重的后果正在上演。近年來的一些突出表現包括歐盟2018年《通用數據保護條例》(GDPR)和加利福尼亞州2020年《加州消費者隱私法案》(CCPA)。
隨著全球更多地區有望效仿該立法,公司應注意GDPR的要點。正確設置文件權限并刪除陳舊數據以保持安全至關重要。保持數據分類和治理達到標準有助于保持HIPAA、SOX、ISO 27001等數據隱私法規的合規性。
1. 66%的公司表示合規要求正在推動支出(CSO Online);
2. 78%的公司預計監管合規要求會逐年增加(Thomson Reuter);
3. 對于大公司而言,合規成本可能接近每名員工10,000美元(競爭企業研究所);
4. 2018年,企業平均花費130萬美元來滿足合規要求,預計還會額外花費180萬美元(IAAP);
5. 平均而言,每位員工都可以訪問1100萬份文件(Varoni);
6. 15%的公司發現1,000,000多個文件面向每位員工開放(Varoni);
7. 17%的敏感文件可供所有員工訪問(Varoni);
8. 大約60%的公司擁有超過500個密碼不會過期的帳戶(:Varoni);
9. 超過77%的組織沒有事件響應計劃(Cybin);
GDPR網絡安全統計數據
1. 西班牙在2021年開出了212份GDPR罰單,罰款數量是其他任何國家的3倍(Lexology);
2. 2021年GDPR罰款總額為12億美元(CNBC);
3. 據報道,公司為準備GDPR花費了90億美元,2018年,法律咨詢和團隊花費了英國FTSE 350公司約40%的GDPR預算,即240萬美元(福布斯);
4. 88%的公司花費超過100萬美元為GDPR做準備(IT Governance);
5. 在GDPR實施的第一年,各GDPR執法機構收到了144,000起投訴,記錄了89,000起數據泄露事件(EDPB);
6. 1,000個新聞來源屏蔽了歐盟讀者,以規避GDPR合規規則(Nieman Lab);
7. GDPR第一年的罰款總額為6300萬美元(GDPR.eu);
8. 谷歌因違反GDPR而被法國數據保護機構CNIL罰款570億美元(TechCrunch);
9. 自GDPR頒布以來,31%的消費者認為他們與公司的整體體驗有所改善(Marketing Week);
10. 到2019年,只有59%的公司認為他們符合GDPR合規要求(ZDNet);
11. 70%的公司同意,他們實施的系統不會隨著新GDPR法規的出現而擴展(DataGrail);
21項安全支出和成本統計數據
網絡犯罪的平均支出正在急劇增加,因此企業也將會逐步將網絡安全支出納入正常預算。隨著越來越多的高管和決策者意識到網絡安全投資的價值和重要性,網絡安全預算在穩定增長。
查看下述支出統計數據和預測,了解2022年網絡安全成本的狀況:
1. 網絡犯罪總損失帶來的經濟影響僅次于美國和中國的GDP(Cybersecurity Ventures);
2. 網絡保險價格在2021年第三季度上漲了96%,同比增長204%(Marsh);
3. 當遠程工作成為導致數據泄露的一個因素時,每次泄露的平均成本要高出107萬美元(IBM);
4. 人工智能為數據泄露提供了最具體的成本緩解措施,每次泄露可為組織節省高達381萬美元(IBM);
5. 采取零信任方法的組織的平均違規成本要比沒采取零信任方法的組織少176萬美元;
6. 到2020年,安全服務約占網絡安全預算的50%(Gartner);
7. 對公司進行惡意軟件攻擊的平均成本為260萬美元(埃森哲);
8. 數據泄露為企業造成的平均業務損失高達159萬美元(IBM);
9. 醫療保健行業的平均數據泄露成本最高,為713萬美元(IBM);
10. 每家公司的網絡犯罪總成本從2017年的1170萬美元增加到2018年的1300萬美元,增長了12%(埃森哲);
11. 每名員工的平均年安全支出從2019年的2337美元增加到2020年的2691美元(德勤);
12. 網絡攻擊中最昂貴的部分是信息損失,平均為590萬美元(埃森哲);
13. 每個個人丟失或被盜記錄的平均成本為146美元(IBM);
14. 小型公司(員工人數在500人以下)的數據泄露平均總成本從2019年的274萬美元下降到2020年的235萬美元(IBM);
15. 超大型公司(員工超過25,000名)的平均數據泄露總成本從2019年的511萬美元下降到425萬美元(IBM);
16. 一半的大型企業(擁有超過10,000名員工)每年在安全方面的支出為100萬美元或更多,其中43%的支出為250,000至999,999美元,只有7%的支出低于250,000美元(思科);
17. 在2019年至2020年,斯堪的納維亞半島數據泄露總成本的增幅最大,為12%,而南非則下降7.4%,降幅最大(IBM);
18. 美國是世界上數據泄露成本最高的國家,平均為864萬美元,其次是中東,為652萬美元(IBM);
19. 2018年,網絡安全行業的支出約為408億美元(Statista);
網絡安全成本預測
1. 到2025年,全球網絡犯罪成本每年將達到10.5萬億美元(Cybersecurity Ventures);
2. 超過70%的安全主管認為,他們的財政預算將在COVID-19之后減少(麥肯錫);
14個網絡安全勞動力統計數據和預測
隨著網絡攻擊率的提高,對網絡安全專業人員的需求也在增加。值得慶幸的是,網絡安全預算仍在不斷增加。但是,目前熟練的網絡安全人才短缺,無法滿足網絡安全崗位的強需求。
有興趣進入網絡安全領域嗎?現在是時候了——預計職位空缺和平均工資在未來十年內只會不斷增長。
正在尋找網絡安全人才的企業可能有必要提出創造性的網絡安全技能短缺解決方案,包括外包任務、開始學徒制以及與教育和軍事機構合作尋找新人才。
1. 截至2022年2月,美國有1,053,468名員工從事網絡安全工作(CyberSeek);
2. 同樣截至2022 年2月,網絡安全行業有近600,000個職位空缺,這意味著只有68%的職位空缺被填補(CyberSeek);
3. 華盛頓特區的網絡安全專業人員最集中,是全國平均水平的8倍以上(CyberSeek);
4. 系統安全分析師的開放角色比任何其他網絡安全專業都多(CyberSeek);
5. 59%的網絡安全專業人員認為,他們的工作要求限制了他們跟上網絡安全技能的步伐(ISSA & ESG);
6. 超過一半的網絡安全專業人士認為,熟練掌握該行業至少需要三年時間(ISSA & ESG);
7. 超過三分之二的網絡安全專業人員難以確定自己的職業道路(ISSA & ESG);
8. 76% 的網絡安全專業人士認為招聘和雇用新員工很困難(ISSA & ESG);
9. 70% 的網絡安全專業人員聲稱,他們的組織受到網絡安全技能短缺的影響(ISSA & ESG) ;
10. 十分之六的安全運營中心專業人士認為,他們的網絡安全申請人只有一半是合格的(Cyberbit);
11. 自2016年以來,由于GDPR的出臺,對數據保護人員的需求猛增了700% 以上(路透社);
12. 從2013年到2021年,開放的網絡安全職位增長了350%(網絡犯罪雜志);
13. 40%的IT領導者表示,網絡安全工作是最難填補的(CSO Onlin);
14. 網絡安全工程師是業內薪酬最高的職位之一,平均年薪14萬美元起(Cybint);
網絡安全勞動力預測
1. 網絡安全失業率接近于零,預計在可預見的未來將繼續保持在該水平(Cybersecurity Ventures);
2. 到2025年,全球將有350萬個網絡安全職位空缺——與2021年大致相同(Cybersecurity Ventures);
3. 2019年至2029年間,美國的信息安全分析師職位預計將增長31%(勞工統計局);
4. 2019年至2029年間,美國的計算機網絡架構師職位預計將增長5%(勞工統計局);
5. 2019年至2029年間,美國的計算機程序員職位預計將下降 9%(勞工統計局);
19個網絡安全統計數據(按行業劃分)
在網絡安全方面,并非所有行業遭到黑客“青睞”的機會都是平等的。存儲有價值的信息的行業,例如醫療保健和金融行業,通常是黑客的主要目標,他們想要竊取社會安全號碼、醫療記錄和其他等個人數據。但實際上,沒有人是安全的,因為較低風險的行業將采取較少的安全措施,因此也是黑客的攻擊目標。
醫療行業
1. WannaCry勒索軟件攻擊使英國國家衛生服務局(NHS)損失超過1億美元(Datto);
2. 2020年,醫療保健行業因勒索軟件攻擊而損失了大約210億美元(Comparitech);
3. 從2017年-2020年,超過93%的醫療保健組織經歷了數據泄露(Herjavec集團);
4. 2021年發生712起醫療保健數據泄露事件,比2020年增加11%(HIPAA 期刊);
金融和加密行業
1. 從2013年到2020年,加密貨幣贖金的總價值增長了近80,000%(世界經濟論壇);
2. 金融服務有449,855個暴露的敏感文件,其中36,004個對組織中的每個人開放(Varonis);
3. 平均而言,金融服務行業70%的敏感文件已過時(Varonis);
4. 平均而言,一名金融服務員工入職后可以訪問近1100萬個文件。對于大型組織,員工可以訪問2000萬個文件(Varonis);
5. 金融服務企業平均需要233天來檢測和控制數據泄露(Varonis);
6. 金融服務數據泄露的平均成本為585萬美元(IBM);
7. 金融數據泄露占所有攻擊的10%(Verizon);
8. 金融服務行業在2018年的網絡犯罪成本最高,為1,830萬美元(Accenture);
9. 特洛伊木馬病毒Ramnit在2017年對金融部門造成了重大影響,占攻擊的53%(思科);
政府行業
1. 制造公司占所有勒索軟件攻擊的近四分之一,其次是專業服務,占17%,政府組織占13%(Security Intelligence);
2. 58%的國家行為體網絡攻擊來自俄羅斯(微軟);
3. 79%的國家行為體攻擊者以政府機構、非政府組織((NGO)和智庫為目標(微軟);
企業
1. 小型組織(1到250名員工)的目標惡意電子郵件率最高,為 1/323(賽門鐵克);
2. 生活方式(15%)和娛樂(7%)是最常見的惡意應用類別(賽門鐵克);
3. 2021年,供應鏈攻擊同比增長超過100%(賽門鐵克);
12個COVID-19相關網絡安全統計數據
COVID-19已影響到各個行業和領域,網絡空間也不例外。疫情大流行為網絡犯罪分子通過醫療保健、失業、遠程工作等方式瞄準受害者鋪平了新的途徑。以下是與疫情有關的一些最具影響力的網絡安全統計數據。
1. 遠程工作和疫情封鎖推動全球互聯網流量增加50%,從而帶來新的網絡犯罪機會(世界銀行) ;
2. 2020年有近800,000起網絡犯罪投訴,比2019年增加300,000起(FBI);
3. 27%的COVID-19網絡攻擊針對銀行或醫療機構,而COVID-19也被認為是2020年銀行業網絡攻擊增加238%的重要因素(Carbon Black);
4. 在大流行期間,醫療保健行業已確認的數據泄露事件增加了58%(Verizon);
5. 5月份,有33,000名失業申請人因大流行性失業援助計劃而遭受數據泄露影響(美國全國廣播公司);
6. 美國人因COVID-19相關的詐騙活動損失了超過9739萬美元(Atlas VPN);
7. 在大流行的第一個月,谷歌每天攔截了1800萬封與新冠病毒相關的惡意軟件和網絡釣魚電子郵件(谷歌);
8. 自COVID-19以來,52%的法律和合規領導者擔心由于遠程工作而導致的第三方網絡風險(Gartner);
9. 47% 的員工表示分心是居家辦公時陷入網絡釣魚詐騙的原因(Tessian);
10. 81%的網絡安全專業人員報告稱,他們的工作職能在大流行期間發生了變化(國際標準委員會);
11. 在大流行的第一個月,有50萬個Zoom用戶帳戶被盜用并在一個暗網論壇上出售(CPO雜志);
12. 疫情大流行期間,在20%的組織中發生了由遠程工作人員引發的數據泄露事件(Malwarebytes)。
結語
網絡犯罪是真正的威脅,應該慎重對待。通過評估您的企業網絡安全風險,在公司范圍內進行更改并改進數據保護,可以保護您的企業免受大多數數據泄露的影響。不要讓自身淪為統計數據——現在,是時候改變文化以改善網絡安全態勢了。
