技术进步和数字化转型的快速发展带来了更复杂、更危险的网络安全风险,随着这些威胁的增长和演变,保险公司和企业需要知道他们面临的是什么。
在本文中,《保险业》深入探讨了美国企业面临的最大网络安全威胁。我们将分析这些数字,以清楚地了解每种威胁的范围和财务影响。
保险专业人士和企业主可以使用本指南深入了解网络风险如何影响他们的运营。他们还可以获得有关如何保护自己免受破坏性网络攻击的专家提示。
美国企业需要注意的十大网络安全威胁
网络威胁有多种形式。从恶意软件到社会工程诈骗,网络犯罪分子正在使用更狡猾的手段来渗透计算机系统。根据联邦调查局 (FBI) 最新的网络犯罪报告,以下是美国企业面临的最大网络安全威胁。该列表按企业损失排列。
1. 投资欺诈
总损失: 45.7 亿美元投诉数量: 39,570
投资诈骗的目的是用巨额投资回报的承诺来引诱受害者。在过去几年中,投资欺诈一直是 FBI 网络安全威胁中损失最大的一个。
去年,此类事件导致损失 46 亿美元,比 2022 年的 33 亿美元增长了三分之一以上。在记录的 39,570 起投诉中,涉及加密货币的投资骗局占了大多数。2023 年的损失总额接近 40 亿美元,高于上一年的 26 亿美元。
2.社会工程学
总损失: 29.5 亿美元投诉数量: 21,489
在社会工程学中,网络犯罪分子使用情感和心理策略来操纵受害者采取他们想要的行动。这种类型的网络攻击利用金钱、爱、恐惧和地位等强大的动机来获取敏感信息。
然后,攻击者利用窃取的数据敲诈公司或获得竞争优势。利用情绪欺骗人们使得社会工程学成为美国企业面临的最大网络安全威胁之一。
社会工程攻击有多种形式。其中最常见的是商业电子邮件入侵 (BEC)。在 BEC 攻击中,不法分子会冒充受信任人员的身份,诱骗用户共享数据或汇款。
2023 年,联邦调查局收到了近 21,500 起有关 BEC 攻击的投诉。这些事件给企业造成了高达 29 亿美元的损失。
3. 数据泄露
总损失: 5.3438 亿美元投诉数量: 3,727
当网络犯罪分子未经授权访问机密信息时,就会发生数据泄露。根据 FBI 的数据,过去几年数据泄露事件一直在增加。投诉数量从 2021 年的约 1,290 起增加到 2022 年的近 2,800 起,去年达到约 3,730 起。
在损失方面,数据泄露给企业造成约 5.344 亿美元的损失,比 2022 年的 4.593 亿美元增长 16%。
4. 冒充政府
总损失: 3.9405 亿美元投诉数量: 14,190 件
网络犯罪分子冒充政府官员骗取钱财时就会发生这种情况。联邦调查局报告称,2023 年有 14,190 起政府冒充诈骗投诉。这些事件造成了超过 3.94 亿美元的损失,是榜单上第三大最昂贵的网络安全威胁。这一数字比 2022 年的 2.405 亿美元增长了 63%。
5.身份盗窃
总损失: 1.262 亿美元投诉数量: 19,778
身份驱动攻击为何成为最大的网络安全威胁之一?因为它们很难被发现。在这种类型的网络攻击中,不法分子会窃取有效用户的凭证并伪装成该用户。以下是一些最常见的基于身份的攻击形式:
去年,美国联邦调查局接到了近 19,800 起与网络相关的身份盗窃事件报告。这些事件造成的损失约为 1.262 亿美元。尽管损失金额惊人,但在过去两年中,这一数字实际上下降了 55%。
6.勒索软件
总损失: 5964万美元投诉数量: 2825
勒索软件是一种恶意软件,网络犯罪分子利用该软件阻止受害者访问重要文件或系统,直到受害者支付赎金为止。在勒索软件攻击中,恶意攻击者会加密受害者的数据并提供解密密钥以换取赎金。勒索软件通常通过钓鱼邮件中的恶意链接发起。系统也可能通过策略配置错误和未修补的漏洞进行加密。
2023 年,勒索软件攻击共报告了 2,825 起事件,造成的损失超过 5,960 万美元。这一数字还不包括时间、工资和设备的损失,以及恢复成本。
7. 拒绝服务攻击
总损失: 2242万美元投诉数量: 540
拒绝服务 (DOS) 攻击通过向网络发送大量虚假请求来破坏企业运营。当 DOS 攻击发生时,受害者将无法执行常规任务,包括访问电子邮件和网站。
此类网络安全威胁通常不会导致数据被盗,无需支付赎金即可解决。但它们可能会耗费公司时间和资源来恢复运营。
根据 FBI 的数据,DOS 攻击被归类为僵尸网络。该组织去年收到 540 起投诉。这些事件导致的损失为 2240 万美元,高于上一年的 1710 万美元。
8. 网络钓鱼和欺骗
总损失:1,873万美元投诉数量: 298,878
网络钓鱼和欺骗手段旨在诱骗用户向诈骗者提供敏感信息。虽然两者都涉及欺骗,但这些网络安全威胁还是有区别的。
网络钓鱼利用电子邮件、短信、社交媒体和社会工程手段诱骗受害者分享机密信息或在其设备上下载恶意文件。网络钓鱼有多种形式,包括:
- 鱼叉式网络钓鱼:通过恶意电子邮件针对特定个人或组织
- 短信网络钓鱼:利用欺诈性短信诱骗受害者分享敏感数据
- 网络钓鱼:利用欺诈性电话和语音信息诱使受害者泄露私人信息
- 捕鲸:针对高级管理人员或 C 级管理人员窃取金钱或信息,或获取其计算机访问权限以实施进一步的网络攻击
当恶意攻击者试图让受害者相信他们正在与可信来源互动时,就会发生欺骗。网络犯罪分子经常通过更改字符将电子邮件地址、发件人、电话号码或网站网址伪装成合法内容。
去年,联邦调查局收到了近 299,000 起网络钓鱼和欺骗投诉。尽管这一数字比前一年下降了 7%,但这类攻击仍然是美国最大的网络安全威胁。
在损失方面,网络钓鱼和欺骗攻击在 2023 年造成的损失为 1870 万美元。这比 2022 年的 1.6 亿美元大幅下降。
9. 版权侵权
总损失: 756万美元投诉数量: 1,498
版权侵权是指非法使用他人的知识产权。范围从商业机密和专有产品到音乐、电影甚至计算机软件。去年有大约 1,500 起知识产权侵权报告。这些侵权行为给企业造成了超过 750 万美元的损失。
10.恶意软件
总损失: 121万美元投诉数量: 659
恶意软件 (malware) 是恶意软件的简称,是指任何为损害计算机、网络或服务器而创建的程序或代码。其目的是窃取敏感数据并破坏企业运营。
此类网络攻击会诱骗用户下载看似无害的文件或链接。如果成功,这些程序不仅能让恶意攻击者访问受害者的计算机,还能访问公司内的整个网络。
恶意软件是最常见的网络安全威胁形式,主要是因为它有多种形式。其中包括勒索软件,它也在列表中。其他例子包括广告软件、间谍软件、木马和蠕虫。
去年,美国联邦调查局接到了 660 起恶意软件事件的报告。这些事件造成的损失高达 120 万美元。这些数字不包括勒索软件。
最大的网络安全威胁给美国企业造成了多大的损失?
美国联邦调查局的互联网犯罪报告记录了近 692,000 起网络事件报告,共造成约 125 亿美元的损失。列出的十大网络安全威胁占损失总额的三分之二以上,即 86 亿美元。随着威胁形势的不断演变,到 2025 年,网络犯罪造成的全球损失预计将达到 10.5 万亿美元。这凸显了所有企业拥有完善的网络安全措施的重要性。
企业如何防范网络安全威胁?
关于网络安全威胁最大的误解之一是,只有美国大公司才会受到攻击。这种想法让许多小企业在成为攻击目标时措手不及。
然而,中小企业可以通过多种实用方法来保护自己,而无需耗尽资源。以下是美国小企业管理局 (SBA) 的一些建议。
1. 评估你的网络风险
企业需要深入了解他们面临的风险。网络安全风险评估可以帮助他们识别漏洞并帮助他们制定行动计划。这可以包括用户培训、保护电子邮件平台的指导以及保护企业信息的建议。
2. 投资员工培训
员工和电子邮件已成为数据泄露的主要原因,因为它们提供了进入企业计算机系统的直接途径。对员工进行基本的网络安全最佳实践培训可以大大有助于防止网络攻击。
3. 保持防病毒软件更新
企业必须确保其系统配备了最新的防病毒软件和反间谍软件。他们还必须定期更新这些程序。
4. 确保网络安全
企业可以使用防火墙并加密所有数据来保护其互联网连接。公司还必须确保其 Wi-Fi 网络保持隐蔽和安全。
5. 使用强密码
提高网络安全的最简单方法之一是使用强密码。强密码具有以下特点:
- 10 个字符或更多
- 至少有一个大写字母
- 至少一个小写字母
- 至少一个数字
- 至少一个特殊字符
6. 激活多重身份验证
多重身份验证 (MFA) 是一种验证过程,要求用户提供两个或更多身份证明才能访问其帐户。这增加了另一层安全性。例如,企业可以要求用户提供密码和发送到不同设备的代码,然后才允许他们访问在线帐户。
7. 定期进行数据备份
备份数据是最具成本效益的网络安全措施之一,可确保在发生网络攻击或计算机问题时能够恢复重要信息。
8. 确保付款处理安全
企业应与银行合作,确保使用最值得信赖和经过验证的工具和反欺诈服务。企业还必须将支付系统与不太安全的程序隔离开来。处理付款和上网时,企业应使用单独的计算机。
9. 控制物理访问
公司应防止未经授权的个人访问或使用公司拥有的计算机。他们还应仅向受信任的 IT 员工和关键人员授予管理权限。
10. 购买网络保险
网络保险有助于弥补网络事件造成的经济损失。它还可以支付因企业遭受攻击而受到损害的个人或团体提出的索赔。