网络安全已经成为许多企业的日常运营部分。然而,缺乏数据保护、全球疫情的副作用以及漏洞利用的复杂性增加导致被黑和受损数据急剧增加,这些数据通常来自工作场所中越来越常见的来源,例如移动设备和物联网(IoT)设备等。

最重要的是,疫情大流行催生的远程办公潮流,进一步增加了网络攻击面。最近的安全研究表明,大多数企业的网络安全实践都很糟糕,这使得它们更易受到数据丢失的影响。为了成功打击恶意意图,企业组织必须将网络安全意识、预防和安全最佳实践作为其文化的一部分。

为了让您更好地了解当前的网络安全整体状况,我们编制了2022年的160多项网络安全统计数据。这将有助于展示网络安全在业务各个方面的普遍性和需求。这些统计数据包括数据泄露、攻击数据、不同类型的网络犯罪、特定行业的统计数据、支出、成本以及有关网络安全职业领域的信息。

2022年网络安全趋势正在形成

去年,尽管疫情有所缓和,但网络安全领域还是出现了许多中断。远程工作仍然是许多大企业关注的焦点,这也导致基于云的操作进一步激增、以更快的速度和更大的带宽扩展5G网络连接的设备,以及加密货币大受欢迎,现在个人购买、出售和交易的规模比以往任何时候都大。

这一切都表明网络安全的重要性日益凸显。下述行业趋势和预测预计将在2022年及以后生效:

随着全球互联网用户数量逐年增加,网络犯罪会有许多新的受害者;

网络疲劳困扰着那些团队已经放弃主动防御攻击的公司;

随着采用率的增长,加密货币将受到更严格的监管;

社交媒体组织将努力更严格地监督信息共享;

远程工作者将继续成为网络犯罪分子的目标;

鉴于远程劳动力规模不断扩大,云漏洞将会增加;

随着越来越多的工作岗位空缺,网络安全技能差距仍将是一个问题;

随着5G增加了连接设备的带宽,物联网设备将更容易受到网络攻击。

15个有影响力的网络安全统计数据和事实

全球信息安全市场正在迅速增长。这在很大程度上是由于组织加强了对网络威胁的防御——以及此类威胁的增加,包括企业内部威胁。

不幸的现实是,大多数网络安全漏洞都是由人为错误造成的。考虑到网络安全的技能短缺,这种趋势不太可能很快消退。我们概述了更多细节,以便您了解整个领域以及网络攻击的整体影响:

1. 95%的网络安全漏洞是由人为错误造成的(数据来源:世界经济论坛); 

2. 全球信息安全市场预计将在2028年达到3661亿美元(财富商业洞察);

3. 2020年46%的网络攻击目标为美国,是其他任何国家的两倍多(微软);

4. 68%的企业领导者认为他们的网络安全风险正在增加(埃森哲);

5. 平均而言,只有5%的企业文件夹受到适当保护(Varonis);

6. 54%的公司表示,他们的IT部门不够成熟,无法应对高级网络攻击(Sophos);

7. 网络疲劳或漠视主动防御网络攻击影响了多达42%的公司(思科); 

8. 43%的违规行为源自有意或无意的内部威胁(Check Point);

9. 数据泄露在2021年暴露了220亿条记录(RiskBased Security);

10. 2021年,大约70%的违规行为是出于经济动机,而只有不到5%是出于间谍活动(Verizon);

11. 2021年,近40%的违规行为以网络钓鱼为特征,约11%涉及恶意软件,约22%涉及黑客攻击(Verizon);

12. 2021年记录的数据泄露事件为1,862起,超过了2017年1,506起的记录(CNET);

13. 最常见的恶意电子邮件附件类型是.doc和.dot,占37%;第二高的是.exe,占19.5%(赛门铁克);

14. 据估计,全球人类和机器使用了3000亿个密码(Cybersecurity Media);

15. 世界上大约40%的人口处于“离线状态”(即从未用过互联网),如果哪天他们访问互联网的话,则很容易沦为网络攻击的目标(Data Reportal)。

32个关键数据泄露和黑客攻击统计数据

大规模、广为人知的数据泄露事件正在上升,这表明不仅安全违规的数量在增加,其严重程度也在增加。

数据泄露会暴露敏感信息,而这些信息通常会使受感染的用户面临身份盗窃的风险,此外,数据泄露还会破坏公司声誉,并使公司面临违规罚款。

请参阅下述数据泄露统计数据,以帮助量化这些破坏性攻击的影响、动机和原因:

值得关注的黑客攻击统计数据

1. 2021年数据泄露的平均成本为424万美元,是有记录以来的最高平均水平(IBM);

2. 2021年发现漏洞的平均时间为212天(IBM);

3. 2021年漏洞的平均生命周期(即从识别到遏制)为286天(IBM); 

4. 网络犯罪实体在美国被检测和起诉的可能性估计约为0.05%(世界经济论坛);

5. 2021年,45%的数据泄露事件涉及个人数据(Verizon);

6. 与2019年相比,2020年的身份盗窃增加了42%(保险信息研究所);

7. 自2018年以来,数据泄露增加了11%,自2014年以来增加了67%(埃森哲);

8. 64%的美国人从未检查过自己是否受到数据泄露的影响(Varonis);

9. 56%的美国人不知道在发生数据泄露时应该采取什么措施(Varonis);

历史数据泄露事件

1. 2021年的一次LinkedIn数据泄露暴露了7亿用户或大约93%的LinkedIn成员的个人信息(RestorePrivacy);

2. 2021年3月,针对微软的攻击影响了美国30,000多个组织,包括企业和政府机构(微软);

3. 2021年4月,一个存在两年之久的漏洞被发现,暴露了超过5.33亿用户的个人信息(Auth0);

4. 2021年,黑客使用一个密码侵入了Colonial Pipeline公司发起了勒索软件攻击,导致美国各地的燃料短缺(彭博社);

5. 肉类加工公司JBS沦为勒索软件攻击受害者,攻击导致四个不同大陆的牛肉和家禽加工厂关闭(华尔街日报);

6. 在2021年的T-Mobile数据泄露事件中,近4800万人的个人信息被盗(T-Mobile) ;

7. 2021年9月,Neiman Marcus发现了一个长达18个月的数据泄露事件,泄露了460万购物者的支付数据和其他信息(Neiman Marcus);

8. 由于云服务配置错误,超过1亿安卓用户的个人数据在2021年的数据泄露事件中暴露无遗(Check Point);

9. 2021年11月,松下宣布业务合作伙伴数据、求职者信息和实习生信息被泄露(Tech Crunch);

10. 交易应用程序Robinhood沦为社会工程攻击受害者,泄露了500万用户的个人数据(Robinhood);

11. 2020年的一次Twitter数据泄露事件影响了130个账户,包括前美国总统和特斯拉首席执行官Elon Musk的账户,导致攻击者通过近300笔交易骗取了121,000美元的比特币(CNBC);

12. 2020年,万豪披露了一起数据泄露事件,影响了超过520万酒店客人的数据(万豪);

13. 自2014年以来,有5亿消费者的信息在2018年万豪-喜达屋数据泄露事件中惨遭泄露(CSO Online);

14. 2019年米高梅数据泄露事件导致1.42亿酒店客人的记录外泄(CPO杂志);

15. 2018年,Under Armour报告称其“My Fitness Pal”应用程序遭到黑客攻击,影响了1.5亿用户(Under Armour);

16. 2017年,有1.479亿消费者受到Equifax漏洞影响(Equifax);

17. Equifax泄露事件使该公司共计损失了超过40亿美元(时代杂志);

18. 2017年,4.12亿个用户帐户从Friendfinder的网站上被盗(华尔街日报);

19. 2017年,至少150个国家/地区的100,000个群组和超过400,000台服务器感染了Wannacry病毒,总损失约为40亿美元(Technology Inquirer);

20. 2016年,Uber报告称黑客窃取了超过5700万乘客和司机的信息(优步);

21. Uber试图付钱给黑客,以删除5700万用户的被盗数据并保持安全(彭博社);

22. 2013年,30亿雅虎账户遭到黑客入侵,成为有史以来最大的数据泄露事件之一(纽约时报);

23. 2020年,网络犯罪分子克隆了U.A.E.公司董事的声音并发起一笔3500万美元的银行转账(福布斯);

勒索软件和恶意软件攻击统计数据

1. 2021年,平均勒索软件支付猛增518%至570,000美元(GRC世界论坛);

2. 恶意软件在2020年增加了358%(Help Net Security);

3. 与2019年相比,2020年勒索软件攻击增加了435%(Help Net Security);

4. 超过300,000名Android用户通过Google Play商店下载了银行木马应用程序(Threat Fabric);

5. 2018年,平均每天有10,573个恶意移动应用程序被阻止(赛门铁克); 

6. 大约26%的网络流量是恶意机器人流量(Imperva); 

7. Microsoft Office文档是被操纵最多的目标,攻击增加了112%(Help Net Security);

8. 94%的恶意软件是通过电子邮件传递的(Verizon); 

9. 勒索软件恢复的平均成本接近200万美元(Sophos);

10. 在向黑客支付赎金的企业中,只有8%会收到所有的数据作为回报(Sophos);

11. 48%的恶意电子邮件附件是Microsoft Office文件(赛门铁克); 

12. 大约60%的恶意域与垃圾邮件活动有关(思科); 

13. 平均而言,每11秒就有一家公司沦为勒索软件攻击的受害者(Cybersecurity Ventures);

14. 大约20%的恶意域是新的,并在注册后一周左右使用(思科);

网络钓鱼攻击统计数据

1. 57%的组织每周或每天都会看到网络钓鱼尝试(GreatHorn);

2. 在经历2019年的下降趋势后,网络钓鱼在2020年再次呈现上升趋势,平均每4,200封电子邮件中就有1封钓鱼邮件(赛门铁克);

3. 65%的网络犯罪集团使用鱼叉式网络钓鱼作为主要感染媒介(赛门铁克);

4. 网络钓鱼攻击占所有报告的安全事件的80%以上(CSO Online);

5. 由于网络钓鱼攻击,每分钟就会损失17,700美元(CSO Online);

IoT、DDoS 和其他攻击的统计数据

1. 到2023年,全球DDoS攻击总数将达到1540万次(思科);

2. 2019年上半年对物联网设备的攻击增加了两倍(CSO Online);

3. 2018年在端点上阻止的恶意PowerShell脚本增加了1,000%(赛门铁克);

4. Mirai分布式DDoS蠕虫是2018年第三大最常见的物联网威胁(赛门铁克);

5. 30%的数据泄露涉及内部参与者(Verizon); 

6. IoT设备每月平均遭受5,200次攻击(赛门铁克); 

7. 90%的远程代码执行攻击与加密货币挖矿有关(Purplese);

8. 69%的组织认为,他们的防病毒软件对当前的网络威胁毫无用处(Ponemon Institute);

9. 每36台移动设备中就有一台安装了高风险应用程序(赛门铁克);

20个网络安全合规和治理统计数据

不保护文件的风险比以往任何时候都更加普遍和危险,尤其是对于拥有远程员工的公司而言。随着世界各地陆续出台保护数据隐私的严格立法,更严重的后果正在上演。近年来的一些突出表现包括欧盟2018年《通用数据保护条例》(GDPR)和加利福尼亚州2020年《加州消费者隐私法案》(CCPA)。

随着全球更多地区有望效仿该立法,公司应注意GDPR的要点。正确设置文件权限并删除陈旧数据以保持安全至关重要。保持数据分类和治理达到标准有助于保持HIPAA、SOX、ISO 27001等数据隐私法规的合规性。

1. 66%的公司表示合规要求正在推动支出(CSO Online);

2. 78%的公司预计监管合规要求会逐年增加(Thomson Reuter);

3. 对于大公司而言,合规成本可能接近每名员工10,000美元(竞争企业研究所);

4. 2018年,企业平均花费130万美元来满足合规要求,预计还会额外花费180万美元(IAAP);

5. 平均而言,每位员工都可以访问1100万份文件(Varoni);

6. 15%的公司发现1,000,000多个文件面向每位员工开放(Varoni);

7. 17%的敏感文件可供所有员工访问(Varoni);

8. 大约60%的公司拥有超过500个密码不会过期的帐户(:Varoni);

9. 超过77%的组织没有事件响应计划(Cybin);

GDPR网络安全统计数据

1. 西班牙在2021年开出了212份GDPR罚单,罚款数量是其他任何国家的3倍(Lexology);

2. 2021年GDPR罚款总额为12亿美元(CNBC);

3. 据报道,公司为准备GDPR花费了90亿美元,2018年,法律咨询和团队花费了英国FTSE 350公司约40%的GDPR预算,即240万美元(福布斯);

4. 88%的公司花费超过100万美元为GDPR做准备(IT Governance);

5. 在GDPR实施的第一年,各GDPR执法机构收到了144,000起投诉,记录了89,000起数据泄露事件(EDPB);

6. 1,000个新闻来源屏蔽了欧盟读者,以规避GDPR合规规则(Nieman Lab);

7. GDPR第一年的罚款总额为6300万美元(GDPR.eu);

8. 谷歌因违反GDPR而被法国数据保护机构CNIL罚款570亿美元(TechCrunch);

9. 自GDPR颁布以来,31%的消费者认为他们与公司的整体体验有所改善(Marketing Week);

10. 到2019年,只有59%的公司认为他们符合GDPR合规要求(ZDNet);

11. 70%的公司同意,他们实施的系统不会随着新GDPR法规的出现而扩展(DataGrail);

21项安全支出和成本统计数据

网络犯罪的平均支出正在急剧增加,因此企业也将会逐步将网络安全支出纳入正常预算。随着越来越多的高管和决策者意识到网络安全投资的价值和重要性,网络安全预算在稳定增长。

查看下述支出统计数据和预测,了解2022年网络安全成本的状况:

1. 网络犯罪总损失带来的经济影响仅次于美国和中国的GDP(Cybersecurity Ventures);

2. 网络保险价格在2021年第三季度上涨了96%,同比增长204%(Marsh);

3. 当远程工作成为导致数据泄露的一个因素时,每次泄露的平均成本要高出107万美元(IBM);

4. 人工智能为数据泄露提供了最具体的成本缓解措施,每次泄露可为组织节省高达381万美元(IBM);

5. 采取零信任方法的组织的平均违规成本要比没采取零信任方法的组织少176万美元;

6. 到2020年,安全服务约占网络安全预算的50%(Gartner);

7. 对公司进行恶意软件攻击的平均成本为260万美元(埃森哲);

8. 数据泄露为企业造成的平均业务损失高达159万美元(IBM);

9. 医疗保健行业的平均数据泄露成本最高,为713万美元(IBM);

10. 每家公司的网络犯罪总成本从2017年的1170万美元增加到2018年的1300万美元,增长了12%(埃森哲);

11. 每名员工的平均年安全支出从2019年的2337美元增加到2020年的2691美元(德勤);

12. 网络攻击中最昂贵的部分是信息损失,平均为590万美元(埃森哲);

13. 每个个人丢失或被盗记录的平均成本为146美元(IBM);

14. 小型公司(员工人数在500人以下)的数据泄露平均总成本从2019年的274万美元下降到2020年的235万美元(IBM);

15. 超大型公司(员工超过25,000名)的平均数据泄露总成本从2019年的511万美元下降到425万美元(IBM);

16. 一半的大型企业(拥有超过10,000名员工)每年在安全方面的支出为100万美元或更多,其中43%的支出为250,000至999,999美元,只有7%的支出低于250,000美元(思科);

17. 在2019年至2020年,斯堪的纳维亚半岛数据泄露总成本的增幅最大,为12%,而南非则下降7.4%,降幅最大(IBM);

18. 美国是世界上数据泄露成本最高的国家,平均为864万美元,其次是中东,为652万美元(IBM);

19. 2018年,网络安全行业的支出约为408亿美元(Statista);

网络安全成本预测

1. 到2025年,全球网络犯罪成本每年将达到10.5万亿美元(Cybersecurity Ventures);

2. 超过70%的安全主管认为,他们的财政预算将在COVID-19之后减少(麦肯锡);

14个网络安全劳动力统计数据和预测

随着网络攻击率的提高,对网络安全专业人员的需求也在增加。值得庆幸的是,网络安全预算仍在不断增加。但是,目前熟练的网络安全人才短缺,无法满足网络安全岗位的强需求。

有兴趣进入网络安全领域吗?现在是时候了——预计职位空缺和平均工资在未来十年内只会不断增长。

正在寻找网络安全人才的企业可能有必要提出创造性的网络安全技能短缺解决方案,包括外包任务、开始学徒制以及与教育和军事机构合作寻找新人才。

1. 截至2022年2月,美国有1,053,468名员工从事网络安全工作(CyberSeek);

2. 同样截至2022 年2月,网络安全行业有近600,000个职位空缺,这意味着只有68%的职位空缺被填补(CyberSeek);

3. 华盛顿特区的网络安全专业人员最集中,是全国平均水平的8倍以上(CyberSeek);

4. 系统安全分析师的开放角色比任何其他网络安全专业都多(CyberSeek);

5. 59%的网络安全专业人员认为,他们的工作要求限制了他们跟上网络安全技能的步伐(ISSA & ESG);

6. 超过一半的网络安全专业人士认为,熟练掌握该行业至少需要三年时间(ISSA & ESG);

7. 超过三分之二的网络安全专业人员难以确定自己的职业道路(ISSA & ESG);

8. 76% 的网络安全专业人士认为招聘和雇用新员工很困难(ISSA & ESG);

9. 70% 的网络安全专业人员声称,他们的组织受到网络安全技能短缺的影响(ISSA & ESG) ;

10. 十分之六的安全运营中心专业人士认为,他们的网络安全申请人只有一半是合格的(Cyberbit);

11. 自2016年以来,由于GDPR的出台,对数据保护人员的需求猛增了700% 以上(路透社);

12. 从2013年到2021年,开放的网络安全职位增长了350%(网络犯罪杂志);

13. 40%的IT领导者表示,网络安全工作是最难填补的(CSO Onlin);

14. 网络安全工程师是业内薪酬最高的职位之一,平均年薪14万美元起(Cybint);

网络安全劳动力预测

1. 网络安全失业率接近于零,预计在可预见的未来将继续保持在该水平(Cybersecurity Ventures);

2. 到2025年,全球将有350万个网络安全职位空缺——与2021年大致相同(Cybersecurity Ventures);

3. 2019年至2029年间,美国的信息安全分析师职位预计将增长31%(劳工统计局);

4. 2019年至2029年间,美国的计算机网络架构师职位预计将增长5%(劳工统计局);

5. 2019年至2029年间,美国的计算机程序员职位预计将下降 9%(劳工统计局);

19个网络安全统计数据(按行业划分)

在网络安全方面,并非所有行业遭到黑客“青睐”的机会都是平等的。存储有价值的信息的行业,例如医疗保健和金融行业,通常是黑客的主要目标,他们想要窃取社会安全号码、医疗记录和其他等个人数据。但实际上,没有人是安全的,因为较低风险的行业将采取较少的安全措施,因此也是黑客的攻击目标。

医疗行业

1. WannaCry勒索软件攻击使英国国家卫生服务局(NHS)损失超过1亿美元(Datto);

2. 2020年,医疗保健行业因勒索软件攻击而损失了大约210亿美元(Comparitech);

3. 从2017年-2020年,超过93%的医疗保健组织经历了数据泄露(Herjavec集团);

4. 2021年发生712起医疗保健数据泄露事件,比2020年增加11%(HIPAA 期刊);

金融和加密行业

1. 从2013年到2020年,加密货币赎金的总价值增长了近80,000%(世界经济论坛);

2. 金融服务有449,855个暴露的敏感文件,其中36,004个对组织中的每个人开放(Varonis);

3. 平均而言,金融服务行业70%的敏感文件已过时(Varonis);

4. 平均而言,一名金融服务员工入职后可以访问近1100万个文件。对于大型组织,员工可以访问2000万个文件(Varonis);

5. 金融服务企业平均需要233天来检测和控制数据泄露(Varonis);

6. 金融服务数据泄露的平均成本为585万美元(IBM);

7. 金融数据泄露占所有攻击的10%(Verizon);

8. 金融服务行业在2018年的网络犯罪成本最高,为1,830万美元(Accenture);

9. 特洛伊木马病毒Ramnit在2017年对金融部门造成了重大影响,占攻击的53%(思科);

政府行业

1. 制造公司占所有勒索软件攻击的近四分之一,其次是专业服务,占17%,政府组织占13%(Security Intelligence);

2. 58%的国家行为体网络攻击来自俄罗斯(微软);

3. 79%的国家行为体攻击者以政府机构、非政府组织((NGO)和智库为目标(微软);

企业

1. 小型组织(1到250名员工)的目标恶意电子邮件率最高,为 1/323(赛门铁克);

2. 生活方式(15%)和娱乐(7%)是最常见的恶意应用类别(赛门铁克);

3. 2021年,供应链攻击同比增长超过100%(赛门铁克);

12个COVID-19相关网络安全统计数据

COVID-19已影响到各个行业和领域,网络空间也不例外。疫情大流行为网络犯罪分子通过医疗保健、失业、远程工作等方式瞄准受害者铺平了新的途径。以下是与疫情有关的一些最具影响力的网络安全统计数据。

1. 远程工作和疫情封锁推动全球互联网流量增加50%,从而带来新的网络犯罪机会(世界银行) ;

2. 2020年有近800,000起网络犯罪投诉,比2019年增加300,000起(FBI);

3. 27%的COVID-19网络攻击针对银行或医疗机构,而COVID-19也被认为是2020年银行业网络攻击增加238%的重要因素(Carbon Black);

4. 在大流行期间,医疗保健行业已确认的数据泄露事件增加了58%(Verizon);

5. 5月份,有33,000名失业申请人因大流行性失业援助计划而遭受数据泄露影响(美国全国广播公司);

6. 美国人因COVID-19相关的诈骗活动损失了超过9739万美元(Atlas VPN);

7. 在大流行的第一个月,谷歌每天拦截了1800万封与新冠病毒相关的恶意软件和网络钓鱼电子邮件(谷歌);

8. 自COVID-19以来,52%的法律和合规领导者担心由于远程工作而导致的第三方网络风险(Gartner);

9. 47% 的员工表示分心是居家办公时陷入网络钓鱼诈骗的原因(Tessian);

10. 81%的网络安全专业人员报告称,他们的工作职能在大流行期间发生了变化(国际标准委员会);

11. 在大流行的第一个月,有50万个Zoom用户帐户被盗用并在一个暗网论坛上出售(CPO杂志);

12. 疫情大流行期间,在20%的组织中发生了由远程工作人员引发的数据泄露事件(Malwarebytes)。

结语

网络犯罪是真正的威胁,应该慎重对待。通过评估您的企业网络安全风险,在公司范围内进行更改并改进数据保护,可以保护您的企业免受大多数数据泄露的影响。不要让自身沦为统计数据——现在,是时候改变文化以改善网络安全态势了。