技術(shù)進(jìn)步和數(shù)字化轉(zhuǎn)型的快速發(fā)展帶來了更復(fù)雜、更危險(xiǎn)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，隨著這些威脅的增長和演變，保險(xiǎn)公司和企業(yè)需要知道他們面臨的是什么。

在本文中，《保險(xiǎn)業(yè)》深入探討了美國企業(yè)面臨的最大網(wǎng)絡(luò)安全威脅。我們將分析這些數(shù)字，以清楚地了解每種威脅的范圍和財(cái)務(wù)影響。

保險(xiǎn)專業(yè)人士和企業(yè)主可以使用本指南深入了解網(wǎng)絡(luò)風(fēng)險(xiǎn)如何影響他們的運(yùn)營。他們還可以獲得有關(guān)如何保護(hù)自己免受破壞性網(wǎng)絡(luò)攻擊的專家提示。

美國企業(yè)需要注意的十大網(wǎng)絡(luò)安全威脅

網(wǎng)絡(luò)威脅有多種形式。從惡意軟件到社會(huì)工程詐騙，網(wǎng)絡(luò)犯罪分子正在使用更狡猾的手段來滲透計(jì)算機(jī)系統(tǒng)。根據(jù)聯(lián)邦調(diào)查局 (FBI) 最新的網(wǎng)絡(luò)犯罪報(bào)告，以下是美國企業(yè)面臨的最大網(wǎng)絡(luò)安全威脅。該列表按企業(yè)損失排列。

1. 投資欺詐

總損失： 45.7 億美元投訴數(shù)量： 39,570

投資詐騙的目的是用巨額投資回報(bào)的承諾來引誘受害者。在過去幾年中，投資欺詐一直是 FBI 網(wǎng)絡(luò)安全威脅中損失最大的一個(gè)。

去年，此類事件導(dǎo)致?lián)p失 46 億美元，比 2022 年的 33 億美元增長了三分之一以上。在記錄的 39,570 起投訴中，涉及加密貨幣的投資騙局占了大多數(shù)。2023 年的損失總額接近 40 億美元，高于上一年的 26 億美元。

2.社會(huì)工程學(xué)

總損失： 29.5 億美元投訴數(shù)量： 21,489

在社會(huì)工程學(xué)中，網(wǎng)絡(luò)犯罪分子使用情感和心理策略來操縱受害者采取他們想要的行動(dòng)。這種類型的網(wǎng)絡(luò)攻擊利用金錢、愛、恐懼和地位等強(qiáng)大的動(dòng)機(jī)來獲取敏感信息。

然后，攻擊者利用竊取的數(shù)據(jù)敲詐公司或獲得競爭優(yōu)勢。利用情緒欺騙人們使得社會(huì)工程學(xué)成為美國企業(yè)面臨的最大網(wǎng)絡(luò)安全威脅之一。 

社會(huì)工程攻擊有多種形式。其中最常見的是商業(yè)電子郵件入侵 (BEC)。在 BEC 攻擊中，不法分子會(huì)冒充受信任人員的身份，誘騙用戶共享數(shù)據(jù)或匯款。

2023 年，聯(lián)邦調(diào)查局收到了近 21,500 起有關(guān) BEC 攻擊的投訴。這些事件給企業(yè)造成了高達(dá) 29 億美元的損失。

3. 數(shù)據(jù)泄露

總損失： 5.3438 億美元投訴數(shù)量： 3,727

當(dāng)網(wǎng)絡(luò)犯罪分子未經(jīng)授權(quán)訪問機(jī)密信息時(shí)，就會(huì)發(fā)生數(shù)據(jù)泄露。根據(jù) FBI 的數(shù)據(jù)，過去幾年數(shù)據(jù)泄露事件一直在增加。投訴數(shù)量從 2021 年的約 1,290 起增加到 2022 年的近 2,800 起，去年達(dá)到約 3,730 起。

在損失方面，數(shù)據(jù)泄露給企業(yè)造成約 5.344 億美元的損失，比 2022 年的 4.593 億美元增長 16%。

4. 冒充政府

總損失： 3.9405 億美元投訴數(shù)量： 14,190 件

網(wǎng)絡(luò)犯罪分子冒充政府官員騙取錢財(cái)時(shí)就會(huì)發(fā)生這種情況。聯(lián)邦調(diào)查局報(bào)告稱，2023 年有 14,190 起政府冒充詐騙投訴。這些事件造成了超過 3.94 億美元的損失，是榜單上第三大最昂貴的網(wǎng)絡(luò)安全威脅。這一數(shù)字比 2022 年的 2.405 億美元增長了 63%。

5.身份盜竊

總損失： 1.262 億美元投訴數(shù)量： 19,778

身份驅(qū)動(dòng)攻擊為何成為最大的網(wǎng)絡(luò)安全威脅之一？因?yàn)樗鼈兒茈y被發(fā)現(xiàn)。在這種類型的網(wǎng)絡(luò)攻擊中，不法分子會(huì)竊取有效用戶的憑證并偽裝成該用戶。以下是一些最常見的基于身份的攻擊形式：

去年，美國聯(lián)邦調(diào)查局接到了近 19,800 起與網(wǎng)絡(luò)相關(guān)的身份盜竊事件報(bào)告。這些事件造成的損失約為 1.262 億美元。盡管損失金額驚人，但在過去兩年中，這一數(shù)字實(shí)際上下降了 55%。

6.勒索軟件

總損失： 5964萬美元投訴數(shù)量： 2825

勒索軟件是一種惡意軟件，網(wǎng)絡(luò)犯罪分子利用該軟件阻止受害者訪問重要文件或系統(tǒng)，直到受害者支付贖金為止。在勒索軟件攻擊中，惡意攻擊者會(huì)加密受害者的數(shù)據(jù)并提供解密密鑰以換取贖金。勒索軟件通常通過釣魚郵件中的惡意鏈接發(fā)起。系統(tǒng)也可能通過策略配置錯(cuò)誤和未修補(bǔ)的漏洞進(jìn)行加密。

2023 年，勒索軟件攻擊共報(bào)告了 2,825 起事件，造成的損失超過 5,960 萬美元。這一數(shù)字還不包括時(shí)間、工資和設(shè)備的損失，以及恢復(fù)成本。

7. 拒絕服務(wù)攻擊

總損失： 2242萬美元投訴數(shù)量： 540

拒絕服務(wù) (DOS) 攻擊通過向網(wǎng)絡(luò)發(fā)送大量虛假請(qǐng)求來破壞企業(yè)運(yùn)營。當(dāng) DOS 攻擊發(fā)生時(shí)，受害者將無法執(zhí)行常規(guī)任務(wù)，包括訪問電子郵件和網(wǎng)站。

此類網(wǎng)絡(luò)安全威脅通常不會(huì)導(dǎo)致數(shù)據(jù)被盜，無需支付贖金即可解決。但它們可能會(huì)耗費(fèi)公司時(shí)間和資源來恢復(fù)運(yùn)營。

根據(jù) FBI 的數(shù)據(jù)，DOS 攻擊被歸類為僵尸網(wǎng)絡(luò)。該組織去年收到 540 起投訴。這些事件導(dǎo)致的損失為 2240 萬美元，高于上一年的 1710 萬美元。

8. 網(wǎng)絡(luò)釣魚和欺騙

總損失：1,873萬美元投訴數(shù)量： 298,878

網(wǎng)絡(luò)釣魚和欺騙手段旨在誘騙用戶向詐騙者提供敏感信息。雖然兩者都涉及欺騙，但這些網(wǎng)絡(luò)安全威脅還是有區(qū)別的。

網(wǎng)絡(luò)釣魚利用電子郵件、短信、社交媒體和社會(huì)工程手段誘騙受害者分享機(jī)密信息或在其設(shè)備上下載惡意文件。網(wǎng)絡(luò)釣魚有多種形式，包括：

• 魚叉式網(wǎng)絡(luò)釣魚：通過惡意電子郵件針對(duì)特定個(gè)人或組織
• 短信網(wǎng)絡(luò)釣魚：利用欺詐性短信誘騙受害者分享敏感數(shù)據(jù)
• 網(wǎng)絡(luò)釣魚：利用欺詐性電話和語音信息誘使受害者泄露私人信息
• 捕鯨：針對(duì)高級(jí)管理人員或 C 級(jí)管理人員竊取金錢或信息，或獲取其計(jì)算機(jī)訪問權(quán)限以實(shí)施進(jìn)一步的網(wǎng)絡(luò)攻擊

當(dāng)惡意攻擊者試圖讓受害者相信他們正在與可信來源互動(dòng)時(shí)，就會(huì)發(fā)生欺騙。網(wǎng)絡(luò)犯罪分子經(jīng)常通過更改字符將電子郵件地址、發(fā)件人、電話號(hào)碼或網(wǎng)站網(wǎng)址偽裝成合法內(nèi)容。

去年，聯(lián)邦調(diào)查局收到了近 299,000 起網(wǎng)絡(luò)釣魚和欺騙投訴。盡管這一數(shù)字比前一年下降了 7%，但這類攻擊仍然是美國最大的網(wǎng)絡(luò)安全威脅。

在損失方面，網(wǎng)絡(luò)釣魚和欺騙攻擊在 2023 年造成的損失為 1870 萬美元。這比 2022 年的 1.6 億美元大幅下降。

9. 版權(quán)侵權(quán)

總損失： 756萬美元投訴數(shù)量： 1,498

版權(quán)侵權(quán)是指非法使用他人的知識(shí)產(chǎn)權(quán)。范圍從商業(yè)機(jī)密和專有產(chǎn)品到音樂、電影甚至計(jì)算機(jī)軟件。去年有大約 1,500 起知識(shí)產(chǎn)權(quán)侵權(quán)報(bào)告。這些侵權(quán)行為給企業(yè)造成了超過 750 萬美元的損失。

10.惡意軟件

總損失： 121萬美元投訴數(shù)量： 659

惡意軟件 (malware) 是惡意軟件的簡稱，是指任何為損害計(jì)算機(jī)、網(wǎng)絡(luò)或服務(wù)器而創(chuàng)建的程序或代碼。其目的是竊取敏感數(shù)據(jù)并破壞企業(yè)運(yùn)營。

此類網(wǎng)絡(luò)攻擊會(huì)誘騙用戶下載看似無害的文件或鏈接。如果成功，這些程序不僅能讓惡意攻擊者訪問受害者的計(jì)算機(jī)，還能訪問公司內(nèi)的整個(gè)網(wǎng)絡(luò)。 

惡意軟件是最常見的網(wǎng)絡(luò)安全威脅形式，主要是因?yàn)樗卸喾N形式。其中包括勒索軟件，它也在列表中。其他例子包括廣告軟件、間諜軟件、木馬和蠕蟲。

去年，美國聯(lián)邦調(diào)查局接到了 660 起惡意軟件事件的報(bào)告。這些事件造成的損失高達(dá) 120 萬美元。這些數(shù)字不包括勒索軟件。

最大的網(wǎng)絡(luò)安全威脅給美國企業(yè)造成了多大的損失？

美國聯(lián)邦調(diào)查局的互聯(lián)網(wǎng)犯罪報(bào)告記錄了近 692,000 起網(wǎng)絡(luò)事件報(bào)告，共造成約 125 億美元的損失。列出的十大網(wǎng)絡(luò)安全威脅占損失總額的三分之二以上，即 86 億美元。隨著威脅形勢的不斷演變，到 2025 年，網(wǎng)絡(luò)犯罪造成的全球損失預(yù)計(jì)將達(dá)到 10.5 萬億美元。這凸顯了所有企業(yè)擁有完善的網(wǎng)絡(luò)安全措施的重要性。

企業(yè)如何防范網(wǎng)絡(luò)安全威脅？

關(guān)于網(wǎng)絡(luò)安全威脅最大的誤解之一是，只有美國大公司才會(huì)受到攻擊。這種想法讓許多小企業(yè)在成為攻擊目標(biāo)時(shí)措手不及。

然而，中小企業(yè)可以通過多種實(shí)用方法來保護(hù)自己，而無需耗盡資源。以下是美國小企業(yè)管理局 (SBA) 的一些建議。

1. 評(píng)估你的網(wǎng)絡(luò)風(fēng)險(xiǎn)

企業(yè)需要深入了解他們面臨的風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估可以幫助他們識(shí)別漏洞并幫助他們制定行動(dòng)計(jì)劃。這可以包括用戶培訓(xùn)、保護(hù)電子郵件平臺(tái)的指導(dǎo)以及保護(hù)企業(yè)信息的建議。

2. 投資員工培訓(xùn)

員工和電子郵件已成為數(shù)據(jù)泄露的主要原因，因?yàn)樗鼈兲峁┝诉M(jìn)入企業(yè)計(jì)算機(jī)系統(tǒng)的直接途徑。對(duì)員工進(jìn)行基本的網(wǎng)絡(luò)安全最佳實(shí)踐培訓(xùn)可以大大有助于防止網(wǎng)絡(luò)攻擊。

3. 保持防病毒軟件更新

企業(yè)必須確保其系統(tǒng)配備了最新的防病毒軟件和反間諜軟件。他們還必須定期更新這些程序。

4. 確保網(wǎng)絡(luò)安全

企業(yè)可以使用防火墻并加密所有數(shù)據(jù)來保護(hù)其互聯(lián)網(wǎng)連接。公司還必須確保其 Wi-Fi 網(wǎng)絡(luò)保持隱蔽和安全。

5. 使用強(qiáng)密碼

提高網(wǎng)絡(luò)安全的最簡單方法之一是使用強(qiáng)密碼。強(qiáng)密碼具有以下特點(diǎn)：

• 10 個(gè)字符或更多
• 至少有一個(gè)大寫字母
• 至少一個(gè)小寫字母
• 至少一個(gè)數(shù)字
• 至少一個(gè)特殊字符

6. 激活多重身份驗(yàn)證

多重身份驗(yàn)證 (MFA) 是一種驗(yàn)證過程，要求用戶提供兩個(gè)或更多身份證明才能訪問其帳戶。這增加了另一層安全性。例如，企業(yè)可以要求用戶提供密碼和發(fā)送到不同設(shè)備的代碼，然后才允許他們?cè)L問在線帳戶。

7. 定期進(jìn)行數(shù)據(jù)備份

備份數(shù)據(jù)是最具成本效益的網(wǎng)絡(luò)安全措施之一，可確保在發(fā)生網(wǎng)絡(luò)攻擊或計(jì)算機(jī)問題時(shí)能夠恢復(fù)重要信息。

8. 確保付款處理安全

企業(yè)應(yīng)與銀行合作，確保使用最值得信賴和經(jīng)過驗(yàn)證的工具和反欺詐服務(wù)。企業(yè)還必須將支付系統(tǒng)與不太安全的程序隔離開來。處理付款和上網(wǎng)時(shí)，企業(yè)應(yīng)使用單獨(dú)的計(jì)算機(jī)。

9. 控制物理訪問

公司應(yīng)防止未經(jīng)授權(quán)的個(gè)人訪問或使用公司擁有的計(jì)算機(jī)。他們還應(yīng)僅向受信任的 IT 員工和關(guān)鍵人員授予管理權(quán)限。

10. 購買網(wǎng)絡(luò)保險(xiǎn)

網(wǎng)絡(luò)保險(xiǎn)有助于彌補(bǔ)網(wǎng)絡(luò)事件造成的經(jīng)濟(jì)損失。它還可以支付因企業(yè)遭受攻擊而受到損害的個(gè)人或團(tuán)體提出的索賠。