技術進步和數字化轉型的快速發展帶來了更復雜、更危險的網絡安全風險，隨著這些威脅的增長和演變，保險公司和企業需要知道他們面臨的是什么。

在本文中，《保險業》深入探討了美國企業面臨的最大網絡安全威脅。我們將分析這些數字，以清楚地了解每種威脅的范圍和財務影響。

保險專業人士和企業主可以使用本指南深入了解網絡風險如何影響他們的運營。他們還可以獲得有關如何保護自己免受破壞性網絡攻擊的專家提示。

美國企業需要注意的十大網絡安全威脅

網絡威脅有多種形式。從惡意軟件到社會工程詐騙，網絡犯罪分子正在使用更狡猾的手段來滲透計算機系統。根據聯邦調查局 (FBI) 最新的網絡犯罪報告，以下是美國企業面臨的最大網絡安全威脅。該列表按企業損失排列。

1. 投資欺詐

總損失： 45.7 億美元投訴數量： 39,570

投資詐騙的目的是用巨額投資回報的承諾來引誘受害者。在過去幾年中，投資欺詐一直是 FBI 網絡安全威脅中損失最大的一個。

去年，此類事件導致損失 46 億美元，比 2022 年的 33 億美元增長了三分之一以上。在記錄的 39,570 起投訴中，涉及加密貨幣的投資騙局占了大多數。2023 年的損失總額接近 40 億美元，高于上一年的 26 億美元。

2.社會工程學

總損失： 29.5 億美元投訴數量： 21,489

在社會工程學中，網絡犯罪分子使用情感和心理策略來操縱受害者采取他們想要的行動。這種類型的網絡攻擊利用金錢、愛、恐懼和地位等強大的動機來獲取敏感信息。

然后，攻擊者利用竊取的數據敲詐公司或獲得競爭優勢。利用情緒欺騙人們使得社會工程學成為美國企業面臨的最大網絡安全威脅之一。 

社會工程攻擊有多種形式。其中最常見的是商業電子郵件入侵 (BEC)。在 BEC 攻擊中，不法分子會冒充受信任人員的身份，誘騙用戶共享數據或匯款。

2023 年，聯邦調查局收到了近 21,500 起有關 BEC 攻擊的投訴。這些事件給企業造成了高達 29 億美元的損失。

3. 數據泄露

總損失： 5.3438 億美元投訴數量： 3,727

當網絡犯罪分子未經授權訪問機密信息時，就會發生數據泄露。根據 FBI 的數據，過去幾年數據泄露事件一直在增加。投訴數量從 2021 年的約 1,290 起增加到 2022 年的近 2,800 起，去年達到約 3,730 起。

在損失方面，數據泄露給企業造成約 5.344 億美元的損失，比 2022 年的 4.593 億美元增長 16%。

4. 冒充政府

總損失： 3.9405 億美元投訴數量： 14,190 件

網絡犯罪分子冒充政府官員騙取錢財時就會發生這種情況。聯邦調查局報告稱，2023 年有 14,190 起政府冒充詐騙投訴。這些事件造成了超過 3.94 億美元的損失，是榜單上第三大最昂貴的網絡安全威脅。這一數字比 2022 年的 2.405 億美元增長了 63%。

5.身份盜竊

總損失： 1.262 億美元投訴數量： 19,778

身份驅動攻擊為何成為最大的網絡安全威脅之一？因為它們很難被發現。在這種類型的網絡攻擊中，不法分子會竊取有效用戶的憑證并偽裝成該用戶。以下是一些最常見的基于身份的攻擊形式：

去年，美國聯邦調查局接到了近 19,800 起與網絡相關的身份盜竊事件報告。這些事件造成的損失約為 1.262 億美元。盡管損失金額驚人，但在過去兩年中，這一數字實際上下降了 55%。

6.勒索軟件

總損失： 5964萬美元投訴數量： 2825

勒索軟件是一種惡意軟件，網絡犯罪分子利用該軟件阻止受害者訪問重要文件或系統，直到受害者支付贖金為止。在勒索軟件攻擊中，惡意攻擊者會加密受害者的數據并提供解密密鑰以換取贖金。勒索軟件通常通過釣魚郵件中的惡意鏈接發起。系統也可能通過策略配置錯誤和未修補的漏洞進行加密。

2023 年，勒索軟件攻擊共報告了 2,825 起事件，造成的損失超過 5,960 萬美元。這一數字還不包括時間、工資和設備的損失，以及恢復成本。

7. 拒絕服務攻擊

總損失： 2242萬美元投訴數量： 540

拒絕服務 (DOS) 攻擊通過向網絡發送大量虛假請求來破壞企業運營。當 DOS 攻擊發生時，受害者將無法執行常規任務，包括訪問電子郵件和網站。

此類網絡安全威脅通常不會導致數據被盜，無需支付贖金即可解決。但它們可能會耗費公司時間和資源來恢復運營。

根據 FBI 的數據，DOS 攻擊被歸類為僵尸網絡。該組織去年收到 540 起投訴。這些事件導致的損失為 2240 萬美元，高于上一年的 1710 萬美元。

8. 網絡釣魚和欺騙

總損失：1,873萬美元投訴數量： 298,878

網絡釣魚和欺騙手段旨在誘騙用戶向詐騙者提供敏感信息。雖然兩者都涉及欺騙，但這些網絡安全威脅還是有區別的。

網絡釣魚利用電子郵件、短信、社交媒體和社會工程手段誘騙受害者分享機密信息或在其設備上下載惡意文件。網絡釣魚有多種形式，包括：

• 魚叉式網絡釣魚：通過惡意電子郵件針對特定個人或組織
• 短信網絡釣魚：利用欺詐性短信誘騙受害者分享敏感數據
• 網絡釣魚：利用欺詐性電話和語音信息誘使受害者泄露私人信息
• 捕鯨：針對高級管理人員或 C 級管理人員竊取金錢或信息，或獲取其計算機訪問權限以實施進一步的網絡攻擊

當惡意攻擊者試圖讓受害者相信他們正在與可信來源互動時，就會發生欺騙。網絡犯罪分子經常通過更改字符將電子郵件地址、發件人、電話號碼或網站網址偽裝成合法內容。

去年，聯邦調查局收到了近 299,000 起網絡釣魚和欺騙投訴。盡管這一數字比前一年下降了 7%，但這類攻擊仍然是美國最大的網絡安全威脅。

在損失方面，網絡釣魚和欺騙攻擊在 2023 年造成的損失為 1870 萬美元。這比 2022 年的 1.6 億美元大幅下降。

9. 版權侵權

總損失： 756萬美元投訴數量： 1,498

版權侵權是指非法使用他人的知識產權。范圍從商業機密和專有產品到音樂、電影甚至計算機軟件。去年有大約 1,500 起知識產權侵權報告。這些侵權行為給企業造成了超過 750 萬美元的損失。

10.惡意軟件

總損失： 121萬美元投訴數量： 659

惡意軟件 (malware) 是惡意軟件的簡稱，是指任何為損害計算機、網絡或服務器而創建的程序或代碼。其目的是竊取敏感數據并破壞企業運營。

此類網絡攻擊會誘騙用戶下載看似無害的文件或鏈接。如果成功，這些程序不僅能讓惡意攻擊者訪問受害者的計算機，還能訪問公司內的整個網絡。 

惡意軟件是最常見的網絡安全威脅形式，主要是因為它有多種形式。其中包括勒索軟件，它也在列表中。其他例子包括廣告軟件、間諜軟件、木馬和蠕蟲。

去年，美國聯邦調查局接到了 660 起惡意軟件事件的報告。這些事件造成的損失高達 120 萬美元。這些數字不包括勒索軟件。

最大的網絡安全威脅給美國企業造成了多大的損失？

美國聯邦調查局的互聯網犯罪報告記錄了近 692,000 起網絡事件報告，共造成約 125 億美元的損失。列出的十大網絡安全威脅占損失總額的三分之二以上，即 86 億美元。隨著威脅形勢的不斷演變，到 2025 年，網絡犯罪造成的全球損失預計將達到 10.5 萬億美元。這凸顯了所有企業擁有完善的網絡安全措施的重要性。

企業如何防范網絡安全威脅？

關于網絡安全威脅最大的誤解之一是，只有美國大公司才會受到攻擊。這種想法讓許多小企業在成為攻擊目標時措手不及。

然而，中小企業可以通過多種實用方法來保護自己，而無需耗盡資源。以下是美國小企業管理局 (SBA) 的一些建議。

1. 評估你的網絡風險

企業需要深入了解他們面臨的風險。網絡安全風險評估可以幫助他們識別漏洞并幫助他們制定行動計劃。這可以包括用戶培訓、保護電子郵件平臺的指導以及保護企業信息的建議。

2. 投資員工培訓

員工和電子郵件已成為數據泄露的主要原因，因為它們提供了進入企業計算機系統的直接途徑。對員工進行基本的網絡安全最佳實踐培訓可以大大有助于防止網絡攻擊。

3. 保持防病毒軟件更新

企業必須確保其系統配備了最新的防病毒軟件和反間諜軟件。他們還必須定期更新這些程序。

4. 確保網絡安全

企業可以使用防火墻并加密所有數據來保護其互聯網連接。公司還必須確保其 Wi-Fi 網絡保持隱蔽和安全。

5. 使用強密碼

提高網絡安全的最簡單方法之一是使用強密碼。強密碼具有以下特點：

• 10 個字符或更多
• 至少有一個大寫字母
• 至少一個小寫字母
• 至少一個數字
• 至少一個特殊字符

6. 激活多重身份驗證

多重身份驗證 (MFA) 是一種驗證過程，要求用戶提供兩個或更多身份證明才能訪問其帳戶。這增加了另一層安全性。例如，企業可以要求用戶提供密碼和發送到不同設備的代碼，然后才允許他們訪問在線帳戶。

7. 定期進行數據備份

備份數據是最具成本效益的網絡安全措施之一，可確保在發生網絡攻擊或計算機問題時能夠恢復重要信息。

8. 確保付款處理安全

企業應與銀行合作，確保使用最值得信賴和經過驗證的工具和反欺詐服務。企業還必須將支付系統與不太安全的程序隔離開來。處理付款和上網時，企業應使用單獨的計算機。

9. 控制物理訪問

公司應防止未經授權的個人訪問或使用公司擁有的計算機。他們還應僅向受信任的 IT 員工和關鍵人員授予管理權限。

10. 購買網絡保險

網絡保險有助于彌補網絡事件造成的經濟損失。它還可以支付因企業遭受攻擊而受到損害的個人或團體提出的索賠。