行业新闻与博客

网络攻击的数量和残酷性都在继续增长-2019年只是即将到来的迹象。这是您列出的 2020年及以后的最新网络安全行业，网络攻击和数据泄露统计数据的 122 个列表

去年，我们在《散列》上为读者发布了第一份全面的网络安全统计列表。这篇文章非常受欢迎，我们希望将其作为年度项目，并发布每年更新的网络安全统计数据。这样，您马上就可以满足所有网络安全数据需求。

今年，我们希望提高赌注，并将我们报告的网络安全统计数字从 80 增加到 122。由于我们使用的是最新信息，因此大多数数据来自 2019年和 2020年的报告，研究和新闻报道-这是一项艰巨的任务。但是，我们很高兴与您分享来自许多世界领先来源和行业领导者的最新信息和有用信息。

那么，有哪些数字和数据来源使我们成为 2020年（以及未来几年）的 122 个顶级网络安全统计信息的清单？

网络攻击的数量和残酷性都在继续增长-2019年只是即将到来的迹象。这是您列出的 2020年及以后的最新网络安全行业，网络攻击和数据泄露统计数据的 122 个列表

网络安全统计：我们选择的 2020年迄今排名前 122 位的统计信息

网络安全统计：行业整体观点和经济前景

网络安全统计：哪些组织正在投资网络安全

网络安全统计：行业在就业方面的地位

网络安全统计：顶级网络攻击和数据泄露统计和趋势

网络安全统计：大量查看受害者和受损记录数据

网络安全统计：2020年迄今为止最大的网络攻击和数据泄露成本

网络安全统计：2019年BEC 骗局，网络攻击和数据泄露的成本

网络安全统计：看一下可能影响您的业务的威胁类型

员工自满或协作问题

资产可见性和管理不佳

国防规避行为

域模拟 / 欺骗

缺乏可见性和强制流程

HTTPS 和网站网络钓鱼

内部威胁（故意或过失）

物联网安全

恶意验证码

密码安全

网络钓鱼

勒索软件

网络应用

网络安全统计：按行业分类的网络攻击统计明细

网络安全统计：IT 和数据隐私合规性和风险管理统计

网络安全统计：按位置划分的网络安全统计

北美

南美洲

墨西哥和中美洲

中东

欧洲

编制 2020年网络安全统计列表

网络安全统计：我们选择的 2020年迄今排名前 122 位的统计信息

在我们开始之前，我想提一件事。在查看任何网络安全统计信息列表时，始终需要考虑的重要事项是：

数据将因来源而异，并且

并非所有网络事件和网络犯罪都得到报告。

对于可能被视为网络事件或数据泄露的事件，各种组织在其报告中使用不同的限定词和方法。此外，研究通常基于他们自己的内部系统数据，客户监视数据或网络犯罪受害者报告的信息或特定行业人员的调查反馈。考虑到要发现某些漏洞或网络攻击可能要花费数周，数月甚至数年的时间（如果完全被发现），这意味着实际数字可能实际上比报告的数字高（或低）。

这些只是为什么您经常会看到一家公司与另一家公司的信息不同的一些原因。考虑到这些因素，以下是 2020年的顶级网络安全统计数据：

网络安全统计：行业整体观点和经济前景

1.商业电子邮件妥协 / 电子邮件帐户损害骗局的成本高达 260 亿美元

哇靠。这是一个令人恐惧的数字！但是，在我们继续研究下一个统计数据之前，让我们更仔细地看一下这个令人不安的网络安全统计数据，以获取一些背景信息。

虽然联邦调查局（FBI）互联网犯罪投诉中心（IC 3）确实报告说，2016年6月至 2019年7月报告的国内和国际损失为 262 亿美元，但我们需要停顿一下，呼吸。

别误会我的意思-这个数字比儿童童谣中所讲的情景还要令人不安。但需要注意的是，这并不是每年260 亿美元的成本，而是根据 IC 3 和国际执法机构的数据在三年内计算出的累计成本。我们只想确保您具有适当的上下文。

那么，BEC / EAC 投诉导致的调整后损失的一年计算结果是什么？IC 3 在其《2019年互联网犯罪报告》中指出，由于 23,775 宗投诉，超过 17 亿美元。

2. 2019年全球网络犯罪损失超过 35 亿美元

好吧，让我们看一下全球网络犯罪成本的一年。同一份 FBI IC 3 2019年互联网犯罪报告的研究表明，仅在 2019年，就报告了超过 35 亿美元的网络犯罪损失。在此期间，IC3 报告指出，企业和个人共报告了 467,351 起事件，其中，最常见的犯罪类型是报告的损失最高，包括：

BEC / EAC 骗局（超过 17 亿美元）

信心 / 浪漫欺诈（超过 4.75 亿美元），以及

欺骗（超过 3 亿美元）。

重要的是要注意，这些网络安全统计信息仅包括报告的攻击和损失数量。这意味着这些网络安全统计数据不包括导致未报告攻击的攻击和损失。考虑到受害人经常没有举报信心 / 浪漫欺诈骗局，这意味着该数字被严重漏报了。

3.在 2020年第一季度的网络钓鱼攻击中，苹果，Netflix 和 Yahoo 占品牌假冒行为的 25％

由于其 iPhone，Apple Watch，华丽的行销以及其他有用的消费技术的普及，Apple 是主导的消费品牌之一。但根据 Check Point 的研究，苹果还是今年第一季度网络犯罪分子最常模仿的品牌。它从 2019年第四季度的先前第七名跃升至第一名，占所有品牌网络钓鱼尝试的 10％。Netflix 紧随其后，占所有网络钓鱼尝试的 9％，雅虎以 6％排名第三。  

4. 2019年有 57％的调查受访者使用了第三方网络安全评估

网络安全评估是使您的网络防御更强大，更有效的关键组成部分。在 Experian 第七次年度数据泄露防范研究的 1,100 名受访者中，超过一半的人表示，他们在 2019年定期进行了“第三方网络安全评估”。尽管这一数字似乎很低，但请记住，这一数字已经增加了约 9％根据他们的数据，在过去两年中。

5. 73％的调查受访者检查访问权限和物理安全性

这使我们在网络安全统计信息列表中排名第五。对于组织而言，专注于其数字安全措施确实至关重要，但这并不是说他们可以忽略或忘记物理安全。在同一项 Experian 违规防范研究中，另有近四分之三的受访者表示，他们定期审查“人身安全和对机密信息的访问”。

尽管让大多数受访者表示他们正在调查和监视这些事情很令人欣慰，但理想情况下，该数字应该是 100％。这是因为每个人都应该努力定期检查组织内部的物理安全性和访问权限，以确保其数据和系统不受到损害。

6.物联网平台收入预测到 2020年将达到 660 亿美元

让我们稍微切换一下齿轮。Juniper Research 在其报告 IoT〜The Internet of Transformation 2020 中预测，今年IoT 平台的收入增长将增长 20％。有趣的是，这家研究公司预计 COVID-19 大流行将在增加医疗保健中的 IoT 应用方面发挥作用。

7.到 2024年，在线支付欺诈将使电子商务每年损失至少 250 亿美元

糟糕……如果这是真的，那将是一个特别痛苦的网络安全统计。Juniper Research 的另一份报告《在线支付欺诈：新兴威胁，细分市场分析和市场预测 2020-2024》显示，电子商务商人因在线支付欺诈而遭受损失的前景并不乐观。他们预计这些损失将在未来四年内超过 250 亿美元，并以 52％的速度增长。

8. 73％的“领先”组织将强大的网络安全视为企业成功的重要因素

经过 AT＆T Cyber​​security 调查的“领先”组织中，有 73％的组织非常同意这样的想法，即组织的安全状况会大大提高其整体业务成功的可能性。但是什么是“领先”组织？AT＆T 网络安全在其 2020年基准报告《安全成熟度与业务支持之间的关系》中定义了该术语，因为这些组织“将强大的网络安全融入了业务，IT 和组织文化中”，并且在 NIST 网络安全框架中趋向于比“跟随”或“新兴”组织。他们还是那些在调查得分中将他们列为调查受访者前 20％的组织。

9.“领先”的组织在优先处理网络安全事件方面的效率提高了 4.3 倍

具备根据业务影响对网络安全威胁和漏洞进行优先级排序的能力，对于每个组织来说都是必不可少的技能……也就是说，如果他们想保持业务发展和所有人的生存状态。AT＆T 网络安全公司的安全性成熟度和业务支持度调查显示，“领先”组织将自己确定为“非常有效”的可能性要高出四倍以上。

网络安全统计：哪些组织正在投资网络安全

网络安全是组织和企业投资的关键领域。除了您的“人为防火墙”之外，网络安全系统和基础设施还将成为组织机构之间的界限（或者，对我的权力游戏迷来说就是一扇门）敏感数据和想要的网络犯罪分子。

那么，这一防线对许多组织意味着什么？在我们的下一部分网络安全统计信息中，让我们看看政府，组织和企业愿意为加强其网络防御投入多少数字，以及这些努力可以提供什么样的成本节省：

10. 2020年全球 IT 支出总额预计将达到 3.9 万亿美元

Gartner 的最新研究估计，到 2019年底，全球 IT 支出将在 2019年增长 3.4％，达到近 4 万亿美元。那么，他们期望哪个行业看到最大的增长？该报告指出，软件的估计增长率将达到惊人的 10.5％。

当然，任何人都猜测，冠状病毒（COVID-19）的影响如何影响与支出相关的估算在年度中实际发挥作用。只有时间会给出答案。

11.美国总统的预算包括 2021 财年188 亿美元的网络安全资金

根据拟议的美国政府 2021 财年预算，特朗普政府计划将近 188 亿美元专用于联邦网络安全计划和计划的支出。预算文件概述了美国国土安全部（DHS）网络安全工作超过 11 亿美元。

当然，与去年非常相似，《2021 财年》预算的《分析观点》文件规定，它不包括所有与网络相关的信息。为什么？“由于某些活动的敏感性，这一数额并不代表整个网络预算。” 基本上，可以归结为关于保护国家安全的标准声明。

12. 2023年信息安全支出预测将超过 1510 亿美元

国际数据公司（IDC）的《全球半年度安全支出指南》中的数据表明，到 2023年，全球安全产品和服务的支出预计将增至 1512 亿美元。这是基于超过 9.4％的复合年增长率（CAGR）估算得出的那个时期。这比他们 2019年的估计支出 1066 亿美元有所增加。

报告指出，就安全工具和解决方案而言，在此预测期内，预计银行业，离散制造业和联邦 / 中央政府将成为全球最大的支出方。

13.到 2025年，欺骗技术市场预计将达到 24.8 亿美元

Mordor Intelligence 的研究预测，在未来五年内，欺骗技术行业的复合年增长率为 13.3％。用来检测和预防高级持续性威胁（APT）的欺骗技术通常将人工智能（AI）和机器学习（ML）集成在一起，使它们更具动态性。

从历史上看，这是美国国家标准技术研究院（NIST）远离的地方。但是去年，他们开始建议在 NIST 特别出版物 800-160 v2 和其 NIST SP 800-171B 草案中使用欺骗技术。

（作者注意：我知道这没什么意思，但是我们《指环王》迷可以花一点时间欣赏这家研究公司的名字吗？）

14. COVID-19 预测会将网络安全市场的平均增长率降低到每年6.2％

网络安全统计图形代表市场增长缓慢

尽管预计网络安全市场仍会增长，但现在预计将以较慢的速度增长。ResearchAndMarkets.com 的《全球网络安全市场分析》称，由于冠状病毒大流行的经济影响，到 2023年，该市场可能每年以 6.2％的速度增长。是的，这种病毒确实困扰着每个人的计划。

15.网络安全预防工作可为企业每次攻击节省 140 万美元

这是 Ponemon Institute 和 Deep Instinct 的一些真正好消息：预防网络攻击的举措可以为组织带来可观的回报。他们的研究表明，您最多可以节省与网络安全生命周期（预防，检测，遏制，恢复和补救）相关的成本的 82％。因此，如果您能够阻止可能使您的企业损失 100 万美元的网络攻击，则可以节省 820,000 美元（1,000,000-180,000 美元的预防成本= 820,000 美元的节省）。

那么，缺点是什么？继续阅读。

16. 76％的安全专业人员专注于检测和遏制而不是预防

因此，尽管 Ponemon Institute 和 Deep Instinct 的研究表明，预防可以为您节省很多时间，但他们调查的网络安全专家中，只有 24％实际上专注于预防。为什么？因为他们认为遏制比预防更“负责”。因此，结果是，大多数网络安全预算都用于网络安全生命周期其他四个步骤中的活动。

17. 93％的组织已经或计划获得 API 网关保护

根据 Cyber​​Edge Group 的 2020 网络威胁防御（CDR）报告，应用程序编程接口（API）网络安全已成为十分之九的被调查用户的关注点。63.1％的受访者表示他们已经在使用 API​​网关 / 保护，另有近 30％的受访者表示他们计划在未来 12 个月内获得它。  

18. 60％的 IT 专业人员认为网络安全预算不足

对于网络安全预算的理解肯定会因组织而异。ISACA 的《 2020年网络安全状况》全球报告中的最新数据表明，有 41％的受访者认为其组织的预算“资金不足”，另有 19％的受访者表示其“预算资金严重不足”。另有 34％的人说，他们认为这是“适当的资金”，而 3％的人则认为预算“有些过剩”。

这是我们希望读者真正注意的那些网络安全统计信息之一……不要小气-将预算分配给需要的地方。我们知道还有其他预算方面的问题，但是如果您的企业因数据泄露或网络攻击而遭受重大打击，则您的声誉（以及整个组织）可能无法承受后果。因此，不要等到废话出错后才做出正确的预算决策。

19. 69％的专家说，网络安全成本的增长是不可持续的

埃森哲第三次年度网络弹性状态调查报告的受访者中有 60％表示，他们在过去两年中加大了对网络安全技术的投资，例如网络安全，威胁检测和安全监控。但是，近十分之七的受访者表示，从长远来看，这些投资保持领先于网络威胁的成本是不可持续的。

网络安全统计：行业在就业方面的地位

招聘和就业实际上是每个行业要考虑的重要领域，网络安全和 IT 也不例外。考虑到这一点，以下是您应该看到的一些与就业和招聘有关的主要网络安全统计数据：

20. 82％的 CISOS 报告称“专业人士”被“烧光”

赛门铁克（现为 Broadcom）与网络安全研究员 Chris Brauer 博士和伦敦大学的 Goldsmiths 合作表示，他们对英国，德国和法国 3,000 多名安全决策者的调查数据表明，五分之四的 CISO 是感觉明显不知所措。此外，有 65％的受访者表示他们觉得自己要为失败做好准备，而 64％的受访者表示他们正在考虑离开工作。

21. 62％的组织的网络安全团队人员不足，57％的职位空缺

代表未填补职位的网络安全统计图形

ISACA 的全球研究表明，在网络安全人员配备和保留方面，许多组织都空缺了许多席位。ISACA 的《 2020年网络安全状况》报告显示，有 62％的受访者表示其组织的网络安全团队人手不足或严重不足，而 57％的受访者表示其团队中的某些网络安全职位仍然空缺。

22. 72％的 IT 专业人员相信其人力资源部门不了解网络安全招聘需求

尽管人力资源部门可能认为他们正在做一个预先筛选网络安全候选人的工作，但由 ISACA 调查的 IT 专业人员中有近四分之三似乎不这么认为。ISACA 2020年网络安全状况报告中的数据表明，IT 专业人员认为人力资源部偶尔（37％），很少（30％）或从不（5％）了解他们的需求。

23. 85％的 IT 专业人员报告至少拥有一份证书

您拥有多少与 IT 相关的认证？员工呢？据 Global Knowledge 称，十分之八的 IT 专业人员表示，他们至少拥有一项与行业相关的认证。这意味着，如果您想招聘，每五位求职者中就有四位至少拥有一张证书，尽管许多专业人员都拥有多种证书。

想知道招聘经理想要什么证书？从行业专家那里查看这些见解。

24.在美国，网络安全劳动力需要增长 62％才能满足需求

您可能已经看到新闻头条和其他网络安全统计文章，谈论网络安全行业的失业率如何徘徊在 0％附近。ISC 2 的《2019年网络安全劳动力研究》的研究还显示，为了使该行业满足美国企业的需求，需要实现显着的就业增长，以弥补现有的近 50 万人的缺口。但是，美国仍然比全球网络安全劳动力处于更好的位置。ISC 2 的估计表明，网络安全劳动力需要增长 145％，才能满足全球企业的需求。  

25. IT 安全设计师 / 工程师的角色是最大的领域 IT 人员缺乏

尽管在很多领域网络安全技能都处于短缺状态，但《 Cyber​​Edge Group 2020年网络威胁防御报告》的研究表明，组织在三个方面遇到的技能短缺最大：

IT 安全架构师 / 工程师（34％），

IT 安全管理员（33.3％）和

风险 / 欺诈分析师（31.8％）。

26.网络犯罪分子以平均每个受害人 $ 3,000 的成本雇用求职者

尽管此特定的网络安全统计信息适用于所有求职者，但我们认为将其包含在本文中也将是一项相关的统计信息。在 FBI 的报告，IC3 受害者已报告的财务损失和损害他们的信用分数为假工作诈骗的结果。根据他们一月份的新闻稿：

“虽然雇用骗局已经存在很多年了，但网络犯罪分子越来越多地使用欺骗性网站来获取 PII 和窃取金钱，这显示出越来越高的复杂性。犯罪分子通常通过与合法雇主和职业介绍所一起做广告来提高其计划的信誉，使他们能够针对所有技能和收入水平的受害者。

网络安全统计：顶级网络攻击和数据泄露统计和趋势

在本部分的网络安全统计信息列表中，我们将介绍一些我们认为您认为会感兴趣的顶级网络攻击统计信息和数据泄露统计信息。本节的重点不是谈论单个网络攻击事件和破坏的财务成本，这些类型的数字将在稍后两部分中进行讨论，这两部分列出了按年份（2020年和 2019年）列出的顶级网络攻击统计数据。  

27.由于 COVID-19 大流行，美国人在 2020年4月的美国自动通话中下降了 29％

网络安全统计数据显示机器人通话次数下降

啊，这是一线希望！据《 YouMail》报道，到 2020年4月，美国人的机器人呼叫减少了近 30％，只有 28.6 亿（尽管我认为甚至只有一个太多）。这可能是因为某些国家 / 地区的国际呼叫中心由于该病毒而关闭。通话减少之后，3月份下降了 30％，2月份下降了近 45％，这与 2019年10月创纪录的 57 亿个通话形成了鲜明对比。

28. 700 万：每天损坏的数据记录数

Varonis 报告说，每天大约有 700 万条数据记录被泄露，每秒有 56 条记录被破坏。这意味着，在平均一天（365 天）中，基于每日的违规次数，每年大约有 25.55 亿条（25.5 亿）条记录被暴露。

29. SonicWall 报告网络钓鱼量在 2019年下降了 42％

SonicWall 的 2020年Sonicwall 网络威胁报告得出的令人惊讶的统计数据表明，去年网络钓鱼攻击的总数大大减少了。部分原因是因为在选择和锁定受害者方面“正在对钓鱼者进行衡量，务实和耐心”。基本上，他们减少了对喷涂方法的依赖，使攻击更加集中，因此更加有效。

30. 2019年观察到 840 万次 DDoS 攻击

根据 NETSCOUT 威胁情报报告：2019年2月的发现，去年每天有超过 23,000 次 DDoS 攻击。Netscout 研究人员将其等同于 2019年每分钟发生 16 次攻击。这实际上是每 3.75 秒进行一次攻击！根据该报告，网络犯罪分子利用了七个“新的或越来越常用的攻击媒介”来帮助他们进行分布式拒绝服务攻击。

31.Deepfake 诈骗：2020年的 2.5 亿美元问题

这可能是我们网络安全统计信息列表中最令人不安的项目之一。作为 2020年网络安全预测的一部分，Forrester Research 预测，与 Deepfake 欺诈相关的成本今年将使全世界损失超过 2.5 亿美元。

如果您不熟悉 Deepfake 技术，则 Deepfake 骗局会使用人工智能（AI）和自然语言生成技术来制作看似真实的人的视频和音频片段。虽然该技术可以用于诸如在餐厅预订等积极的事情（尽管，实际上，我们需要一台计算机来为我们做这项工作有多懒？），但当网络罪犯介入时，问题就来了。

为了进行深层骗局，威胁参与者会使用这些生成的片段来冒充他人，并诱骗网络钓鱼攻击和其他骗局。因此，现在想象一下，当他们在其上使用欺骗策略时。因此，您可以使用听起来像老板的人打来的电话，使用他们的电话号码，而您可能不是一个明智的选择。

尽管我们希望这些骗局不会成为大威胁，因为准备这些攻击之一需要投入大量资源，但不幸的是，我们已经开始看到这项技术的影响。Deepfake 骗局已经证明是成功的，一家不知名的英国能源公司的首席执行官去年因此类骗局损失了 243,000 美元。

32.基于云的 BEC 电子邮件诈骗给美国企业造成的成本高达 21 亿美元

FBI 的 IC 3 团队在 4月报告说，在 2014年1月至 2019年10月之间，他们收到了许多针对 BEC 骗局的投诉，这些骗局针对的是涉及两项基于云的电子邮件服务的美国企业。不幸的是，对于这些受影响的组织而言，这些攻击在此期间造成的实际损失超过 21 亿美元。

但是，到底什么属于基于云的电子邮件服务呢？IC 3 表示这些服务是：

“ […] 托管的订阅服务使用户能够通过电子邮件，共享日历，在线文件存储和即时消息传递等工具开展业务。”

33. 279：识别和遏制数据泄露所需的平均天数

包含数据泄露的速度越快，对财务造成的影响就越小，这已不是什么秘密。但是，考虑到 Ponemon 研究所和 IBM 在其 2019年数据泄露成本报告中的研究表明，在 2019年识别威胁所花费的平均时间为 206 天，并且能够遏制该威胁的平均时间，这并不令人感到安慰那是 73 天。这意味着，在发现和遏制违规所需的近 280 天中，这些成本实际上可能会累积起来。

34. SEGS 无法阻止 99.5％的“非非常规电子邮件欺骗攻击”

我们的网络安全统计信息列表中的下一个主题是有关欺骗的主题。Ironscales 报告称，在两年的时间内，他们研究的几乎所有 100,000 多次经过验证的欺骗攻击都是通过安全电子邮件网关（SEG）进行的。相同的 Ironscale 调查还显示，用于绕过 SEG 的两种最常见的欺骗攻击类型是“准确的发件人姓名假冒”（73.5％）和“类似的发件人姓名假冒”（24％）。 

这只是不断增长的网络安全统计信息列表中的许多要点之一，突显了对员工进行网络意识培训的重要性。技术并不总是能够阻止所有威胁，这就是为什么您的员工需要了解如何通过在与电子邮件中的任何链接或附件打交道之前仔细分析电子邮件来自己识别这些威胁的原因。

35.网络欺诈和滥用在 2020年第一季度增长了 20％，据报道发生了 4.45 亿起攻击

随着围绕着 COVID-19 全球大流行的三环马戏团的安全混乱，网络犯罪分子正忙碌着一天，以牺牲个人和组织为代价。在其 2020年第二季度欺诈和滥用报告中，Arkose Labs 报告了由于该病毒导致的网络欺诈事件激增了 20％。实际上，他们的研究表明，自 2020年初以来已检测到 4.45 亿次网络攻击。

考虑到有关病毒情况的目光还没有尽头，我们很可能会看到这些数字继续增加。

36.到 2020年3月，COVID-19 电子邮件诈骗增加了 650％以上

我知道，您对听到 COVID-19（又称冠状病毒）感到厌倦。但是，重要的是要注意这种流行病在网络安全领域所扮演的角色。这使我们在网络安全统计信息列表中排名第 36。梭子鱼网络公司在 3月报道说，以 COVID-19 为主题的鱼叉式网络钓鱼电子邮件在 3月1日至 3月23日期间飙升了 667％。  

37. 50.55：修复 Web 应用程序严重漏洞所需的平均天数

表示日历上 50 天的图形

根据他们的《2020年漏洞统计报告》，Edgescan 研究表明组织在 2019年报告说，“花费了近八周的时间来纠正面向公共互联网的 Web 应用程序的关键风险漏洞，并花费 49.26 天的时间来解决面向互联网的网络层关键风险漏洞。” 虽然 50 天仍然很长一段时间，但实际上比 2018年减少了 18 天。

38.游戏和 IT 平台到 2020年初的攻击增长 39％

时代在变化，网络罪犯正在改变其行为和攻击手段以进行匹配。根据阿克罗斯实验室（Akrose Labs）的 2020年第二季度欺诈和滥用报告，由于冠状病毒，越来越多的人花费大量时间进行个人和专业的在线交流。因此，他们目睹针对特定行业的网络攻击有所增加，这些行业包括零售和旅行（26％），游戏（23％）和技术平台（16％）。

39.2019年第四季度，礼品卡占 BEC 攻击兑现方法的 62％

网络犯罪分子一直在寻找最容易或最有效的方法来欺骗人们，对于他们获得报酬的方法也可以说同样的话。在我们的网络安全统计列表中的此项目中，Agari 的 2020年第一季度电子邮件欺诈和身份欺骗趋势报告中的数据表明，2019年第四季度近三分之二的企业电子邮件泄露（BEC）攻击涉及通过礼品卡要求受害者付款。第二种最常见的付款方式是直接转帐（电汇），占 22％。

网络罪犯喜欢礼品卡的原因很多，其中之一就是这种数字货币与信用卡和借记卡的反欺诈标准不同。另一个原因是，他们可以掉头出售在网上交易中欺诈获得的礼品卡，从而获利。这些卡也更容易在合法企业中交易和使用-毕竟，大多数商店的员工不会对使用礼品卡的人三思而后行，但是当您使用信用卡进行大额购买时，它们可能会要求提供 ID。

40. BEC 欺诈电汇付款的平均成本超过 $ 55,000

虽然这可能不是最常用的付款方式，但对于 BEC 网络犯罪分子而言，电汇请求到目前为止是最有可能获利的。Agari 的 2020年第一季度电子邮件欺诈和身份欺骗趋势报告指出，虽然平均礼品卡要求为 $ 1,627，但他们要求目标通过电汇支付的平均金额却接近 $ 55,395。这意味着 BEC 欺诈者通过个人电汇请求要比在单独的礼品卡付款中多请求 3,305％！

这些交易如此有利可图的部分原因是 BEC 骗子针对的是大型组织和企业，这些组织和企业定期进行大型电汇，将其作为日常业务交易的一部分。如果有人要求他们购买价值 50,000 美元的礼品卡，可能会三思而后行，但是如果要求他们向供应商进行这种规模的电汇付款，他们可能不会 not 之以鼻，因为他们习惯于以正常业务费用。

41. 44％的“非领导”组织报告其客户记录中至少有 500,000 条暴露

埃森哲的《第三次年度网络抵御状况报告》将他们调查的组织分为两类：领导者和非领导者。第一个包括网络安全计划覆盖其组织 85％的组织；后者包括其网络安全计划仅覆盖一半以上的组织。

考虑到这一点，这些“非领导者”组织中有 44％表示，去年有超过 500,000 条客户记录被暴露。与那些被认为是“领导者”的人形成了鲜明的对比，只有 15％的人表示相同水平的客户数据暴露。

网络安全统计：大量查看受害者和受损记录数据

42.费加罗报数据库错误配置暴露了 74 亿条记录

安全侦探研究员阿努拉格·森（Anurag Sen）及其团队发现了来自法国主要新闻网站 Le Figaro 的巨大数据泄漏。Bleeping Computer 报告说，托管在 Poney Telecom Elasticsearch 服务器上的 8 TB 数据包含各种站点用户的 PII，包括：

全名

地址

电子邮件地址

IP 地址

密码（明文形式，使用 DM5 散列）

Le Figaro 的员工和记者属于其中一些公开的数据，例如全名和电子邮件地址。研究人员说，2020年2月至 2020年4月之间访问的新帐户和现有帐户都是这些记录的一部分。圣心大教堂！

黑暗网络上出售的 43100 万个 Tokopedia 帐户和密码

在 Breach 之下，一家网络安全公司与 BleepingComputer 分享了一个黑客正在向 9100 万 Tokopedia 用户出售帐户和密码缓存的情况。成本？仅需 $ 5,000。本文报告说，尽管 PostgreSQL 数据库字段中只有一小部分实际上包含敏感数据：

“最严重的公开数据包括用户的电子邮件地址，全名，生日和散列的用户密码。一些公开帐户也列出了他们的移动设备的移动台国际订户目录号（MSISDN）。”

44. Aptoide 数据泄露泄露了超过 2000 万条客户记录

第三方 Android 应用商店 Aptoide 于 2020年4月报告其数据库被盗，导致超过 2000 万条客户记录被曝光。该公司报告说：“除了用于登录的电子邮件地址和加密密码外，数据库中  没有 Aptoide 用户的个人数据。”

哦，这令人放心... 仅公开您的登录名和密码。考虑到很大一部分用户表示他们在多个帐户中重复使用密码和登录凭据，因此许多受影响的用户应该关注这一点。  

45. 2019年数据泄露中暴露的记录超过 150 亿条

去年是数据泄露活动的又一个“有史以来最糟糕的一年”，基于风险的安全性在其《2019年年终报告数据违规快速查看》中进行了报告。考虑到该公司报告发生了 7,098 起违规导致曝光超过 151 亿条记录，因此该声明是可以预期的。  

尽管违规数量本身仅比 2018年略有增加，但暴露记录的数量比 2018年报告的暴露记录跃升了 284％，与 2017年报告的相同数据相比增长了 91％。

46. 2019年报告 920 万可疑电子邮件

虽然这看上去可能不如您到目前为止在此网络安全统计信息列表中看到的一些数字那么糟糕，但要注意的重要一点是，该数字仅表示 Proofpoint 客户最终用户在以下位置报告的可疑电子邮件。 2019年。这比他们去年的报告增加了 67％。而且，这仅仅是与一个公司的客户相关的最终用户。但是，至少，它为整个行业的发展提供了一些视角。

47. 425 GB 的敏感记录由于金融公司的不安全数据库而泄漏

ZDNet 报告称，作为 425 GB 宝库的一部分，暴露了超过一半的敏感和机密的财务和法律记录。由 vpnMentor 的研究小组发现的数据来自与 MCA 向导相连的开放数据库，MCA 向导是由 Argus Capital Funding 和 Advantage Capital Funding 开发的应用程序。根据 ZDNet 的报告，AWS S3 存储桶缺乏基本的安全措施，例如加密，身份验证措施或访问凭证。

48. 2019年袭击事件中 1,060 万米高梅度假村客人的 PII 受到损害

2020年2月，ZDNet 报告称，米高梅度假村表示，到 2019年，已经从云服务器访问了 10,683,188 位前访客的个人身份信息（PII）。大部分公开的信息包括访客的姓名和电话号码。

根据 ZDNet 报告：

“除了定期的游客和旅行者的详细信息外，泄露的文件中还包括名人，技术首席执行官，记者，政府官员和一些世界上最大的高科技公司员工的个人和联系方式。”

49.巴西生物识别公司在不安全的服务器上暴露了 8150 万条记录，其中包括指纹

生物识别数据的使用通常被认为是安全认证最安全的形式之一。生物识别技术包括各种识别因素和技术，例如视网膜扫描，面部识别软件和指纹扫描。但是安全侦探的研究人员 Anurag Sen 和他的团队在属于巴西生物识别解决方案提供商 Antheus Tecnologia 的不安全 Elasticsearch 服务器上发现了 16 GB 的数据。该数据库包括 76,000 个指纹，以及员工公司的电子邮件和电话号码

根据 .NET 的报告，Antheus Tecnologia 表示服务器上没有任何敏感数据，并且指纹并非来自客户，实际上是其开发团队和 NIST 公开提供的数据。

50.美国联邦 SBA 贷款计划数据泄露暴露了将近 8,000 名企业申请人

好像许多小企业由于冠状病毒的情况还没有挣扎一样，事实证明，联邦政府的经济伤害灾难贷款（EIDL）计划的网站是数据泄露的根源。3月份，管理计划申请的小型企业协会（SBA）向受影响的申请人发出了信函，通知他们他们的个人识别信息，财务和保险信息可能已经暴露。

这怎么可能？归结为一个 Web 应用程序缺陷。只需在在线贷款申请过程的第一轮中单击“后退”按钮，即可使该应用程序显示以前申请人输入的信息。

关于谁看到了谁的信息，或者泄露的信息是否被恶意使用，还没有任何告诉。只有时间会给出答案。

51.通过应用推广网站泄露的 650 万以色列选民的个人身份信息

新闻机构 Haaretz 报道，通过有缺陷的软件为一个名为 Elector 的投票应用程序泄漏了 6,453,254 名以色列选民的个人数据。泄漏的信息包括重要信息，包括：

全名

身份证号码（类似于美国的社会安全号码）

性别

电话号码

其他未指定的个人详细信息

据《纽约时报》报道，该软件漏洞使得不仅可以查看而且可以下载整个选民登记册。根据联合国的最新数据，考虑到整个国家的人口估计约为 860 万，我们所说的是该国大多数人口。

52. 530,000+ 在线销售（或已获赠）的受损缩放帐户

Zoom 不太安全的加密一直是争论的热点。但是更多的人们感兴趣的是，据 Bleeping Computer 称，有超过 50 万个 Zoom 帐户通过暗网和黑客论坛兜售，每个帐户的价格低至 0.0020 美元。

这些帐户是通过“凭据填充攻击获得的，其中，攻击者试图使用在较早的数据泄露中泄露的帐户来登录到 Zoom。” Bleeping Computer 报告称，网络安全公司 Cyble 的研究人员向他们通报了该漏洞。  

53. 160,000 个通过旧版网络帐户破坏的 Nintendo 用户帐户

前面我们提到，对游戏行业的网络攻击正在增加。这是其中一个例子。日本游戏公司 Nintendo 报告通过 Nintendo 网络 ID（NNID）未经授权访问了大约 160,000 个帐户。受损的信息包括昵称，出生日期，国家 / 地区和电子邮件地址。但是，据报道在违反期间没有信用卡信息被访问。

网络安全统计：2020年迄今为止最大的网络攻击和数据泄露成本

54.黑客要求 A-Lister 律师事务所提供 4,200 万美元的赎金

第六页报道说，全球主要名人使用的一家纽约娱乐律师事务所是勒索软件攻击的目标。攻击者是一个以 REvil 为名的黑客组织，最初要求他们支付 2100 万美元的 Grubman，Shire，Meiselas＆Sacks，以防止他们从公司名人客户的 756 GB 高速缓存中释放文件，这些文件包括客户的机密文件，电子邮件和他们偷走的合同。该文章认为，黑客的赎金要求此后翻了一番，达到 4200 万美元。

根据该律师事务所对第六页的声明：

“尽管我们在最先进的技术安全上进行了大量投资，但外国网络恐怖分子入侵了我们的网络，并要求提供 4200 万美元的赎金。我们直接与联邦执法部门合作，并将继续与世界领先的专家全天候合作，以解决这种情况。”

他们是否决定付钱-这听起来并不像律师事务所愿意支付的-还有待观察。我们只需要保持警惕，看看情况如何。

55.三起 BEC 袭击使波多黎各政府损失了 400 万美元

根据美联社的报告，波多黎各政府在 2020年1月的三起独立的企业电子邮件泄露攻击中共损失了超过 400 万美元。其中仅 260 万美元是针对波多黎各工业发展公司的一次攻击。 ，以及另外 150 万美元的目标是波多黎各的旅游公司-两者都是政府所有的组织。

56. Shark Tank 投资者 Barbara Corcoran 因 BEC 骗局损失近 400,000 美元

2020年2月，一名网络罪犯决定从房地产大亨和商业投资者芭芭拉·科克伦（Barbara Corcoran）手中夺取一口小吃。据《人物杂志》报道，她是成功的企业电子邮件泄露（BEC）骗局的受害者，该骗局使她损失了 388,700.11 美元。该袭击后来被追溯到一个中国 IP 地址，发生在犯罪分子冒充 Corcoran 的助手时，向 Corcoran 的簿记员发送了一封电子邮件，要求电汇以支付房地产翻新费用。

值得庆幸的是，对于《柯克伦》，《今日美国》报道说这笔钱已经归还了。那么，攻击最初是如何发生的？在美国的文章中，Corcoran 说：

“没有人知道的细节是我助手的电子邮件地址被一个字母拼写错误，使它成为骗子设置的虚假电子邮件地址。”

57.美国人以冠状病毒为主题的骗局损失了 2444 万美元（到目前为止）

好像这个数字本身还不够糟糕-请记住，这可能仅仅是个开始。在美国联邦贸易委员会（FTC）的报告，它们记录了接近 2500 万 $ 的总损失 1月1日和 2020年5月5日之间的 36238 个投诉。投诉最多的州包括加利福尼亚州（4,010），佛罗里达州（2,515），纽约（2,220），德克萨斯州（2,196）和马萨诸塞州（1,515）。

网络安全统计：2019年BEC 骗局，网络攻击和数据泄露的成本

58. 392 万美元是数据泄露的平均总成本

图：平均数据泄露成本

尽管这项研究来自 2019年，但 Ponemon 研究所和 IBM 的《2019年数据泄露成本报告》仍然是获取与数据泄露相关的最新成本估算的重要资源。他们的数据报告每个数据泄露的平均总成本为 392 万美元，每条丢失的记录的成本为 150 美元。

他们的报告还表明，生命周期少于 200 天的违规行为要比生命周期超过 200 天的违规行为少花费 120 万美元。

59. 3,700 万美元—丰田子公司在 2019年8月因 BEC 骗局而损失的金额

对于网络安全而言，对于丰田汽车及其子公司而言，2019年并不是丰收的一年。Proofpoint 报道说，丰田汽车制造公司的子公司 Toyota Boshoku 因 BEC 骗局而损失了数千万美元。

根据丰田纺织株式会社的新闻稿：

“最近发生的一起涉及来自恶意第三方 [...] 欺诈性付款指示的案件，导致我们在欧洲的子公司蒙受了财务损失。”

60.《日经美国》在 2019年9月的 EAC 攻击中损失了 2900 万美元

日本媒体集团的美国子公司《日经美国》（Nikkei America）是基于电子邮件的攻击的目标。Nikkei，Inc.（Japan）报告说，其美国子公司的一名员工根据通过电子邮件收到的伪装成公司高管的指示进行电汇。

官方声明说，他们“正在立即采取措施保存和追回已转移的资金”，但没有任何后续行动表明他们的努力是否成功。

61.德州学区因网络钓鱼诈骗损失 230 万美元

看起来，网络罪犯决定尝试在我们的网络安全统计信息列表中尝试这一点，以“教育”教育系统。据美国有线电视新闻网（CNN）报道，庄园独立学区（Manor Independent School District）在 Twitter 上报告称，由于网络钓鱼诈骗，它损失了约 230 万美元。该攻击涉及三项欺诈交易，于 2019年11月发生，但直到 2020年1月才公开报道。  

62.科罗拉多州伊利市的一家建筑公司 BEC 骗子损失 101 万美元

不幸的是，网络犯罪分子非常有创造力，总是想出新的方式来捣乱企业。据《丹佛邮报》报道，在这种特殊情况下，一个骗子装作是一家本地建筑公司，已经完成了伊利公园路大桥的工作。犯罪分子通过镇上的网站提交了在线请求，要求将来为完成的工作支付任何电子付款。然后，将两笔总金额超过一百万美元的款项通过电子方式连接到网络犯罪分子的帐户，然后将其转移到其他地方。

安全情报还报告说，即使该镇制定了指导方针，但接受更改后的付款信息表格的工作人员仍未遵循这些指导原则。

63.中国风险投资公司因精心设计的骗局损失了 100 万美元的种子资金

据 Check Point 报道，一家与一家以色列初创公司达成交易的中国风险投资公司因精心策划的针对性网络钓鱼活动而损失了 100 万美元，该网络钓鱼活动使用了 BEC 策略，相似域名和 MitM 攻击。威胁参与者不仅使用欺骗性电子邮件与两组通信，同时冒充双方的真实联系，而且网络罪犯还注册了两个假冒域名，这些假冒域名与该组织的网站几乎相同。

整个攻击涉及攻击者和两家公司之间的 32 封电子邮件-近三打邮件！

网络安全统计：看一下可能影响您的业务的威胁类型

网络犯罪分子一直在寻找新的和有创造力的方法来侵害他们的目标。有时，它只是通过对旧骗局应用新策略，在猪身上涂上新的口红。但是，无论他们使用何种策略，企业，政府机构和消费者都应由我们来教育自己和我们的员工有关这些威胁的知识。

接下来，在我们的网络安全统计信息列表中，我们汇总了一些类别或领域，以在增强您的网络防御能力时加以注意：

员工自满或协作问题

64. 63％的新兴组织忽略了超过 25％的安全事件和警报

AT＆T 网络安全公司先前引用的“安全成熟度与业务支持之间的关系”研究基准报告显示，将近三分之二的领先组织忽略了超过 25％的安全警报和事件，因为对每个警报进行投资都是“不切实际的”。超过一半（52％）的以下组织和 27％的领先组织表示相同。  

65. 77.4％的受访者表示其 IT 和安全团队之间存在不良关系

在使组织的网络安全计划和计划最有效时，协作至关重要。但是，根据 VMWare Carbon Black 的 2020年3月《网络安全展望报告》，在 IT 和安全团队之间的协作中，并不是所有的阳光和彩虹。由 Forrester Consulting 进行的这项研究表明，超过四分之三的调查受访者认为两组之间的关系很糟糕。

66. 55％的组织说协作需要成为重中之重

至少，好消息是，大多数组织都意识到协作是改善整体网络安全的关键。VMWare Carbon Black 的《网络安全前景报告》中的数据表明，超过一半的调查受访者表示，他们希望明年IT 和安全团队之间的协作成为重中之重。

资产可见性和管理不佳

67. 74％的组织不知道他们拥有多少个数字密钥和证书

KeyFactor 和 Ponemon Institute 的 2020年公共密钥基础设施研究报告中将近四分之三的受访者表示，他们的组织并不了解他们实际拥有或使用的密钥和数字证书的总数。为什么？因为他们缺乏对其 PKI 证书管理的了解。这包括使用 X.509 数字证书，例如 SSL / TLS 证书。

因此，如果您不知道拥有多少个证书（更不用说在哪里找到它们或它们何时过期了），如何在它们过期之前进行管理或续订？简而言之：你不能。

68. 64％的专业人员不了解其组织的所有端点和 Web 应用程序

多么令人不安的想法。如果三分之二以上的员工不知道您的组织有多少个 Web 应用程序或终结点怎么办？Edgescan 的 2020年漏洞统计报告中调查的大多数专业人员都是这种情况。当然，使情况更糟的是，有 68％的人似乎认为他们的可见度水平是行业内的“平均水平”。

国防规避行为

69. 90％的经过分析的恶意软件证明了防御规避行为

就在您认为恶意软件和勒索软件的问题不会变得更糟时，VMWare Carbon Black 出现了攻击者行为数据，将数据挖掘得更深了。他们的报告根据 MITER ATT＆CK™框架绘制了攻击数据，报告指出，在他们分析的 10 个恶意软件样本中，有 9 个观察到了防御逃避行为。这表明网络罪犯的方法越来越隐蔽，并且正在积极尝试绕过旧版安全解决方案。在 95％的勒索软件样本中都观察到了这种行为。

70. 48％的恶意软件演示了软件包装和用于防御规避策略的隐藏 Windows

软件包装是“压缩或加密可执行文件的一种方法”（根据 MITER 的说法），是 VMWare Carbon Black 在对 2019年顶级恶意软件行为进行分析时观察到的最常见的恶意软件逃避行为。该类别涵盖了 26％的样本，隐藏的窗口占 22％。

域模拟 / 欺骗

71.域模拟攻击在 4 个月内增加了 400％

梭子鱼研究人员在 2020年1月报告说，他们发现与对话劫持有关的域模拟攻击发生了巨大变化。该公司报告称，他们在 2019年7月每周检测到约 500 起此类攻击，但在 2019年11月，每周发生此类攻击的次数增加了三倍，达到 2,000 多次。

他们的研究表明，这种跳跃意味着仅在 2019年7月就发生了 2,000 多次攻击，在 2019年11月发生了 8,500 次攻击。（根据文章中数据的显示方式，源文章中的数字尚不清楚，所以我直接联系梭子鱼以进行澄清。）

缺乏可见性和强制流程

72. 46％的专业人员将第三方访问和可见性视为阻碍 IT 安全响应的障碍

响应益百利第七次年度数据泄露防范研究的专业人员中，将近有一半的专业人员表示，“缺乏能够访问我们数据的第三方的安全流程”是其数据泄露响应能力的主要障碍。此外，有 60％的受访者表示，最大的障碍之一是“缺乏对最终用户访问敏感和机密信息的可见性”。

HTTPS 和网站网络钓鱼

73.每 20 秒就会有一个新的网络钓鱼站点上线

Wandera 在其 2020年移动威胁态势报告中报告说，仿冒网站网络钓鱼还不是一个足够的问题，它每 20 秒启动一个新的网络钓鱼站点。这是每分钟三个新站点，这些站点专门用于受害者和窃取用户信息！

74. 74％的网络钓鱼网站通过 HTTPS 协议提供服务

仅仅因为您使用加密连接连接到网站并不意味着您的数据安全。了解您要连接的站点或组织也很重要（如果不是更多的话）！反网络钓鱼工作组（APWG）2019年第四季度网络钓鱼活动趋势报告使用 PhishLabs 的数据报告，现在所有网络钓鱼站点的近四分之三现在使用通过 SSL / TLS 协议的加密连接。

75. 60％的网站使用 HTTPS 作为默认协议

我们很高兴地说，HTTPS 协议的使用正在增长。W3Techs 使用情况统计数据显示，截至 2020年5月8日，所有站点中近三分之二使用 HTTPS 协议作为默认站点。这个数字比 2019年5月的 50％多一点。但是，棘手的是，这些网站中有一些将进入恶意网站。这就是为什么通过 SSL / TLS 证书在您的网站上声明组织身份以帮助网站访问者确定您的网站是合法网站还是假网站的重要性。

内部威胁（故意或过失）

76.涉及内部威胁的网络事件自 2018年以来增长了 47％

众所周知，人类通常是您安全防御中最薄弱的环节，但是 Ponemon Institute 的最新研究进一步证实了这一主张。在以 ObserveIT 和 IBM 名义发布的 2020年内部威胁成本全球报告中，他们的发现表明内部威胁的威胁正在迅速增长-在过去两年中增长了近 50％。此外，他们的研究表明，与这些安全威胁相关的平均年成本同期增长了 31％，达到 1,145 万美元。

77.自 2017年以来，与内部威胁预防和调查相关的成本增加了 60％

Ponemon Institute 的《 2020年内部威胁成本全球报告》（由 ObserveIT 和 IBM 赞助）还表明，组织在检测和调查与内部威胁相关的活动方面的支出大大增加。具体而言，自 2018年以来，金融服务业内部威胁的成本已增加 20％以上，达到 1,450 万美元。

78.内部威胁和内部攻击是最大的 IT 安全挑战之首

在判断其组织的功能安全级别时，《 Cyber​​Edge Group 2020年网络威胁防御报告》的受访者表示，他们最大的挑战与令人担忧的员工行为有关。他们将发现流氓内部人员和内部威胁的难度作为最大的担忧。其次是缺乏用户安全意识。这可能归结为缺乏内部资源，他们无法将其用于培训和监控员工。

79.人为错误造成的数据泄露使组织平均损失了 350 万美元

人们被认为是组织最大的网络安全漏洞，这已不是什么秘密。Ponemon Institute 和 IBM 的《2019年数据泄露成本报告》中的数据并没有消除任何担忧。实际上，他们在研究中分享的许多网络安全统计数据都进一步强调了这种担忧。这是因为他们的研究表明，人为错误导致数据泄露，平均造成 350 万美元的损失。

尽管这个数字超过了他们估计的系统错误或故障成本（平均 324 万美元），但仍至少比恶意和犯罪攻击的平均成本（445 万美元）低。

80. 90％的在职成年人使用雇主发行的设备从事非工作活动

根据 Proofpoint 的《 2020年用户风险报告》，十分之九的工作成年人表示使用雇主发放的设备进行个人活动。大约一半的受访者还表示，他们还使他们的朋友和家人也可以使用这些设备。

物联网安全

到 2024年，预计将建立 830 亿个 IoT 连接

Juniper Research 的最新数据表明，到 2024年，物联网连接的总数将达到 830 亿。这比 2020年的 350 亿连接的估计数要高，这意味着未来四年将增长 130％。在此期间，包括农业，制造业和零售业在内的工业部门预计将占这些联系的 70％以上。

82. SonicWall 在 2019年观察到的 IoT 恶意软件仅增长 5％

虽然 SonicWall Capture Labs 的威胁研究人员在其 2020年Sonicwall 网络威胁报告中报告说 IoT 恶意软件仅温和（5％）增长（相当于大约 3,400 万次攻击），但 SonicWall Capture Labs 威胁研究人员表示，这并不意味着您可以放松警惕。实际上，您应该为此类攻击增加的可能性做准备。  

有关其他特定于 IoT 的网络安全统计信息，请务必查看我们的文章 20 您还不知道的令人惊讶的 IoT 统计信息。

恶意验证码

83.一个网络钓鱼活动使用伪造的 ReCaptcha 邮件超过 128,000 封

正如我们前面提到的，网络犯罪分子一直在尝试给猪添加新的口红。在这种情况下，梭子鱼研究人员报告说，使用恶意 reCaptcha 阻止检测的网络钓鱼电子邮件诈骗正在上升。该公司分析的一个电子邮件网络钓鱼活动包含“使用这种技术掩盖伪造的 Microsoft 登录页面的电子邮件超过 128,000 封。” 

根据文章所述，“ reCaptcha 墙可防止自动 URL 分析系统访问网络钓鱼页面的实际内容。” 因此，从本质上讲，网络罪犯正在阻止电子邮件安全系统识别恶意网站。

密码安全

84. 65％的用户在多个帐户中使用相同的密码

未知密码的图形

面对如此多的 PSA，警告人们注意重用密码的危险以及密钥管理器的可用性，我们感到愤怒的是，这个数字仍然很高。根据 Google 和 Harris Poll 在 2019年2月进行的在线安全调查，有 52％的用户报告在多个帐户中使用相同的密码，另有 13％的用户报告在所有帐户中重复使用相同的密码。

85. 24％的调查受访者使用密码管理器

同一份 Google / Harris Poll 2019年2月在线安全调查还报告说，不到四分之一的受访者表示他们使用密码管理器。令人惊讶的是，更可能依赖密码管理器的人是 50 岁以上的人。 

网络钓鱼

86. 94％的恶意软件通过电子邮件传递

根据 Verizon 的《2019年数据泄露调查报告》（DBIR），每 10 个恶意软件实例中就有近 9 个使用电子邮件作为传递方法。在这些类型的恶意软件中，有 45％是 Office 文档。

87. 86％的电子邮件攻击缺少恶意软件

坏消息是，每 10 个基于电子邮件的网络攻击中几乎有 9 个没有使用恶意软件，这意味着它们更有可能通过您的电子邮件安全防御程序来进行攻击。在真正的坏消息是，网络犯罪分子正在使用其他的战术，这只是意味着拉断他们的攻击。来自 FireEye 的数据表明，网络犯罪分子更普遍地使用鱼叉式网络钓鱼和各种基于模仿的攻击来实现其目标。

88. 37.9％的用户未通过网络钓鱼测试

从数据 KnowBe4 的网络钓鱼行业基准报告表明，近 38％未经过培训的最终用户很容易受到钓鱼攻击将失败钓鱼测试。这一增长大大超过了其 2019年报告的 8.3％。

那么，有什么好消息吗？

就在这里。KnowBe4 的“网络钓鱼高发百分比”（PPP）数据表明，基于计算机的培训和模拟网络钓鱼测试可以帮助提高这些数字：

“经过一年的每月模拟网络钓鱼测试和定期培训，PPP 进一步下降到仅 4.7％。在所有行业中，从基准测试到 12 个月的培训和测试，平均改善率均为 87％。”

89.超过 3,900 个唯一用户在 7 个月内遭受了手机银行网络钓鱼攻击

Lookout 的最新数据表明，将近 4,000 名受害者因仅通过手机发送的网络钓鱼攻击活动而遭受攻击，该攻击通过 SMS 消息针对移动银行用户。威胁者将网络钓鱼链接发送到假冒网站，这些假冒网站冒充北美知名银行，以捕获其敏感信息和登录凭据。他们的研究表明，全球袭击的范围很广，美国受到的打击最大。

90. 87％的成功网络钓鱼攻击是通过电子邮件以外的方法进行的

正如您从我们的网络安全统计信息列表中看到的那样，网络钓鱼不仅仅通过电子邮件发生。Wandera 在其 2020年移动威胁态势报告中报告说，成功的网络钓鱼攻击中，近十分之九不依赖电子邮件，并且经常通过其他攻击途径进行操作。因此，尽管对用户进行网络钓鱼电子邮件的危害教育非常重要，但至关重要的是，不要将用户的教育仅限于电子邮件问题。另外，一定要教育他们有关网络钓鱼（语音网络钓鱼），网络钓鱼（SMS 网络钓鱼）和其他网络钓鱼攻击方法的危险。

要查看与网络钓鱼统计数据有关的更多信息，请务必查看我们的文章网络钓鱼统计数据：2020年要了解的 29 个最新网络钓鱼统计数据。

勒索软件

91.勒索软件攻击的成本在 2019年突破 75 亿美元

根据 Emsisoft 的《 2019年美国勒索软件状况》报告，美国各地的医疗保健提供商，各种政府组织和教育机构都认为勒索软件攻击造成了 79 亿美元的损失。

92. 85％的 MSP 将勒索软件视为对 SMB 的常见威胁

Datto 的《全球渠道勒索软件状况报告》中的数据表明，五分之四的托管服务提供商（MSP）将勒索软件攻击确定为对中小企业（SMB）的主要恶意软件威胁。

93. 20％的中小型企业报告是一种或多种勒索软件攻击的受害者

Datto 的《全球渠道勒索软件状况报告》还指出，五分之一的 SMB 报告其组织遭受了持续的勒索软件攻击。

94.尽管新的勒索软件系列有所减少，2019年检测到的勒索软件仍增加了 10％

趋势科技报告称，2019年对新勒索软件系列的检测下降了 57％。但是，尽管新家庭数量有所减少，这家 IT 安全公司表示，他们发现同一时期的检测数量增加了 10％。这意味着网络犯罪分子正试图使用​​更少种类的勒索软件进行更多攻击。

95.勒索软件在 2019年第四季度将平均停机时间增加到 16.2 天

对于任何组织，无论规模大小，停机时间都是代价高昂且令人沮丧的经历。但是，它的影响远不只是金钱和时间，它还给您的声誉以及用户和消费者对您的信任造成了严重损失。根据 Coveware 的 Q4 勒索软件市场报告，由勒索软件攻击导致的停机时间在 2019年最后一个季度跃升至平均 16.2 天，比上一季度的平均 12.1 天明显增加。

有关其他勒索软件的统计信息，请务必查看我们的文章勒索软件统计信息，您无力抵抗阅读。

网络应用

96. 2019年Web 应用程序攻击增加 52％

SonicWall Capture Labs 在其 2020年SonicWall 网络威胁报告中报告说，Web 应用程序攻击年同比增长了一倍以上。攻击的主要爆发发生在 5月之后，使 Web 应用程序攻击的总数超过了 4000 万。攻击的主要途径包括 SQL 注入，破坏的身份验证和会话管理，跨站点脚本（XSS）等。

97. SQL 注入解决了常见的面向 Internet 的严重漏洞中的 42％

与其他注入攻击一样，SQL 注入涉及将数据注入到输入字段中以影响预定义命令的执行。但是，在这种情况下，它们特别涉及 SQL 命令的使用。Edgescan 在其 2020年漏洞统计报告中报告说，去年，SQL 注入占面向互联网的 Web 应用程序中最常见的关键漏洞的 42％（五分之一）。

网络安全统计：按行业分类的网络攻击统计明细

我们知道—虽然一般而言阅读网络安全统计数据很有趣，但是阅读专门适用于您的行业的统计数据则要有用得多。这就是为什么我们汇总了一些特定于行业的网络安全统计信息，从而可以了解您的组织以及其他类似组织所面临的威胁或状况的类型。

98.到 2023年，三大行业预测将占安全支出的 30％

我们的网络安全统计信息列表中此部分的第一部分包含多个行业。IDC 的《全球半年度安全支出指南》的研究表明，预计 2019年至 2023年全球安全支出中将近 30％来自银行业和离散制造业以及联邦 / 中央政府。

99.医疗保健数据泄露成本平均为 645 万美元

根据 Ponemon Institute 和 IBM 提交的 2019年数据泄露成本报告，就每次泄露的平均总成本而言，医疗保健是最昂贵的行业。他们还拥有最长的数据泄露生命周期（识别和遏制泄露所需的时间）为 329 天。

2019年将有 100.700 名医疗保健提供者，110 个政府和机构成为勒索软件的受害者

趋势科技的数据表明，勒索软件威胁参与者具有医疗保健和政府职能。去年，有 700 多家医疗保健提供商受到了勒索软件攻击，这些类型的攻击以及其他网络攻击正在造成威胁生命的情况。同时，该公司报告说：“至少有 110 个美国州和市政府和机构成为勒索软件的受害者。”

但是，什么使这些组织处于如此危险之中？通常，它归结为：

缺乏安全意识和卫生习惯，

对老化和过时的旧系统的依赖。

您会认为，在 2017年WannaCry 攻击使全世界的医疗保健组织和政府机构瘫痪之后，这些类型的组织将更主动地更新其操作系统并修补漏洞。但是我想有些课程比其他课程更难学……   

101. 2020年初，对能源 / 公用事业组织的勒索软件攻击增加了 32％

VMWare Carbon Black 的《 2020年网络安全前景报告》中的数据显示，尽管 2019年是针对医疗保健提供商（764）和州及市政府和机构（113）的明显攻击的一年，但 2020年前三个月针对攻击的攻击明显增加了另一个垂直方向：能源 / 公用事业。

根据报告：

“能源 / 公用事业和政府部门的明显飙升表明，随着地缘政治紧张局势的加剧，对这些部门的攻击也在加剧，这些部门通常充当关键基础设施并为广大人口提供关键服务。”

102. 2019年第四季度，SaaS / 网站占最具针对性的网络钓鱼行业的近 31％

网络犯罪分子喜欢获得对电子邮件帐户的访问权限已不是什么秘密。因此，从某种意义上说，根据 APWG 的《 2019年第四季度网络钓鱼活动趋势报告》，成为网络钓鱼目标第一的不受欢迎的“荣誉”流向了 SaaS / webmail。其次是支付行业（19.8％）和金融机构（19.4％）。

103.附带损害：卫星电信的 DDoS 攻击增加 295％

与其他组织共享 IP 空间很糟糕，我不得不说，到 2019年底，没有人能比卫星电信业意识到更多。NetScout 的 NETSCOUT 威胁情报报告 2H 2019 报告说，对卫星电信进行 DDoS 攻击的频率激增下半年将近 300％。为什么？他们将这一增加归因于 DDoS 攻击的泛滥，该攻击在此期间影响了欧洲和亚洲未成年人的金融组织。

根据报告：

“通过与没有自己的 IP 空间的组织共享大型网络块，卫星电信提供商遭受了这些攻击的严重附带损害。”

网络安全统计：IT 和数据隐私合规性和风险管理统计

如果每个组织都想坚持下去，那么管理和缓解风险就至关重要。部分原因可以归结为符合数据安全和隐私法规-法规遵从不是可选的。尽管并非所有数据隐私和加密法律和法规都适用于每个组织或企业，但您和您的员工必须知道哪些是适用的。

例如，如果您处理受保护的医疗或健康相关信息，则需要熟悉 HIPAA。如果您的公司处理通过支付卡支付的款项，那么您需要了解 PCI DSS 合规性要求。更不用说 GDPR，CCPA，NYDFS…清单还在不断增加，并且随着越来越多的国家和州制定新的法律法规，该清单正在不断增长。

关于这一点，以下是一些我们认为对此主题感兴趣的适用网络安全统计信息：

104. 52％的法律和合规负责人担心与 COVID-19 相关的网络安全风险

我们知道您可能不愿意听说冠状病毒，但我们生活在陌生的时代。由于持续的冠状病毒情况，许多企业（即使只是暂时的）也正在采用远程员工队伍。对 Gartner 对 145 位合规人员和法人领导人进行的调查的回应表明，随着越来越多的组织被迫允许其员工远程办公，组织领导人对日益增长的第三方网络安全风险感到担忧。他们的关注范围从使用不安全的网络到贿赂和腐败的威胁到欺诈和隐私风险。

105.到 2023年，超过 40％的隐私合规技术预计将使用 AI

Gartner 的另一项调查估计，人工智能（AI）在未来三年内将在隐私合规性技术中扮演更重要的角色。近年来，随着人工智能（AI）的进步，以及日益严格的数据隐私和安全相关法律法规的出台，以及网络安全行业对 AI 的日益依赖，这似乎是合规性和风险管理中合乎逻辑的下一步。

106. 67％的企业调查受访者认为数据可见性是最大的挑战

不管规模大小，敏感数据的处理对于企业来说都是一个问题。根据 Ponemon Institute 的 2020年全球加密趋势研究，超过三分之二的受访者表示，其组织最大的挑战是查找敏感信息。另外 31％的人认为，识别和分类要加密的数据是另一个重大挑战。

107.只有 36.7％的全球组织表示维护了对 PCI DSS 的完全合规性

该图表示 PCI DSS 合规性

这是一个令人不安的趋势，但这是您需要知道的趋势，这就是为什么我们将其纳入网络安全统计信息列表的原因。根据 Verizon 的《2019年支付安全报告》（PSR），略有超过三分之一的受访组织表示，他们正在积极维护 2018年的支付卡行业数据安全标准（PCI DSS）计划。与 2016年中期验证期间报告 100％达标的 55.4％相比，这是大幅下降！

108.数据保护合规性计划：高级 20％，优化 0％

Verizon 的《 2019年支付安全报告》报告说，在接受调查的 55 个组织的 2018年PSR 中，只有五分之一的人将其 PCI 数据保护合规性计划（DPCP）评为“高级”。更糟糕的是，他们都没有将程序的成熟度评为“最佳”。

尽管很少有组织拥有被认为是高级的 DPCP 程序，这是很糟糕的，但更糟糕的是，许多组织甚至根本没有去衡量其支付卡行业（PCI）安全程序的成熟度！

109. 48％的企业报告拥有并应用一致的加密策略

由 nCipher 和 Entrust Datacard 赞助的 Ponemon Institute 进行的 2020年全球加密趋势研究表明，将近一半的受访者表示，他们的组织已在其企业中始终采用加密计划。只有 39％的受访者表示他们针对特定类型的数据和应用程序制定了有限的计划。自 2015 财年以来，第一个网络统计数据增长了 11％，第二个网络统计数据同期下降了 6％。

另有 13％的人表示他们总体上没有加密计划或策略。自从 2016 财年报告以来，这个数字一直很稳定。  

110. 58％的组织使用云存储敏感或机密数据

同一份 Ponemon Institute 2020年全球加密趋势研究报告也指出，超过一半的受访者表示，他们的企业使用云技术来传输或存储数据-不管数据是通过任何安全机制加密还是受保护的。这个数字比去年的 60％下降了 2％。

网络安全统计：按位置划分的网络安全统计

因此，如果您对查看按国家或地区分类的数据更感兴趣，那么哪些关键的网络安全统计数据呢？是的，我们还为您提供了此特定于位置的网络安全数据：

北美

111. 819 万美元：美国数据泄露的平均成本

根据 Ponemon Institute 和 IBM 的 2019年数据泄露成本报告，美国以最高的数据泄露平均成本处于领先地位。排名也不是我们所希望的，也不一定是意料之外的。

112. 44％的美国用户表示他们使用密码管理器

许多网络安全专家提倡使用密码管理器的想法。根据 Proofpoint 的 2020年用户风险报告，在美国这里，我们的密码管理器使用率远远高于其他国家。在全球范围内，只有 23％的受访者表示他们使用密码管理器。

南美洲

113.在 2019年第一季度和第四季度之间，巴西的网络钓鱼攻击增加了 275.5％

APWG 在其《 2019年第四季度网络钓鱼活动趋势报告》中披露，根据 Axur 的数据，巴西是南美最大的经济体，2019年遭受了 24,251 次网络钓鱼攻击。2019年第一季度的网络钓鱼攻击最少，仅观察到 3220 次。然而，在 2019年第四季度，他们报告观察到 8,872 起此类攻击。从第一季度到第四季度，增长了将​​近 276％！

114.巴西 35.7％的电子邮件 URL 是恶意的

在其他网络钓鱼新闻中，当电子邮件中的恶意链接比例最高时，巴西也名列第一。根据 Broadcom 的《 2019年Internet 安全威胁报告》（以前称为 Symantec ISTR），所有电子邮件中超过三分之一包含恶意链接。其次是墨西哥（29.7％），挪威（12.8％）和瑞典（12.4％）。

115.哥伦比亚 42％的网络攻击是由恶意网站引起的

恶意网站是对全球组织，政府和用户的威胁。但是，根据 Sophos 的报告《网络安全的不可能之谜》，五分之一的哥伦比亚受访者表示，他们的组织在去年专门使用此攻击媒介的网络攻击中受到打击。

墨西哥和中美洲

116.在过去的 12 个月中，墨西哥将近 94％的组织受到威胁

在过去的一年中，经历过至少一次成功的网络攻击的组织中，墨西哥居首位，其网络安全统计数据令人震惊。Cyber​​ Edge Edge Group 的 2020 CDR 报告显示该国排名第一，有 93.9％的受访组织表示其组织至少遭受了一次成功攻击。

117.在墨西哥，将近 25％的网络攻击是由外部媒体设备造成的

对于某些攻击媒介，不同国家的漏洞往往比其他国家更具威胁。Sophos 在《网络安全的不可能之谜》中报道说，在墨西哥，去年发生的攻击中有四分之一是由于使用了 USB 记忆棒等外部媒体设备造成的。这就是为什么培训员工仅使用公司提供的设备并执行公司计算机使用策略的重要原因。

中东

118.在沙特阿拉伯中，每 118 封电子邮件中就有一封是恶意的

根据 Broadcom 的 2019 ISTR，看起来沙特阿拉伯在恶意电子邮件数量方面居世界领先地位。紧随其后的是以色列（122 个国家中的 1 个），奥地利（128 个国家中的 1 个）和南非（131 个国家中的 1 个）。  

119. 52.68％的伊朗用户感染了移动恶意软件

各种网络安全统计数据显示，移动恶意软件在许多国家 / 地区正在成为一个日益严重的问题。但 Comparitech 报告称，他们观察到，在 2019年第三季度遭受网络攻击的用户中，有超过一半的用户感染了移动恶意软件。

欧洲

120.报告德国 IT 系统每日有 110,000 例 Bot 感染

根据德国《 2019年IT 安全状况》报告和 AV-Test Institute 的数据，在 2018年6月1日至 2019年5月31日之间，每天有多达 100,000 例向 BSI 报告的影响德国 IT 系统的机器人感染。数据来自德国联邦信息安全局（der Informationstechnik 的 Bunesamt fur Sicherheit，简称 BSI）。但是该报告指出了一些更加令人不安的事情：

“现在，超过一半的攻击是使用受感染的云服务器或合法租用但随后被滥用的服务器执行的。因此，几乎每个云服务提供商现在都被罪犯滥用，至少在一种情况下执行了 DDoS 攻击。”

121.德国研究所每天注册 350,000 多个新的 PAU 和恶意软件

这是与恶意软件相关的网络安全统计数据的另一大补充。截至 5月4日，AV-TEST 研究所报告称，它们每天注册超过 350,000 个新的潜在有害应用程序（PAU）和恶意软件。是的，他们每天都会注册许多新的 PAU 和恶意软件。

122.丹麦报告恶意软件感染的用户最少（3.15％）

最后但并非最不重要的一点，是我们在此网络安全统计信息列表中的最后一项。根据七个特定的标准项目，丹麦被 Comparitech 评为世界上网络安全性最高的国家。根据 2019年第三季度报告的网络攻击数量，他们的数量从 Comparitech 2019年报告的第四位上升到了第四位。与此相比，英国（7.69％），美国（9.075）和法国（15.09％）。

尽管还有许多其他令人信服的网络安全统计数据，但我们根本无法编译并撰写所有这些数据。没有足够的时间，坦率地说，随着新数据的出现，“当前”网络安全统计数据总是在变化。但是，请确保订阅并关注我们的博客，因为我们涵盖的统计信息的许多方面以及我们尚未涉及的其他统计信息将在以后的“哈希淘汰”博客文章中介绍。敬请关注。

编制 2020年网络安全统计列表

是的，要花很多钱。但是我们希望这份网络统计信息列表为您提供有关网络安全各个方面的大量有用信息。

从这里的数据来看，很容易看到网络犯罪分子对企业，政府和消费者都构成了迫在眉睫的威胁。但是，这也表明最大的威胁存在于我们自己的组织中-我不仅在谈论内部威胁。不，我说的是：

在网络安全和资产管理方面缺乏可见性。

缺乏足够的网络安全防护，人员或资源。

员工缺乏网络意识。

缺乏与网络相关的政策和业务流程-或它们的执行。

值得庆幸的是，您可以采取一些措施来保护您的组织免受许多日益增长的威胁的侵害。遵循行业最佳实践，实施来自知名供应商的防御技术和资源的使用，并提供内部或第三方网络意识培训，以减少员工的无知和冷漠。您想与我和其他读者分享其他当前的网络安全统计信息吗？我希望看到他们！请务必在下面的评论部分中分享它们。

本文由机器译制