随着互联网的不断发展,网络安全威胁也日益增长。为了便于IT安全人员及时的掌握和了解当前的安全环境,许许多多的行业调查,供应商报告和研究报告也随之而来。而面对如此规模庞大的报告数量,不免让我们感到有些眼花缭乱。为此,我对大量的分析报告进行了梳理,以便于大家更好地阅读和了解这些内容。以下是关于数据泄露,新兴威胁,软件漏洞,合规性相关问题,网络安全技能等问题的报告集合。
数据泄露
(1) 538:2016年公开披露的数据泄露总数
数据显示2016年,共发生1800起数据泄露事件,这些事件导致近14亿条记录外泄。相比2015年,记录外泄的数量增加了86%。但是即便如此,2016年数据泄露的总记录数仅仅只有1100多万条,大大低于2015年被泄露的1.6亿条数据记录,例如美国人事管理局,Anthem和Premera数据泄露事件,都大大提升了其泄露总量。
(2) 406:2016年外部第三方或恶意软件攻击造成的违规行为总数
2016年,与攻击有关的(外部第三方和恶意软件攻击)违规行为总数已经超过了合法访问系统的内部人员(15起)和无意泄密(143起)所造成的违规行为数量。而在2017年1月1日-2017年5月15日期间,共发生了93起数据泄漏事件,其原因主要是由于纸质文件的物理损坏或丢失、被盗或是笔记本电脑或其他移动设备错放所导致。
(3) Verizon报告指出63%的数据泄露事故涉及使用低强度、默认的密码或密码被盗的情况
Verizon报告指出63%的数据泄露事故涉及使用低强度、默认的密码或密码被盗的情况。其中,41%的数据泄露事故涉及登录凭证被盗,13%利用默认或暴力破解的凭证;这些总量超过63%,因为单个数据泄露事故可能涉及多个攻击方式。
(4) 376:2016年各行业数据泄露情况
2016年,医疗保健行业泄漏的数据总量比其他任何行业都要多得多,比例高达43.6%。2016年数据泄漏报告中违规行为和数据泄漏总量最少的部门为银行/信贷/金融行业,只有52例违规行为,7万多条数据泄漏。
(5) 77%的首席信息安全官表示,对其组织检测到且尚未解决的违规行为高度关注
调查发现,超过80%的首席信息安全官对其组织检测到且尚未解决的违规行为表示高度关注。尽管有这样的担忧,但仍有56%的CISO认为他们的公司能够“有效地”阻止安全漏洞,另有19%的受访企业表示他们能够“非常有效地”阻止安全漏洞。
攻击类型和动机
(6) 247:Verizon去年调查到的以“网络间谍”为主要动机的泄漏事件数量
这些事件中共有155起造成了实际的数据泄漏情况。除了公共部门组织外,制造业公司是2016年网络间谍活动的主要目标,共发生了108起数据窃取事件。
(7) 517:Akamai调查得出的2016年Q4 DDOS攻击峰值规模
2016年最后一个季度的DDoS攻击总数仅比2015年第二季度的DDoS攻击数量略高4%。但攻击强度超过100Gbps的攻击数量,则从5次增加到了12次,同期增加了140个百分点。
(8) 2016年第4季度超过300Gbps攻击流量的DDoS攻击比例占70%
在许多攻击事件中,威胁行为者使用不安全的物联网(IoT)设备来生成攻击流量。2016年第4季度中最大的DDoS攻击来自Spike物联网僵尸网络。
(9) 普华永道的调查中有38%的受访者表示曾有过网络钓鱼诈骗的经历
网络钓鱼成为2016年增长趋势最明显的安全威胁。这种趋势表明网络犯罪分子并不依赖复杂的工具来执行工具,相反地,他们开始越来越多地尝试使用合法的管理员工具来获取访问权限。
(10) 74%的企业认为自身易受到内部威胁影响
与2016年相比,这一比例比去年提高了7%。尽管内部威胁受到了企业的高度关注,但在10个组织中,只有四分之一的企业实施了检测和防止内部人攻击的安全控制措施。
勒索软件
(11) 自2016年1月1日以来,平均每天发生4000多次勒索病毒攻击
这一数据相比2015年增长了400%。
(12) 在RSA 2017的调查中,有30%的受访者表示他们的组织遭受了勒索软件的攻击
在超过一半的事件中,受害组织能够在不到8小时的时间内恢复其系统服务。20%的受访者表示,在遭遇勒索软件攻击2-3天内,员工才能恢复系统的访问权,而在一天内恢复系统访问的受访企业占据17%;超过8小时的占据11%。
(13) 79%的企业不愿支付赎金以避免宕机和损失
大约有21%的受访企业表示愿意支付赎金来重新获得对其系统和数据的访问权,避免宕机损失的商业成本。对名誉的不利影响以及销售损失是企业在遭遇勒索软件攻击后需要考虑的重要问题。
CEO和安全支出观点
(14)64%:认为安全性是未来几年企业竞争软实力的CEO比例
调查发现,首席执行官们尤为关注由数据泄漏和其他IT相关的安全事件为企业带来的不利影响,尤其是公众对企业的信任。
(15) 到2020年,全球企业用在网络安全软硬件和服务上的资金将达到1016亿美元
2016年至2020年的安全支出将以8.3%的平均增长速度增长,也就是同期IT支出总额的两倍以上。 在未来几年内,全球安全投资最多的组织将会是金融服务公司,分立和流程制造商以及政府。
(16)2016年在安全相关服务方面的总体安全预算比例将达到45%
安全软件是第二大支出领域,其中身份和访问管理工具、端点安全软件以及漏洞管理产品占据该类别75%的支出。去年,安全硬件产品的销售额约为140亿美元。
(17)组织平均花费在IT安全和风险管理上的整体IT预算比例达5.6%
安全支出在IT预算总额的1%至13%之间,通常是安全计划有效性的误导性指标。 与行业平均值和同行组织的通用比较可能会使组织过高估计或低估其安全能力。
网络安全技能
(18)超过四分之一的公司表示,填补重要网络安全和信息安全职务空缺需要6个月或更长的时间
根据国际信息系统审计协会(ISACA)Cybersecurity Nexus(CSX)所开展的新网络安全劳动力调查显示,仅有59%的受调机构表示,机构的每个网络安全职位至少收到五名申请者的申请,收到20个及以上申请的机构仅占13%。与之形成对比的是,大多数公司的空缺职位都拥有60至250名的申请者。
(19)52%的受访者表示实践经验是最重要的网络安全技能
在不断深化的技能危机中,25%的组织认为网络安全工作候选人缺乏技术技能;而45%的受访组织认为网络安全职位申请人不了解业务需求;近70%的受访企业认为安全认证证书比正式的网络安全学位更有用。
欧盟一般数据保护条例(GDPR)
(20)47%的组织不能满足欧盟GDPR的要求
2017年,Veritas面向欧洲、美国和亚太地区的超过900名高级业务决策者开展了一项关于应对GDPR的情况调研。结果表明,47%的受访者不确定其能够在2018年5月25日GDPR实施前满足相关合规性要求。根据新条例规定,如果企业无法满足合规要求,则会面临高达2,100万美元或4%年收益的罚款,以金额较高为准。
21%的受访者非常担心潜在的裁员风险,这是由于企业一旦因不符合GDPR条例而招致巨额经济罚款,大幅度裁员将会在所难免。
(21)42%的企业表示,不知道该保存哪些数据
数据保留也是企业普遍担忧的难题之一。42%的企业承认,当前尚无任何有效机制能够根据数据价值来确定应该保留或删除的数据。根据GDPR规定,如果个人数据仍旧用于在收集时所告知用户的用途,那么企业可以继续保留个人数据,但在该使用用途结束时,企业必须立即删除个人数据。
(22)40%的受访者则表示担心合规失败后的处罚问题
调查显示,不到1/4的受访者担心自身是否能够通过有关数据保护要求的审核问题,而40%的受访者则表示担心合规失败后的处罚问题。
中小企业的安全顾虑
(23)Verizon在2016年调查显示,61%的数据泄露来自于不到1000名员工的中小企业
虽然大型的违规行为往往针对大型企业,但是研究表明,中小企业却占了据数据泄漏总数的61%。
(24)82%的企业表示他们的内部员工,每周花费20到60个小时来采购,实施和管理安全产品
近75%的中型企业受访者表示,他们有3-5名全职员工负责管理公司的安全需求。平均而言,他们只是在网络安全上的支出就达到17.8万美元,占据IT安全支出总额的30%左右。
(25)2016年至2021年间,中型企业用于网络安全的支出将增长8.9%
未来5年内(2016-2021年),中型企业的网络安全支出的增长速度将为总体安全支出的两倍。到2021年,拥有500-2500名员工的企业在网络安全产品和服务上的支出将达到约35亿美元,而在2016年这一数字仅为24亿美元。
开源安全
(26)包含开源组件的商业应用程序比例达96%
针对数千个商业应用程序的开源审计结果表明,平均每一款商业应用程序至少包含147个独特的开源组件,而且三分之二的商业应用代码中已知是存在安全漏洞的。
(27)4:金融服务业组织使用的应用程序平均包含52个开源漏洞
金融服务业组织使用的应用程序平均包含52个开源漏洞,而零售行业和电子商务行业应用程序中存在的高风险漏洞比例较高。
(28)3,623:2016年报告的开源组件漏洞总数
2016年,每天几乎都有10个开源漏洞遭到曝光,比2015年增加了10%。许多常用的开源组件中都被曝存在高风险漏洞,例如Spring Framework和Apache Commons Collections。
Android,macOS和Windows漏洞
(29)523:2016年Android中报告的漏洞总数
2016年的Android漏洞数量是2015年在操作系统中发现的125个漏洞的四倍以上,是2009年发现的漏洞数量的100倍以上。去年发现的523个漏洞中,约有250个是特权升级漏洞,其中有104个可以造成DoS攻击。
(30)215:2016年苹果MacOS X的漏洞数量
2016年,苹果MacOS X系统漏洞数量也达到了215个,但是这一数字明显低于2015年发现的444个安全漏洞的历史最高纪录。而今年(截至5月15日)已经在苹果系统中发现了142个安全漏洞,2017年可能又是macOS X系统“漏洞爆发年”。
(31)293:自2015年发布以来,Microsoft Windows 10中报告的漏洞总数
2017年(截至5月15日),Microsoft Windows 10操作系统中共发现了78个安全漏洞;2016年共发现172个安全漏洞;2015年共53个漏洞,共计303个安全漏洞。
云安全
(32)42%的受访者表示,他们将来可能或极有可能将云服务运用到其安全业务中
近一半(45%)的受访者表示,他们将来可能或极有可能将云服务运用到其安全业务中。这一趋势是企业对云服务整体的信心增长所驱动的,57%的受访者表示相信云是安全的。技术领域的企业对于云的信心最高,其次是教育部门。
(33)认为公有云与本地数据中心一样安全或更安全的IT专业人士比例达63%
24.6的受访者认为公有云比本地数据中心更为安全;38.3的受访者认为公有云与本地数据中心一样安全;另有37.1%的受访者认为公有云没有本地数据中心安全。
(34)63%的受访者表示,最为关心的是部署自定义应用程序到公共云的敏感数据
云环境中其他自定义应用威胁包括第三方账户受损(56.9%)、将敏感数据下载到非企业设备中(40.1%)以及终端用户误操作(28.1%)。
(35)444:在企业部署自定义应用程序的平均数量
IT和DevOps专业人士对环境中的定制应用程序的认识相对较高,但IT安全专业人员知道这些应用程序的不到40%。此外,报告还显示,目前在内部数据中心部署的定制企业应用程序中的20%以上将在未来12个月内迁移到公有云中。
(36)100:1:软件开发人员比普通企业的安全专业人员多
大约一半的软件开发者知道安全性很重要,但是由于缺乏时间和精力而无法充分地重视它们。54%的受访者将安全专家视为识别漏洞却不对其做任何事情的“nags(不断抱怨、指责的人)”。
(37)DevOps实践不怎么成熟的企业中,有58%的开发者将安全性视为一种抑制剂
这一比例会因为DevOps实践的成熟度不同而有所区别。在DevOps实践不怎么成熟的企业中,会有更多开发者将安全性视为一种抑制剂。相反,那些DevOps实践较为成熟的企业中,就会有更少的开发者将安全性视为抑制剂。这表明,这些企业已经找到了将安全性整合到开发过程中的方式。
(38)47%的C级受访人员表示,会使用安全信息和事件管理(SIEM)工具
调查显示,约52%的受访者表示拥有入侵检测工具;51%使用主动监测&分析威胁情报;48%会进行漏洞评估。根据针对10,000位C级管理人员和IT主管的调查显示,2016年其他常见的威胁检测流程部署还包括威胁情报订阅服务(45%)以及渗透测试(44%)等。
物联网(IoT)
(39)49%的企业将安全和隐私作为部署物联网环境时考虑的主要因素
正如安全性是云部署过程中需要重点关注的问题一样,在物联网部署中安全性同样至关重要。一般来说,大型企业受访者(46%)对连接设备的安全性重视程度高于中型企业(33%)和小型企业(31%)受访者。
(40)65%的组织将黑客及黑客入侵视为物联网的最大威胁
在所有受访企业中,有一半以上(52%)将设备漏洞视为物联网安全的最大威胁,51%的受访者将网络中未加密的数据视为主要的与物联网相关的威胁。
戳这里,看该作者更多好文
做网络安全应该注意哪些方面?
1、企业安全制度(最重要)2、数据安全(防灾备份机制)3、传输安全(路由热备份、NAT、ACL等)4、服务器安全(包括冗余、DMZ区域等)5、防火墙安全(硬件或软件实现、背靠背、DMZ等)6、防病毒安全
做一个优秀的网络安全专家需要学习那些内容???
系统安全技术1.掌握Windows各版本和至少一种Linux发行版本的系统管理、网络管理及安全配置,同时掌握BSD和SunOS者更佳;2. 熟悉常见系统服务的配置方法及加固方法,熟悉常见的系统漏洞原理和修补方法;3. 熟悉常见病毒、后门的实现原理和防护方法,熟悉Windows和Unix常见安全工具的使用,掌握流行的攻击原理和实现方法;4. 熟悉常见的Web服务和数据库操作,熟悉脚本攻防原理,有基本的代码阅读能力。 网络安全技术1. 精通网络基础知识,熟悉OSI七层模型,熟悉TCP/IP协议簇;2. 熟悉802.1q、OSPF、BGP、MPLS、IS-IS等网络协议,熟悉大中型企业网的组网技术,掌握网络设计原理及方法;3. 熟悉Cisco或华为等主流网络设备的工作原理、配置,以及常见故障排除;4. 熟悉拒绝服务攻击与防护原理,了解大型网络的流量分析技术原理。
安全上网五个习惯20条守则是什么?
安全上网五个习惯20条守则核心提示:如果不小心运行恶意程序或者访问不良网页,木马病毒可能会悄悄的进入你的电脑,在你输入帐号和密码时,木马就会把你输入的帐号密码发送到盗号者手中。 盗号者将利用这些信息盗号或转移财产,从而实现非法获利。 以下习惯可让你免遭木马病毒攻击: 习惯一:使用安全的电脑 ※ 设置操作系统登录密码,并开启系统或软件防火墙 (没有防护软件?点这里下载QQ医生)。 ※ 安装杀毒软件并及时更新病毒特征库。 ※ 在使用痕迹未清除前,尽量不转借个人电脑。 ※ 不在未安装杀毒软件的电脑上登录个人帐户。 ※ 不在公共电脑登录网络银行等敏感帐户。 ※ 不在公共电脑保存个人资料和帐号信息。 ※ 离开公用电脑前别忘记注销已登录的帐户。 习惯二:运行安全的软件※ 开启操作系统及其他软件的自动更新设置,及时修复系统漏洞和软件漏洞。 (不知道如何修复漏洞?点这里下载QQ医生自动修复漏洞) ※ 尽量使用正版软件,非正规渠道获取的软件在运行前须进行病毒扫描。 ※ 定期全盘扫描病毒和查杀流行木马。 习惯三:访问安全的网站※ 不访问包含色情等不良信息的网站(这些网页常常包含木马程序)。 ※ 收到来历不明的电子邮件,在确认来源可靠前,不要打开附件或内容中的网站地址。 核心提示:最近两年,网络上的骗子开始活跃起来,他们常常精心设下陷阱(如发送虚假的中奖信息或伪装成落难的老乡等,点这里查看更多骗术)骗取用户汇款,从而实现非法获利。 养成以下习惯可帮助你防止上网被骗: 习惯四:切勿贪图小便宜,汇款须谨慎※ 不轻信网络“中奖”、“赠送”类信息,切记不要向陌生帐户汇款。 ※ 不要仅凭好友在网上的留言(如借钱的聊天消息)汇款,须当面或电话确认后再做决定; ※ 上网购物时,即使商品很便宜,也不要在收到货物前直接付款到对方帐户。 (应尽可能使用“财付通”或“支付宝”等正规第三方支付平台,安全有保障)。 ※ 登录网络银行等重要帐户前,先确认网站地址是否和服务商提供的网址一致。 (不能识别网站是否安全?点击这里验证网址安全性) 习惯五:交流中注意保护隐私※ 不在网络中透露银行帐号、个人帐户密码等敏感内容。 ※ 不在交谈、个人资料以及论坛留言中轻易泄露真实姓名、个人照片、身份证号码或家庭电话等任何能够识别身份的信息。 ※ 不随意在不知底细的网站注册会员或向其提供个人资料。 ※ 对包含隐私内容的个人网站(如博客)应设置访问密码。
发表评论