40個安全專家需要知道的網路安全資料

隨著網際網路的不斷髮展，網路安全威脅也日益增長。為了便於IT安全人員及時的掌握和了解當前的安全環境，許許多多的行業調查，供應商報告和研究報告也隨之而來。而面對如此規模龐大的報告數量，不免讓我們感到有些眼花繚亂。為此，我對大量的分析報告進行了梳理，以便於大家更好地閱讀和了解這些內容。以下是關於資料洩露，新興威脅，軟體漏洞，合規性相關問題，網路安全技能等問題的報告集合。

資料洩露

538：2016年公開披露的資料洩露總數

資料顯示2016年，共發生1800起資料洩露事件，這些事件導致近14億條記錄外洩。相比2015年，記錄外洩的數量增加了86%。但是即便如此，2016年資料洩露的總記錄數僅僅只有1100多萬條，大大低於2015年被洩露的1.6億條資料記錄，例如美國人事管理局，Anthem和Premera資料洩露事件，都大大提升了其洩露總量。

資料來源：《資料違規年表》

406：2016年外部第三方或惡意軟體攻擊造成的違規行為總數

2016年，與攻擊有關的（外部第三方和惡意軟體攻擊）違規行為總數已經超過了合法訪問系統的內部人員（15起）和無意洩密（143起）所造成的違規行為數量。而在2017年1月1日-2017年5月15日期間，共發生了93起資料洩漏事件，其原因主要是由於紙質檔案的物理損壞或丟失、被盜或是膝上型電腦或其他移動裝置錯放所導致。

資料來源：《資料違規年表》

Verizon報告指出63%的資料洩露事故涉及使用低強度、預設的密碼或密碼被盜的情況

Verizon報告指出63%的資料洩露事故涉及使用低強度、預設的密碼或密碼被盜的情況。其中，41%的資料洩露事故涉及登入憑證被盜，13%利用預設或暴力破解的憑證；這些總量超過63%，因為單個資料洩露事故可能涉及多個攻擊方式。

376：2016年各行業資料洩露情況

2016年，醫療保健行業洩漏的資料總量比其他任何行業都要多得多，比例高達43.6%。2016年資料洩漏報告中違規行為和資料洩漏總量最少的部門為銀行／信貸／金融行業，只有52例違規行為，7萬多條資料洩漏。

資料來源：《2016年資料洩露報告》

77%的首席資訊保安官表示，對其組織檢測到且尚未解決的違規行為高度關注

調查發現，超過80%的首席資訊保安官對其組織檢測到且尚未解決的違規行為表示高度關注。儘管有這樣的擔憂，但仍有56%的CISO認為他們的公司能夠“有效地”阻止安全漏洞，另有19%的受訪企業表示他們能夠“非常有效地”阻止安全漏洞。

資料來源：《全球CISO研究報告》

攻擊型別和動機

247：Verizon去年調查到的以“網路間諜”為主要動機的洩漏事件數量

這些事件中共有155起造成了實際的資料洩漏情況。除了公共部門組織外，製造業公司是2016年網路間諜活動的主要目標，共發生了108起資料竊取事件。

517：Akamai調查得出的2016年Q4 DDoS攻擊峰值規模

2016年最後一個季度的DDoS攻擊總數僅比2015年第二季度的DDoS攻擊數量略高4％。但攻擊強度超過100Gbps的攻擊數量，則從5次增加到了12次，同期增加了140個百分點。

2016年第4季度超過300Gbps攻擊流量的DDoS攻擊比例佔70%

在許多攻擊事件中，威脅行為者使用不安全的物聯網（IoT）裝置來生成攻擊流量。2016年第4季度中最大的DDoS攻擊來自Spike物聯網殭屍網路。

普華永道的調查中有38％的受訪者表示曾有過網路釣魚詐騙的經歷

網路釣魚成為2016年增長趨勢最明顯的安全威脅。這種趨勢表明網路犯罪分子並不依賴複雜的工具來執行工具，相反地，他們開始越來越多地嘗試使用合法的管理員工具來獲取訪問許可權。

74%的企業認為自身易受到內部威脅影響

與2016年相比，這一比例比去年提高了7%。儘管內部威脅受到了企業的高度關注，但在10個組織中，只有四分之一的企業實施了檢測和防止內部人攻擊的安全控制措施。

資料來源：《行業內部威脅調查》

勒索軟體

自2016年1月1日以來，平均每天發生4000多次勒索病毒攻擊

這一資料相比2015年增長了400%。

在RSA 2017的調查中，有30％的受訪者表示他們的組織遭受了勒索軟體的攻擊

在超過一半的事件中，受害組織能夠在不到8小時的時間內恢復其系統服務。20%的受訪者表示，在遭遇勒索軟體攻擊2-3天內，員工才能恢復系統的訪問權，而在一天內恢復系統訪問的受訪企業佔據17%；超過8小時的佔據11%。

資料來源：《勒索軟體呈增長趨勢》

79%的企業不願支付贖金以避免當機和損失

大約有21%的受訪企業表示願意支付贖金來重新獲得對其系統和資料的訪問權，避免當機損失的商業成本。對名譽的不利影響以及銷售損失是企業在遭遇勒索軟體攻擊後需要考慮的重要問題。

資料來源：《勒索軟體呈增長趨勢》

CEO和安全支出觀點

64%：認為安全性是未來幾年企業競爭軟實力的CEO比例

調查發現，執行長們尤為關注由資料洩漏和其他IT相關的安全事件為企業帶來的不利影響，尤其是公眾對企業的信任。

資料來源：《全球CEO年度報告》

到2020年，全球企業用在網路安全軟硬體和服務上的資金將達到1016億美元

2016年至2020年的安全支出將以8.3％的平均增長速度增長，也就是同期IT支出總額的兩倍以上。 在未來幾年內，全球安全投資最多的組織將會是金融服務公司，分立和流程製造商以及政府。

資料來源：《全球安全支出指南》

2016年在安全相關服務方面的總體安全預算比例將達到45％

安全軟體是第二大支出領域，其中身份和訪問管理工具、端點安全軟體以及漏洞管理產品佔據該類別75%的支出。去年，安全硬體產品的銷售額約為140億美元。

資料來源：《全球安全支出指南》

組織平均花費在IT安全和風險管理上的整體IT預算比例達5.6％

安全支出在IT預算總額的1％至13％之間，通常是安全計劃有效性的誤導性指標。 與行業平均值和同行組織的通用比較可能會使組織過高估計或低估其安全能力。

網路安全技能

超過四分之一的公司表示，填補重要網路安全和資訊保安職務空缺需要6個月或更長的時間

根據國際資訊系統審計協會（ISACA）Cybersecurity Nexus（CSX）所開展的新網路安全勞動力調查顯示，僅有59%的受調機構表示，機構的每個網路安全職位至少收到五名申請者的申請，收到20個及以上申請的機構僅佔13%。與之形成對比的是，大多數公司的空缺職位都擁有60至250名的申請者。

資料來源：《2017網路安全狀況》

52％的受訪者表示實踐經驗是最重要的網路安全技能

在不斷深化的技能危機中，25%的組織認為網路安全工作候選人缺乏技術技能；而45%的受訪組織認為網路安全職位申請人不瞭解業務需求；近70%的受訪企業認為安全認證證書比正式的網路安全學位更有用。

資料來源：《2017網路安全狀況》

歐盟一般資料保護條例（GDPR）

47%的組織不能滿足歐盟GDPR的要求

2017年，Veritas面向歐洲、美國和亞太地區的超過900名高階業務決策者開展了一項關於應對GDPR的情況調研。結果表明，47%的受訪者不確定其能夠在2018年5月25日GDPR實施前滿足相關合規性要求。根據新條例規定，如果企業無法滿足合規要求，則會面臨高達2,100萬美元或4%年收益的罰款，以金額較高為準。

21%的受訪者非常擔心潛在的裁員風險，這是由於企業一旦因不符合GDPR條例而招致鉅額經濟罰款，大幅度裁員將會在所難免。

42％的企業表示，不知道該儲存哪些資料

資料保留也是企業普遍擔憂的難題之一。42%的企業承認，當前尚無任何有效機制能夠根據資料價值來確定應該保留或刪除的資料。根據GDPR規定，如果個人資料仍舊用於在收集時所告知使用者的用途，那麼企業可以繼續保留個人資料，但在該使用用途結束時，企業必須立即刪除個人資料。

40%的受訪者則表示擔心合規失敗後的處罰問題

調查顯示，不到1／4的受訪者擔心自身是否能夠通過有關資料保護要求的稽核問題，而40%的受訪者則表示擔心合規失敗後的處罰問題。

資料來源：《企業內部的資料治理》

中小企業的安全顧慮

Verizon在2016年調查顯示，61%的資料洩露來自於不到1000名員工的中小企業

雖然大型的違規行為往往針對大型企業，但是研究表明，中小企業卻佔了據資料洩漏總數的61%。

82%的企業表示他們的內部員工，每週花費20到60個小時來採購，實施和管理安全產品

近75%的中型企業受訪者表示，他們有3-5名全職員工負責管理公司的安全需求。平均而言，他們只是在網路安全上的支出就達到17.8萬美元，佔據IT安全支出總額的30%左右。

資料來源：《451研究調查》

2016年至2021年間，中型企業用於網路安全的支出將增長8.9％

未來5年內（2016-2021年），中型企業的網路安全支出的增長速度將為總體安全支出的兩倍。到2021年，擁有500-2500名員工的企業在網路安全產品和服務上的支出將達到約35億美元，而在2016年這一數字僅為24億美元。

資料來源：《451研究調查》

開源安全

包含開源元件的商業應用程式比例達96%

針對數千個商業應用程式的開源審計結果表明，平均每一款商業應用程式至少包含147個獨特的開源元件，而且三分之二的商業應用程式碼中已知是存在安全漏洞的。

4：金融服務業組織使用的應用程式平均包含52個開源漏洞

金融服務業組織使用的應用程式平均包含52個開源漏洞，而零售行業和電子商務行業應用程式中存在的高風險漏洞比例較高。

3,623：2016年報告的開源元件漏洞總數

2016年，每天幾乎都有10個開源漏洞遭到曝光，比2015年增加了10%。許多常用的開源元件中都被曝存在高風險漏洞，例如Spring Framework和Apache Commons Collections。

Android，macOS和Windows漏洞

523：2016年Android中報告的漏洞總數

2016年的Android漏洞數量是2015年在作業系統中發現的125個漏洞的四倍以上，是2009年發現的漏洞數量的100倍以上。去年發現的523個漏洞中，約有250個是特權升級漏洞，其中有104個可以造成DoS攻擊。

資料來源：《CVE Details》

215：2016年蘋果MacOS X的漏洞數量

2016年，蘋果MacOS X系統漏洞數量也達到了215個，但是這一數字明顯低於2015年發現的444個安全漏洞的歷史最高紀錄。而今年（截至5月15日）已經在蘋果系統中發現了142個安全漏洞，2017年可能又是macOS X系統“漏洞爆發年”。

資料來源：《CVE Details》

293：自2015年釋出以來，Microsoft Windows 10中報告的漏洞總數

2017年（截至5月15日），Microsoft Windows 10作業系統中共發現了78個安全漏洞；2016年共發現172個安全漏洞；2015年共53個漏洞，共計303個安全漏洞。

資料來源：《CVE Details》

雲安全

42%的受訪者表示，他們將來可能或極有可能將雲服務運用到其安全業務中

近一半（45%）的受訪者表示，他們將來可能或極有可能將雲服務運用到其安全業務中。這一趨勢是企業對雲服務整體的信心增長所驅動的，57%的受訪者表示相信雲是安全的。技術領域的企業對於雲的信心最高，其次是教育部門。

資料來源：《雲端計算中的安全性》

認為公有云與本地資料中心一樣安全或更安全的IT專業人士比例達63%

24.6的受訪者認為公有云比本地資料中心更為安全；38.3的受訪者認為公有云與本地資料中心一樣安全；另有37.1%的受訪者認為公有云沒有本地資料中心安全。

63％的受訪者表示，最為關心的是部署自定義應用程式到公共雲的敏感資料

雲環境中其他自定義應用威脅包括第三方賬戶受損（56.9%）、將敏感資料下載到非企業裝置中（40.1%）以及終端使用者誤操作（28.1%）。

444：在企業部署自定義應用程式的平均數量

IT和DevOps專業人士對環境中的定製應用程式的認識相對較高，但IT安全專業人員知道這些應用程式的不到40％。此外，報告還顯示，目前在內部資料中心部署的定製企業應用程式中的20％以上將在未來12個月內遷移到公有云中。

DevSecOps

100:1:軟體開發人員比普通企業的安全專業人員多

大約一半的軟體開發者知道安全性很重要，但是由於缺乏時間和精力而無法充分地重視它們。54%的受訪者將安全專家視為識別漏洞卻不對其做任何事情的“nags（不斷抱怨、指責的人）”。

DevOps實踐不怎麼成熟的企業中，有58%的開發者將安全性視為一種抑制劑

這一比例會因為DevOps實踐的成熟度不同而有所區別。在DevOps實踐不怎麼成熟的企業中，會有更多開發者將安全性視為一種抑制劑。相反，那些DevOps實踐較為成熟的企業中，就會有更少的開發者將安全性視為抑制劑。這表明，這些企業已經找到了將安全性整合到開發過程中的方式。

47%的C級受訪人員表示，會使用安全資訊和事件管理（SIEM）工具

調查顯示，約52%的受訪者表示擁有入侵檢測工具；51%使用主動監測&分析威脅情報；48%會進行漏洞評估。根據針對10,000位C級管理人員和IT主管的調查顯示，2016年其他常見的威脅檢測流程部署還包括威脅情報訂閱服務（45%）以及滲透測試（44%）等。

物聯網（IoT）

49％的企業將安全和隱私作為部署物聯網環境時考慮的主要因素

正如安全性是雲部署過程中需要重點關注的問題一樣，在物聯網部署中安全性同樣至關重要。一般來說，大型企業受訪者（46%）對連線裝置的安全性重視程度高於中型企業（33%）和小型企業（31%）受訪者。

資料來源：《物聯網的洞察和機遇》

65%的組織將黑客及黑客入侵視為物聯網的最大威脅

在所有受訪企業中，有一半以上（52%）將裝置漏洞視為物聯網安全的最大威脅，51%的受訪者將網路中未加密的資料視為主要的與物聯網相關的威脅。

資料來源：《物聯網的洞察和機遇》

本文轉自d1net（轉載）