随着互聯網的不斷發展,網絡安全威脅也日益增長。爲了便于IT安全人員(yuán)及時的掌握和了解當前的安全環境,許許多多的行業調查,供應商(shāng)報告和研究報告也随之而來。而面對如此規模龐大(dà)的報告數量,不免讓我(wǒ)們感到有些眼花缭亂。爲此,我(wǒ)對大(dà)量的分(fēn)析報告進行了梳理,以便于大(dà)家更好地閱讀和了解這些内容。以下(xià)是關于數據洩露,新興威脅,軟件漏洞,合規性相關問題,網絡安全技能等問題的報告集合。
538:2016年公開(kāi)披露的數據洩露總數
數據顯示2016年,共發生(shēng)1800起數據洩露事件,這些事件導緻近14億條記錄外(wài)洩。相比2015年,記錄外(wài)洩的數量增加了86%。但是即便如此,2016年數據洩露的總記錄數僅僅隻有1100多萬條,大(dà)大(dà)低于2015年被洩露的1.6億條數據記錄,例如美國人事管理局,Anthem和Premera數據洩露事件,都大(dà)大(dà)提升了其洩露總量。
數據來源:《數據違規年表》
406:2016年外(wài)部第三方或惡意軟件攻擊造成的違規行爲總數
2016年,與攻擊有關的(外(wài)部第三方和惡意軟件攻擊)違規行爲總數已經超過了合法訪問系統的内部人員(yuán)(15起)和無意洩密(143起)所造成的違規行爲數
量。而在2017年1月1日-2017年5月15日期間,共發生(shēng)了93起數據洩漏事件,其原因主要是由于紙(zhǐ)質文件的物(wù)理損壞或丢失、被盜或是筆記本電(diàn)腦或其他移動設備錯放(fàng)所導緻。
數據來源:《數據違規年表》
Verizon報告指出63%的數據洩露事故涉及使用低強度、默認的密碼或密碼被盜的情況
Verizon報告指出63%的數據洩露事故涉及使用低強度、默認的密碼或密碼被盜的情況。其中(zhōng),41%的數據洩露事故涉及登錄憑證被盜,13%利用默認或暴力破解的憑證;這些總量超過63%,因爲單個數據洩露事故可能涉及多個攻擊方式。
數據來源:《Verizon 2017數據洩露調查報告》
376:2016年各行業數據洩露情況
2016年,醫療保健行業洩漏的數據總量比其他任何行業都要多得多,比例高達43.6%。2016年數據洩漏報告中(zhōng)違規行爲和數據洩漏總量最少的部門爲銀行/信貸/金融行業,隻有52例違規行爲,7萬多條數據洩漏。
數據來源:《2016年數據洩露報告》
77%的首席信息安全官表示,對其組織檢測到且尚未解決的違規行爲高度關注
調查發現,超過80%的首席信息安全官對其組織檢測到且尚未解決的違規行爲表示高度關注。盡管有這樣的擔憂,但仍有56%的CISO認爲他們的公司能夠“有效地”阻止安全漏洞,另有19%的受訪企業表示他們能夠“非常有效地”阻止安全漏洞。
數據來源:《全球CISO研究報告》
攻擊類型和動機
247:Verizon去(qù)年調查到的以“網絡間諜”爲主要動機的洩漏事件數量
這些事件中(zhōng)共有155起造成了實際的數據洩漏情況。除了公共部門組織外(wài),制造業公司是2016年網絡間諜活動的主要目标,共發生(shēng)了108起數據竊取事件。
數據來源:《Verizon 2017數據洩露調查報告》
517:Akamai調查得出的2016年Q4 DDoS攻擊峰值規模
2016年最後一(yī)個季度的DDoS攻擊總數僅比2015年第二季度的DDoS攻擊數量略高4%。但攻擊強度超過100Gbps的攻擊數量,則從5次增加到了12次,同期增加了140個百分(fēn)點。
數據來源:《2016年第四季度互聯網發展狀況安全報告》
2016年第4季度超過300Gbps攻擊流量的DDoS攻擊比例占70%
在許多攻擊事件中(zhōng),威脅行爲者使用不安全的物(wù)聯網(IoT)設備來生(shēng)成攻擊流量。2016年第4季度中(zhōng)最大(dà)的DDoS攻擊來自Spike物(wù)聯網僵屍網絡。
數據來源:《2016年第四季度互聯網發展狀況安全報告》
普華永道的調查中(zhōng)有38%的受訪者表示曾有過網絡釣魚詐騙的經曆
網絡釣魚成爲2016年增長趨勢最明顯的安全威脅。這種趨勢表明網絡犯罪分(fēn)子并不依賴複雜(zá)的工(gōng)具來執行工(gōng)具,相反地,他們開(kāi)始越來越多地嘗試使用合法的管理員(yuán)工(gōng)具來獲取訪問權限。
數據來源:《2017年全球信息安全狀況調查》
74%的企業認爲自身易受到内部威脅影響
與2016年相比,這一(yī)比例比去(qù)年提高了7%。盡管内部威脅受到了企業的高度關注,但在10個組織中(zhōng),隻有四分(fēn)之一(yī)的企業實施了檢測和防止内部人攻擊的安全控制措施。
數據來源:《行業内部威脅調查》
勒索軟件
自2016年1月1日以來,平均每天發生(shēng)4000多次勒索病毒攻擊
這一(yī)數據相比2015年增長了400%。
數據來源:《如何避免勒索軟件的攻擊》
在RSA 2017的調查中(zhōng),有30%的受訪者表示他們的組織遭受了勒索軟件的攻擊
在超過一(yī)半的事件中(zhōng),受害組織能夠在不到8小(xiǎo)時的時間内恢複其系統服務。20%的受訪者表示,在遭遇勒索軟件攻擊2-3天内,員(yuán)工(gōng)才能恢複系統的訪問權,而在一(yī)天内恢複系統訪問的受訪企業占據17%;超過8小(xiǎo)時的占據11%。
數據來源:《勒索軟件呈增長趨勢》
79%的企業不願支付贖金以避免宕機和損失
大(dà)約有21%的受訪企業表示願意支付贖金來重新獲得對其系統和數據的訪問權,避免宕機損失的商(shāng)業成本。對名譽的不利影響以及銷售損失是企業在遭遇勒索軟件攻擊後需要考慮的重要問題。
數據來源:《勒索軟件呈增長趨勢》
CEO和安全支出觀點
64%:認爲安全性是未來幾年企業競争軟實力的CEO比例
調查發現,首席執行官們尤爲關注由數據洩漏和其他IT相關的安全事件爲企業帶來的不利影響,尤其是公衆對企業的信任。
數據來源:《全球CEO年度報告》
到2020年,全球企業用在網絡安全軟硬件和服務上的資(zī)金将達到1016億美元
2016年至2020年的安全支出将以8.3%的平均增長速度增長,也就是同期IT支出總額的兩倍以上。 在未來幾年内,全球安全投資(zī)最多的組織将會是金融服務公司,分(fēn)立和流程制造商(shāng)以及政府。
數據來源:《全球安全支出指南(nán)》
2016年在安全相關服務方面的總體(tǐ)安全預算比例将達到45%
安全軟件是第二大(dà)支出領域,其中(zhōng)身份和訪問管理工(gōng)具、端點安全軟件以及漏洞管理産品占據該類别75%的支出。去(qù)年,安全硬件産品的銷售額約爲140億美元。
數據來源:《全球安全支出指南(nán)》
組織平均花費(fèi)在IT安全和風險管理上的整體(tǐ)IT預算比例達5.6%
安全支出在IT預算總額的1%至13%之間,通常是安全計劃有效性的誤導性指标。 與行業平均值和同行組織的通用比較可能會使組織過高估計或低估其安全能力。
數據來源:《确定真實信息的安全預算》
網絡安全技能
超過四分(fēn)之一(yī)的公司表示,填補重要網絡安全和信息安全職務空缺需要6個月或更長的時間
根據國際信息系統審計協會(ISACA)Cybersecurity Nexus(CSX)所開(kāi)展的新網絡安全勞動力調查顯示,僅有59%的受調機構表示,機構的每個網絡安全職位至少收到五名申請者的申請,收到20個及以上申請的機構僅占13%。與之形成對比的是,大(dà)多數公司的空缺職位都擁有60至250名的申請者。
數據來源:《2017網絡安全狀況》
52%的受訪者表示實踐經驗是最重要的網絡安全技能
在不斷深化的技能危機中(zhōng),25%的組織認爲網絡安全工(gōng)作候選人缺乏技術技能;而45%的受訪組織認爲網絡安全職位申請人不了解業務需求;近70%的受訪企業認爲安全認證證書(shū)比正式的網絡安全學位更有用。
數據來源:《2017網絡安全狀況》
歐盟一(yī)般數據保護條例(GDPR)
47%的組織不能滿足歐盟GDPR的要求
2017年,Veritas面向歐洲、美國和亞太地區的超過900名高級業務決策者開(kāi)展了一(yī)項關于應對GDPR的情況調研。結果表明,47%的受訪者不确定其能夠在2018年5月25日GDPR實施前滿足相關合規性要求。根據新條例規定,如果企業無法滿足合規要求,則會面臨高達2,100萬美元或4%年收益的罰款,以金額較高爲準。
21%的受訪者非常擔心潛在的裁員(yuán)風險,這是由于企業一(yī)旦因不符合GDPR條例而招緻巨額經濟罰款,大(dà)幅度裁員(yuán)将會在所難免。
數據來源:《2017年Veritas GDPR報告》
42%的企業表示,不知(zhī)道該保存哪些數據
數據保留也是企業普遍擔憂的難題之一(yī)。42%的企業承認,當前尚無任何有效機制能夠根據數據價值來确定應該保留或删除的數據。根據GDPR規定,如果個人數據仍舊(jiù)用于在收集時所告知(zhī)用戶的用途,那麽企業可以繼續保留個人數據,但在該使用用途結束時,企業必須立即删除個人數據。
數據來源:《2017年Veritas GDPR報告》
40%的受訪者則表示擔心合規失敗後的處罰問題
調查顯示,不到1/4的受訪者擔心自身是否能夠通過有關數據保護要求的審核問題,而40%的受訪者則表示擔心合規失敗後的處罰問題。
數據來源:《企業内部的數據治理》
中(zhōng)小(xiǎo)企業的安全顧慮
Verizon在2016年調查顯示,61%的數據洩露來自于不到1000名員(yuán)工(gōng)的中(zhōng)小(xiǎo)企業
雖然大(dà)型的違規行爲往往針對大(dà)型企業,但是研究表明,中(zhōng)小(xiǎo)企業卻占了據數據洩漏總數的61%。
數據來源:《Verizon 2017數據洩露調查報告》
82%的企業表示他們的内部員(yuán)工(gōng),每周花費(fèi)20到60個小(xiǎo)時來采購,實施和管理安全産品
近75%的中(zhōng)型企業受訪者表示,他們有3-5名全職員(yuán)工(gōng)負責管理公司的安全需求。平均而言,他們隻是在網絡安全上的支出就達到17.8萬美元,占據IT安全支出總額的30%左右。
數據來源:《451研究調查》
2016年至2021年間,中(zhōng)型企業用于網絡安全的支出将增長8.9%
未來5年内(2016-2021年),中(zhōng)型企業的網絡安全支出的增長速度将爲總體(tǐ)安全支出的兩倍。到2021年,擁有500-2500名員(yuán)工(gōng)的企業在網絡安全産品和服務上的支出将達到約35億美元,而在2016年這一(yī)數字僅爲24億美元。
數據來源:《451研究調查》
開(kāi)源安全
包含開(kāi)源組件的商(shāng)業應用程序比例達96%
針對數千個商(shāng)業應用程序的開(kāi)源審計結果表明,平均每一(yī)款商(shāng)業應用程序至少包含147個獨特的開(kāi)源組件,而且三分(fēn)之二的商(shāng)業應用代碼中(zhōng)已知(zhī)是存在安全漏洞的。
數據來源:《2017開(kāi)源安全與風險分(fēn)析報告》
4:金融服務業組織使用的應用程序平均包含52個開(kāi)源漏洞
金融服務業組織使用的應用程序平均包含52個開(kāi)源漏洞,而零售行業和電(diàn)子商(shāng)務行業應用程序中(zhōng)存在的高風險漏洞比例較高。
數據來源:《2017開(kāi)源安全與風險分(fēn)析報告》
3,623:2016年報告的開(kāi)源組件漏洞總數
2016年,每天幾乎都有10個開(kāi)源漏洞遭到曝光,比2015年增加了10%。許多常用的開(kāi)源組件中(zhōng)都被曝存在高風險漏洞,例如Spring Framework和Apache Commons Collections。
數據來源:《2017開(kāi)源安全與風險分(fēn)析報告》
Android,macOS和Windows漏洞
523:2016年Android中(zhōng)報告的漏洞總數
2016年的Android漏洞數量是2015年在操作系統中(zhōng)發現的125個漏洞的四倍以上,是2009年發現的漏洞數量的100倍以上。去(qù)年發現的523個漏洞中(zhōng),約有250個是特權升級漏洞,其中(zhōng)有104個可以造成DoS攻擊。
數據來源:《CVE Details》
215:2016年蘋果MacOS X的漏洞數量
2016年,蘋果MacOS X系統漏洞數量也達到了215個,但是這一(yī)數字明顯低于2015年發現的444個安全漏洞的曆史最高紀錄。而今年(截至5月15日)已經在蘋果系統中(zhōng)發現了142個安全漏洞,2017年可能又(yòu)是macOS X系統“漏洞爆發年”。
數據來源:《CVE Details》
293:自2015年發布以來,Microsoft Windows 10中(zhōng)報告的漏洞總數
2017年(截至5月15日),Microsoft Windows 10操作系統中(zhōng)共發現了78個安全漏洞;2016年共發現172個安全漏洞;2015年共53個漏洞,共計303個安全漏洞。
數據來源:《CVE Details》
雲安全
42%的受訪者表示,他們将來可能或極有可能将雲服務運用到其安全業務中(zhōng)
近一(yī)半(45%)的受訪者表示,他們将來可能或極有可能将雲服務運用到其安全業務中(zhōng)。這一(yī)趨勢是企業對雲服務整體(tǐ)的信心增長所驅動的,57%的受訪者表示相信雲是安全的。技術領域的企業對于雲的信心最高,其次是教育部門。
數據來源:《雲計算中(zhōng)的安全性》
認爲公有雲與本地數據中(zhōng)心一(yī)樣安全或更安全的IT專業人士比例達63%
24.6的受訪者認爲公有雲比本地數據中(zhōng)心更爲安全;38.3的受訪者認爲公有雲與本地數據中(zhōng)心一(yī)樣安全;另有37.1%的受訪者認爲公有雲沒有本地數據中(zhōng)心安全。
數據來源:《2017年自定義應用和IaaS趨勢》
63%的受訪者表示,最爲關心的是部署自定義應用程序到公共雲的敏感數據
雲環境中(zhōng)其他自定義應用威脅包括第三方賬戶受損(56.9%)、将敏感數據下(xià)載到非企業設備中(zhōng)(40.1%)以及終端用戶誤操作(28.1%)。
數據來源:《2017年自定義應用和IaaS趨勢》
444:在企業部署自定義應用程序的平均數量
IT和DevOps專業人士對環境中(zhōng)的定制應用程序的認識相對較高,但IT安全專業人員(yuán)知(zhī)道這些應用程序的不到40%。此外(wài),報告還顯示,目前在内部數據中(zhōng)心部署的定制企業應用程序中(zhōng)的20%以上将在未來12個月内遷移到公有雲中(zhōng)。
數據來源:《2017年自定義應用和IaaS趨勢》
DevSecOps
100:1:軟件開(kāi)發人員(yuán)比普通企業的安全專業人員(yuán)多
大(dà)約一(yī)半的軟件開(kāi)發者知(zhī)道安全性很重要,但是由于缺乏時間和精力而無法充分(fēn)地重視它們。54%的受訪者将安全專家視爲識别漏洞卻不對其做任何事情的“nags(不斷抱怨、指責的人)”。
數據來源:《2017年DecSecops社區調查》
DevOps實踐不怎麽成熟的企業中(zhōng),有58%的開(kāi)發者将安全性視爲一(yī)種抑制劑
這一(yī)比例會因爲DevOps實踐的成熟度不同而有所區别。在DevOps實踐不怎麽成熟的企業中(zhōng),會有更多開(kāi)發者将安全性視爲一(yī)種抑制劑。相反,那些DevOps實踐較爲成熟的企業中(zhōng),就會有更少的開(kāi)發者将安全性視爲抑制劑。這表明,這些企業已經找到了将安全性整合到開(kāi)發過程中(zhōng)的方式。
數據來源:《2017年DecSecops社區調查》
47%的C級受訪人員(yuán)表示,會使用安全信息和事件管理(SIEM)工(gōng)具
調查顯示,約52%的受訪者表示擁有入侵檢測工(gōng)具;51%使用主動監測&分(fēn)析威脅情報;48%會進行漏洞評估。根據針對10,000位C級管理人員(yuán)和IT主管的調查顯示,2016年其他常見的威脅檢測流程部署還包括威脅情報訂閱服務(45%)以及滲透測試(44%)等。
數據來源:《2017年全球信息安全狀況調查》
物(wù)聯網(IoT)
49%的企業将安全和隐私作爲部署物(wù)聯網環境時考慮的主要因素
正如安全性是雲部署過程中(zhōng)需要重點關注的問題一(yī)樣,在物(wù)聯網部署中(zhōng)安全性同樣至關重要。一(yī)般來說,大(dà)型企業受訪者(46%)對連接設備的安全性重視程度高于中(zhōng)型企業(33%)和小(xiǎo)型企業(31%)受訪者。
數據來源:《物(wù)聯網的洞察和機遇》
65%的組織将黑客及黑客入侵視爲物(wù)聯網的最大(dà)威脅
在所有受訪企業中(zhōng),有一(yī)半以上(52%)将設備漏洞視爲物(wù)聯網安全的最大(dà)威脅,51%的受訪者将網絡中(zhōng)未加密的數據視爲主要的與物(wù)聯網相關的威脅。
數據來源:《物(wù)聯網的洞察和機遇》
上一(yī)篇:防止ddos攻擊軟件DDoS-Deflate 的安裝和使用
下(xià)一(yī)篇:2017年全球工(gōng)業控制系統網絡安全現狀調查