40個安全專家需要知道的網路安全數據

隨著互聯網的不斷發展，網路安全威脅也日益增長。為了便於IT安全人員及時的掌握和了解當前的安全環境，許許多多的行業調查，供應商報告和研究報告也隨之而來。而面對如此規模龐大的報告數量，不免讓我們感到有些眼花繚亂。為此，我對大量的分析報告進行了梳理，以便於大家更好地閱讀和了解這些內容。以下是關於數據泄露，新興威脅，軟體漏洞，合規性相關問題，網路安全技能等問題的報告集合。

數據泄露

538：2016年公開披露的數據泄露總數

數據顯示2016年，共發生1800起數據泄露事件，這些事件導致近14億條記錄外泄。相比2015年，記錄外泄的數量增加了86%。但是即便如此，2016年數據泄露的總記錄數僅僅只有1100多萬條，大大低於2015年被泄露的1.6億條數據記錄，例如美國人事管理局，Anthem和Premera數據泄露事件，都大大提升了其泄露總量。

數據來源：《數據違規年表》

406：2016年外部第三方或惡意軟體攻擊造成的違規行為總數

2016年，與攻擊有關的（外部第三方和惡意軟體攻擊）違規行為總數已經超過了合法訪問系統的內部人員（15起）和無意泄密（143起）所造成的違規行為數量。而在2017年1月1日-2017年5月15日期間，共發生了93起數據泄漏事件，其原因主要是由於紙質文件的物理損壞或丟失、被盜或是筆記本電腦或其他移動設備錯放所導致。

數據來源：《數據違規年表》

Verizon報告指出63%的數據泄露事故涉及使用低強度、默認的密碼或密碼被盜的情況

Verizon報告指出63%的數據泄露事故涉及使用低強度、默認的密碼或密碼被盜的情況。其中，41%的數據泄露事故涉及登錄憑證被盜，13%利用默認或暴力破解的憑證；這些總量超過63%，因為單個數據泄露事故可能涉及多個攻擊方式。

數據來源：《Verizon 2017數據泄露調查報告》

376：2016年各行業數據泄露情況

2016年，醫療保健行業泄漏的數據總量比其他任何行業都要多得多，比例高達43.6%。2016年數據泄漏報告中違規行為和數據泄漏總量最少的部門為銀行／信貸／金融行業，只有52例違規行為，7萬多條數據泄漏。

數據來源：《2016年數據泄露報告》

77%的首席信息安全官表示，對其組織檢測到且尚未解決的違規行為高度關注

調查發現，超過80%的首席信息安全官對其組織檢測到且尚未解決的違規行為表示高度關注。儘管有這樣的擔憂，但仍有56%的CISO認為他們的公司能夠「有效地」阻止安全漏洞，另有19%的受訪企業表示他們能夠「非常有效地」阻止安全漏洞。

數據來源：《全球CISO研究報告》

攻擊類型和動機

247：Verizon去年調查到的以「網路間諜」為主要動機的泄漏事件數量

這些事件中共有155起造成了實際的數據泄漏情況。除了公共部門組織外，製造業公司是2016年網路間諜活動的主要目標，共發生了108起數據竊取事件。

517：Akamai調查得出的2016年Q4 DDoS攻擊峰值規模

2016年最後一個季度的DDoS攻擊總數僅比2015年第二季度的DDoS攻擊數量略高4％。但攻擊強度超過100Gbps的攻擊數量，則從5次增加到了12次，同期增加了140個百分點。

數據來源：《2016年第四季度互聯網發展狀況安全報告》

2016年第4季度超過300Gbps攻擊流量的DDoS攻擊比例佔70%

在許多攻擊事件中，威脅行為者使用不安全的物聯網（IoT）設備來生成攻擊流量。2016年第4季度中最大的DDoS攻擊來自Spike物聯網殭屍網路。

普華永道的調查中有38％的受訪者表示曾有過網路釣魚詐騙的經歷

網路釣魚成為2016年增長趨勢最明顯的安全威脅。這種趨勢表明網路犯罪分子並不依賴複雜的工具來執行工具，相反地，他們開始越來越多地嘗試使用合法的管理員工具來獲取訪問許可權。

數據來源：《2017年全球信息安全狀況調查》

74%的企業認為自身易受到內部威脅影響

與2016年相比，這一比例比去年提高了7%。儘管內部威脅受到了企業的高度關注，但在10個組織中，只有四分之一的企業實施了檢測和防止內部人攻擊的安全控制措施。

數據來源：《行業內部威脅調查》

勒索軟體

自2016年1月1日以來，平均每天發生4000多次勒索病毒攻擊

這一數據相比2015年增長了400%。

數據來源：《如何避免勒索軟體的攻擊》

在RSA 2017的調查中，有30％的受訪者表示他們的組織遭受了勒索軟體的攻擊

在超過一半的事件中，受害組織能夠在不到8小時的時間內恢復其系統服務。20%的受訪者表示，在遭遇勒索軟體攻擊2-3天內，員工才能恢復系統的訪問權，而在一天內恢復系統訪問的受訪企業佔據17%；超過8小時的佔據11%。

數據來源：《勒索軟體呈增長趨勢》

79%的企業不願支付贖金以避免宕機和損失

大約有21%的受訪企業表示願意支付贖金來重新獲得對其系統和數據的訪問權，避免宕機損失的商業成本。對名譽的不利影響以及銷售損失是企業在遭遇勒索軟體攻擊后需要考慮的重要問題。

CEO和安全支出觀點

64%：認為安全性是未來幾年企業競爭軟實力的CEO比例

調查發現，首席執行官們尤為關注由數據泄漏和其他IT相關的安全事件為企業帶來的不利影響，尤其是公眾對企業的信任。

數據來源：《全球CEO年度報告》

到2020年，全球企業用在網路安全軟硬體和服務上的資金將達到1016億美元

2016年至2020年的安全支出將以8.3％的平均增長速度增長，也就是同期IT支出總額的兩倍以上。 在未來幾年內，全球安全投資最多的組織將會是金融服務公司，分立和流程製造商以及政府。

數據來源：《全球安全支出指南》

2016年在安全相關服務方面的總體安全預算比例將達到45％

安全軟體是第二大支出領域，其中身份和訪問管理工具、端點安全軟體以及漏洞管理產品佔據該類別75%的支出。去年，安全硬體產品的銷售額約為140億美元。

數據來源：《全球安全支出指南》

組織平均花費在IT安全和風險管理上的整體IT預算比例達5.6％

安全支出在IT預算總額的1％至13％之間，通常是安全計劃有效性的誤導性指標。 與行業平均值和同行組織的通用比較可能會使組織過高估計或低估其安全能力。

數據來源：《確定真實信息的安全預算》

網路安全技能

超過四分之一的公司表示，填補重要網路安全和信息安全職務空缺需要6個月或更長的時間

根據國際信息系統審計協會（ISACA）Cybersecurity Nexus（CSX）所開展的新網路安全勞動力調查顯示，僅有59%的受調機構表示，機構的每個網路安全職位至少收到五名申請者的申請，收到20個及以上申請的機構僅佔13%。與之形成對比的是，大多數公司的空缺職位都擁有60至250名的申請者。

數據來源：《2017網路安全狀況》

52％的受訪者表示實踐經驗是最重要的網路安全技能

在不斷深化的技能危機中，25%的組織認為網路安全工作候選人缺乏技術技能；而45%的受訪組織認為網路安全職位申請人不了解業務需求；近70%的受訪企業認為安全認證證書比正式的網路安全學位更有用。

歐盟一般數據保護條例（GDPR）

47%的組織不能滿足歐盟GDPR的要求

2017年，Veritas面向歐洲、美國和亞太地區的超過900名高級業務決策者開展了一項關於應對GDPR的情況調研。結果表明，47%的受訪者不確定其能夠在2018年5月25日GDPR實施前滿足相關合規性要求。根據新條例規定，如果企業無法滿足合規要求，則會面臨高達2,100萬美元或4%年收益的罰款，以金額較高為準。

21%的受訪者非常擔心潛在的裁員風險，這是由於企業一旦因不符合GDPR條例而招致巨額經濟罰款，大幅度裁員將會在所難免。

數據來源：《2017年Veritas GDPR報告》

42％的企業表示，不知道該保存哪些數據

數據保留也是企業普遍擔憂的難題之一。42%的企業承認，當前尚無任何有效機制能夠根據數據價值來確定應該保留或刪除的數據。根據GDPR規定，如果個人數據仍舊用於在收集時所告知用戶的用途，那麼企業可以繼續保留個人數據，但在該使用用途結束時，企業必須立即刪除個人數據。

40%的受訪者則表示擔心合規失敗后的處罰問題

調查顯示，不到1／4的受訪者擔心自身是否能夠通過有關數據保護要求的審核問題，而40%的受訪者則表示擔心合規失敗后的處罰問題。

數據來源：《企業內部的數據治理》

Verizon在2016年調查顯示，61%的數據泄露來自於不到1000名員工的中小企業

雖然大型的違規行為往往針對大型企業，但是研究表明，中小企業卻佔了據數據泄漏總數的61%。

82%的企業表示他們的內部員工，每周花費20到60個小時來採購，實施和管理安全產品

近75%的中型企業受訪者表示，他們有3-5名全職員工負責管理公司的安全需求。平均而言，他們只是在網路安全上的支出就達到17.8萬美元，佔據IT安全支出總額的30%左右。

數據來源：《451研究調查》

2016年至2021年間，中型企業用於網路安全的支出將增長8.9％

未來5年內（2016-2021年），中型企業的網路安全支出的增長速度將為總體安全支出的兩倍。到2021年，擁有500-2500名員工的企業在網路安全產品和服務上的支出將達到約35億美元，而在2016年這一數字僅為24億美元。

數據來源：《451研究調查》

開源安全

包含開源組件的商業應用程序比例達96%

針對數千個商業應用程序的開源審計結果表明，平均每一款商業應用程序至少包含147個獨特的開源組件，而且三分之二的商業應用代碼中已知是存在安全漏洞的。

數據來源：《2017開源安全與風險分析報告》

4：金融服務業組織使用的應用程序平均包含52個開源漏洞

金融服務業組織使用的應用程序平均包含52個開源漏洞，而零售行業和電子商務行業應用程序中存在的高風險漏洞比例較高。

3,623：2016年報告的開源組件漏洞總數

2016年，每天幾乎都有10個開源漏洞遭到曝光，比2015年增加了10%。許多常用的開源組件中都被曝存在高風險漏洞，例如Spring Framework和Apache Commons Collections。

Android，macOS和Windows漏洞

523：2016年Android中報告的漏洞總數

2016年的Android漏洞數量是2015年在操作系統中發現的125個漏洞的四倍以上，是2009年發現的漏洞數量的100倍以上。去年發現的523個漏洞中，約有250個是特權升級漏洞，其中有104個可以造成DoS攻擊。

數據來源：《CVE Details》

215：2016年蘋果MacOS X的漏洞數量

2016年，蘋果MacOS X系統漏洞數量也達到了215個，但是這一數字明顯低於2015年發現的444個安全漏洞的歷史最高紀錄。而今年（截至5月15日）已經在蘋果系統中發現了142個安全漏洞，2017年可能又是macOS X系統「漏洞爆發年」。

293：自2015年發布以來，Microsoft Windows 10中報告的漏洞總數

2017年（截至5月15日），Microsoft Windows 10操作系統中共發現了78個安全漏洞；2016年共發現172個安全漏洞；2015年共53個漏洞，共計303個安全漏洞。

雲安全

42%的受訪者表示，他們將來可能或極有可能將雲服務運用到其安全業務中

近一半（45%）的受訪者表示，他們將來可能或極有可能將雲服務運用到其安全業務中。這一趨勢是企業對雲服務整體的信心增長所驅動的，57%的受訪者表示相信雲是安全的。技術領域的企業對於雲的信心最高，其次是教育部門。

數據來源：《雲計算中的安全性》

認為公有雲與本地數據中心一樣安全或更安全的IT專業人士比例達63%

24.6的受訪者認為公有雲比本地數據中心更為安全；38.3的受訪者認為公有雲與本地數據中心一樣安全；另有37.1%的受訪者認為公有雲沒有本地數據中心安全。

數據來源：《2017年自定義應用和IaaS趨勢》

63％的受訪者表示，最為關心的是部署自定義應用程序到公共雲的敏感數據

雲環境中其他自定義應用威脅包括第三方賬戶受損（56.9%）、將敏感數據下載到非企業設備中（40.1%）以及終端用戶誤操作（28.1%）。

444：在企業部署自定義應用程序的平均數量

IT和DevOps專業人士對環境中的定製應用程序的認識相對較高，但IT安全專業人員知道這些應用程序的不到40％。此外，報告還顯示，目前在內部數據中心部署的定製企業應用程序中的20％以上將在未來12個月內遷移到公有雲中。

DevSecOps

100:1:軟體開發人員比普通企業的安全專業人員多

大約一半的軟體開發者知道安全性很重要，但是由於缺乏時間和精力而無法充分地重視它們。54%的受訪者將安全專家視為識別漏洞卻不對其做任何事情的「nags（不斷抱怨、指責的人）」。

數據來源：《2017年DecSecops社區調查》

DevOps實踐不怎麼成熟的企業中，有58%的開發者將安全性視為一種抑製劑

這一比例會因為DevOps實踐的成熟度不同而有所區別。在DevOps實踐不怎麼成熟的企業中，會有更多開發者將安全性視為一種抑製劑。相反，那些DevOps實踐較為成熟的企業中，就會有更少的開發者將安全性視為抑製劑。這表明，這些企業已經找到了將安全性整合到開發過程中的方式。

47%的C級受訪人員表示，會使用安全信息和事件管理（SIEM）工具

調查顯示，約52%的受訪者表示擁有入侵檢測工具；51%使用主動監測&分析威脅情報；48%會進行漏洞評估。根據針對10,000位C級管理人員和IT主管的調查顯示，2016年其他常見的威脅檢測流程部署還包括威脅情報訂閱服務（45%）以及滲透測試（44%）等。

物聯網（IoT）

49％的企業將安全和隱私作為部署物聯網環境時考慮的主要因素

正如安全性是雲部署過程中需要重點關注的問題一樣，在物聯網部署中安全性同樣至關重要。一般來說，大型企業受訪者（46%）對連接設備的安全性重視程度高於中型企業（33%）和小型企業（31%）受訪者。

數據來源：《物聯網的洞察和機遇》

65%的組織將黑客及黑客入侵視為物聯網的最大威脅

在所有受訪企業中，有一半以上（52%）將設備漏洞視為物聯網安全的最大威脅，51%的受訪者將網路中未加密的數據視為主要的與物聯網相關的威脅。