隨著互聯(lián)網(wǎng)的不斷發(fā)展，網(wǎng)絡(luò)安全威脅也日益增長(zhǎng)。為了便于IT安全人員及時(shí)的掌握和了解當(dāng)前的安全環(huán)境，許許多多的行業(yè)調(diào)查，供應(yīng)商報(bào)告和研究報(bào)告也隨之而來。而面對(duì)如此規(guī)模龐大的報(bào)告數(shù)量，不免讓我們感到有些眼花繚亂。為此，我對(duì)大量的分析報(bào)告進(jìn)行了梳理，以便于大家更好地閱讀和了解這些內(nèi)容。以下是關(guān)于數(shù)據(jù)泄露，新興威脅，軟件漏洞，合規(guī)性相關(guān)問題，網(wǎng)絡(luò)安全技能等問題的報(bào)告集合。

數(shù)據(jù)泄露

(1) 538：2016年公開披露的數(shù)據(jù)泄露總數(shù)

數(shù)據(jù)顯示2016年，共發(fā)生1800起數(shù)據(jù)泄露事件，這些事件導(dǎo)致近14億條記錄外泄。相比2015年，記錄外泄的數(shù)量增加了86%。但是即便如此，2016年數(shù)據(jù)泄露的總記錄數(shù)僅僅只有1100多萬條，大大低于2015年被泄露的1.6億條數(shù)據(jù)記錄，例如美國(guó)人事管理局，Anthem和Premera數(shù)據(jù)泄露事件，都大大提升了其泄露總量。

數(shù)據(jù)來源：《數(shù)據(jù)違規(guī)年表》

(2) 406：2016年外部第三方或惡意軟件攻擊造成的違規(guī)行為總數(shù)

2016年，與攻擊有關(guān)的(外部第三方和惡意軟件攻擊)違規(guī)行為總數(shù)已經(jīng)超過了合法訪問系統(tǒng)的內(nèi)部人員(15起)和無意泄密(143起)所造成的違規(guī)行為數(shù)量。而在2017年1月1日-2017年5月15日期間，共發(fā)生了93起數(shù)據(jù)泄漏事件，其原因主要是由于紙質(zhì)文件的物理損壞或丟失、被盜或是筆記本電腦或其他移動(dòng)設(shè)備錯(cuò)放所導(dǎo)致。

數(shù)據(jù)來源：《數(shù)據(jù)違規(guī)年表》

(3) Verizon報(bào)告指出63%的數(shù)據(jù)泄露事故涉及使用低強(qiáng)度、默認(rèn)的密碼或密碼被盜的情況

Verizon報(bào)告指出63%的數(shù)據(jù)泄露事故涉及使用低強(qiáng)度、默認(rèn)的密碼或密碼被盜的情況。其中，41%的數(shù)據(jù)泄露事故涉及登錄憑證被盜，13%利用默認(rèn)或暴力破解的憑證;這些總量超過63%，因?yàn)閱蝹€(gè)數(shù)據(jù)泄露事故可能涉及多個(gè)攻擊方式。

數(shù)據(jù)來源：《Verizon 2017數(shù)據(jù)泄露調(diào)查報(bào)告》

(4) 376：2016年各行業(yè)數(shù)據(jù)泄露情況

2016年，醫(yī)療保健行業(yè)泄漏的數(shù)據(jù)總量比其他任何行業(yè)都要多得多，比例高達(dá)43.6%。2016年數(shù)據(jù)泄漏報(bào)告中違規(guī)行為和數(shù)據(jù)泄漏總量最少的部門為銀行/信貸/金融行業(yè)，只有52例違規(guī)行為，7萬多條數(shù)據(jù)泄漏。

數(shù)據(jù)來源：《2016年數(shù)據(jù)泄露報(bào)告》

(5) 77%的首席信息安全官表示，對(duì)其組織檢測(cè)到且尚未解決的違規(guī)行為高度關(guān)注

調(diào)查發(fā)現(xiàn)，超過80%的首席信息安全官對(duì)其組織檢測(cè)到且尚未解決的違規(guī)行為表示高度關(guān)注。盡管有這樣的擔(dān)憂，但仍有56%的CISO認(rèn)為他們的公司能夠“有效地”阻止安全漏洞，另有19%的受訪企業(yè)表示他們能夠“非常有效地”阻止安全漏洞。

數(shù)據(jù)來源：《全球CISO研究報(bào)告》

攻擊類型和動(dòng)機(jī)

(6) 247：Verizon去年調(diào)查到的以“網(wǎng)絡(luò)間諜”為主要?jiǎng)訖C(jī)的泄漏事件數(shù)量

這些事件中共有155起造成了實(shí)際的數(shù)據(jù)泄漏情況。除了公共部門組織外，制造業(yè)公司是2016年網(wǎng)絡(luò)間諜活動(dòng)的主要目標(biāo)，共發(fā)生了108起數(shù)據(jù)竊取事件。

數(shù)據(jù)來源：《Verizon 2017數(shù)據(jù)泄露調(diào)查報(bào)告》

(7) 517：Akamai調(diào)查得出的2016年Q4 DDoS攻擊峰值規(guī)模

2016年最后一個(gè)季度的DDoS攻擊總數(shù)僅比2015年第二季度的DDoS攻擊數(shù)量略高4%。但攻擊強(qiáng)度超過100Gbps的攻擊數(shù)量，則從5次增加到了12次，同期增加了140個(gè)百分點(diǎn)。

數(shù)據(jù)來源：《2016年第四季度互聯(lián)網(wǎng)發(fā)展?fàn)顩r安全報(bào)告》

(8) 2016年第4季度超過300Gbps攻擊流量的DDoS攻擊比例占70%

在許多攻擊事件中，威脅行為者使用不安全的物聯(lián)網(wǎng)(IoT)設(shè)備來生成攻擊流量。2016年第4季度中最大的DDoS攻擊來自Spike物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)。

數(shù)據(jù)來源：《2016年第四季度互聯(lián)網(wǎng)發(fā)展?fàn)顩r安全報(bào)告》

(9) 普華永道的調(diào)查中有38%的受訪者表示曾有過網(wǎng)絡(luò)釣魚詐騙的經(jīng)歷

網(wǎng)絡(luò)釣魚成為2016年增長(zhǎng)趨勢(shì)最明顯的安全威脅。這種趨勢(shì)表明網(wǎng)絡(luò)犯罪分子并不依賴復(fù)雜的工具來執(zhí)行工具，相反地，他們開始越來越多地嘗試使用合法的管理員工具來獲取訪問權(quán)限。

數(shù)據(jù)來源：《2017年全球信息安全狀況調(diào)查》

(10) 74%的企業(yè)認(rèn)為自身易受到內(nèi)部威脅影響

與2016年相比，這一比例比去年提高了7%。盡管內(nèi)部威脅受到了企業(yè)的高度關(guān)注，但在10個(gè)組織中，只有四分之一的企業(yè)實(shí)施了檢測(cè)和防止內(nèi)部人攻擊的安全控制措施。

數(shù)據(jù)來源：《行業(yè)內(nèi)部威脅調(diào)查》

勒索軟件

(11) 自2016年1月1日以來，平均每天發(fā)生4000多次勒索病毒攻擊

這一數(shù)據(jù)相比2015年增長(zhǎng)了400%。

數(shù)據(jù)來源：《如何避免勒索軟件的攻擊》

(12) 在RSA 2017的調(diào)查中，有30%的受訪者表示他們的組織遭受了勒索軟件的攻擊

在超過一半的事件中，受害組織能夠在不到8小時(shí)的時(shí)間內(nèi)恢復(fù)其系統(tǒng)服務(wù)。20%的受訪者表示，在遭遇勒索軟件攻擊2-3天內(nèi)，員工才能恢復(fù)系統(tǒng)的訪問權(quán)，而在一天內(nèi)恢復(fù)系統(tǒng)訪問的受訪企業(yè)占據(jù)17%;超過8小時(shí)的占據(jù)11%。

數(shù)據(jù)來源：《勒索軟件呈增長(zhǎng)趨勢(shì)》

(13) 79%的企業(yè)不愿支付贖金以避免宕機(jī)和損失

大約有21%的受訪企業(yè)表示愿意支付贖金來重新獲得對(duì)其系統(tǒng)和數(shù)據(jù)的訪問權(quán)，避免宕機(jī)損失的商業(yè)成本。對(duì)名譽(yù)的不利影響以及銷售損失是企業(yè)在遭遇勒索軟件攻擊后需要考慮的重要問題。

數(shù)據(jù)來源：《勒索軟件呈增長(zhǎng)趨勢(shì)》

CEO和安全支出觀點(diǎn)

(14) 64%：認(rèn)為安全性是未來幾年企業(yè)競(jìng)爭(zhēng)軟實(shí)力的CEO比例

調(diào)查發(fā)現(xiàn)，首席執(zhí)行官們尤為關(guān)注由數(shù)據(jù)泄漏和其他IT相關(guān)的安全事件為企業(yè)帶來的不利影響，尤其是公眾對(duì)企業(yè)的信任。

數(shù)據(jù)來源：《全球CEO年度報(bào)告》

(15) 到2020年，全球企業(yè)用在網(wǎng)絡(luò)安全軟硬件和服務(wù)上的資金將達(dá)到1016億美元

2016年至2020年的安全支出將以8.3%的平均增長(zhǎng)速度增長(zhǎng)，也就是同期IT支出總額的兩倍以上。 在未來幾年內(nèi)，全球安全投資最多的組織將會(huì)是金融服務(wù)公司，分立和流程制造商以及政府。

數(shù)據(jù)來源：《全球安全支出指南》

(16) 2016年在安全相關(guān)服務(wù)方面的總體安全預(yù)算比例將達(dá)到45%

安全軟件是第二大支出領(lǐng)域，其中身份和訪問管理工具、端點(diǎn)安全軟件以及漏洞管理產(chǎn)品占據(jù)該類別75%的支出。去年，安全硬件產(chǎn)品的銷售額約為140億美元。

數(shù)據(jù)來源：《全球安全支出指南》

(17) 組織平均花費(fèi)在IT安全和風(fēng)險(xiǎn)管理上的整體IT預(yù)算比例達(dá)5.6%

安全支出在IT預(yù)算總額的1%至13%之間，通常是安全計(jì)劃有效性的誤導(dǎo)性指標(biāo)。 與行業(yè)平均值和同行組織的通用比較可能會(huì)使組織過高估計(jì)或低估其安全能力。

數(shù)據(jù)來源：《確定真實(shí)信息的安全預(yù)算》

網(wǎng)絡(luò)安全技能

(18) 超過四分之一的公司表示，填補(bǔ)重要網(wǎng)絡(luò)安全和信息安全職務(wù)空缺需要6個(gè)月或更長(zhǎng)的時(shí)間

根據(jù)國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)(ISACA)Cybersecurity Nexus(CSX)所開展的新網(wǎng)絡(luò)安全勞動(dòng)力調(diào)查顯示，僅有59%的受調(diào)機(jī)構(gòu)表示，機(jī)構(gòu)的每個(gè)網(wǎng)絡(luò)安全職位至少收到五名申請(qǐng)者的申請(qǐng)，收到20個(gè)及以上申請(qǐng)的機(jī)構(gòu)僅占13%。與之形成對(duì)比的是，大多數(shù)公司的空缺職位都擁有60至250名的申請(qǐng)者。

數(shù)據(jù)來源：《2017網(wǎng)絡(luò)安全狀況》

(19) 52%的受訪者表示實(shí)踐經(jīng)驗(yàn)是最重要的網(wǎng)絡(luò)安全技能

在不斷深化的技能危機(jī)中，25%的組織認(rèn)為網(wǎng)絡(luò)安全工作候選人缺乏技術(shù)技能;而45%的受訪組織認(rèn)為網(wǎng)絡(luò)安全職位申請(qǐng)人不了解業(yè)務(wù)需求;近70%的受訪企業(yè)認(rèn)為安全認(rèn)證證書比正式的網(wǎng)絡(luò)安全學(xué)位更有用。

數(shù)據(jù)來源：《2017網(wǎng)絡(luò)安全狀況》

歐盟一般數(shù)據(jù)保護(hù)條例(GDPR)

(20) 47%的組織不能滿足歐盟GDPR的要求

2017年，Veritas面向歐洲、美國(guó)和亞太地區(qū)的超過900名高級(jí)業(yè)務(wù)決策者開展了一項(xiàng)關(guān)于應(yīng)對(duì)GDPR的情況調(diào)研。結(jié)果表明，47%的受訪者不確定其能夠在2018年5月25日GDPR實(shí)施前滿足相關(guān)合規(guī)性要求。根據(jù)新條例規(guī)定，如果企業(yè)無法滿足合規(guī)要求，則會(huì)面臨高達(dá)2,100萬美元或4%年收益的罰款，以金額較高為準(zhǔn)。

21%的受訪者非常擔(dān)心潛在的裁員風(fēng)險(xiǎn)，這是由于企業(yè)一旦因不符合GDPR條例而招致巨額經(jīng)濟(jì)罰款，大幅度裁員將會(huì)在所難免。

數(shù)據(jù)來源：《2017年Veritas GDPR報(bào)告》

(21) 42%的企業(yè)表示，不知道該保存哪些數(shù)據(jù)

數(shù)據(jù)保留也是企業(yè)普遍擔(dān)憂的難題之一。42%的企業(yè)承認(rèn)，當(dāng)前尚無任何有效機(jī)制能夠根據(jù)數(shù)據(jù)價(jià)值來確定應(yīng)該保留或刪除的數(shù)據(jù)。根據(jù)GDPR規(guī)定，如果個(gè)人數(shù)據(jù)仍舊用于在收集時(shí)所告知用戶的用途，那么企業(yè)可以繼續(xù)保留個(gè)人數(shù)據(jù)，但在該使用用途結(jié)束時(shí)，企業(yè)必須立即刪除個(gè)人數(shù)據(jù)。

數(shù)據(jù)來源：《2017年Veritas GDPR報(bào)告》

(22) 40%的受訪者則表示擔(dān)心合規(guī)失敗后的處罰問題

調(diào)查顯示，不到1/4的受訪者擔(dān)心自身是否能夠通過有關(guān)數(shù)據(jù)保護(hù)要求的審核問題，而40%的受訪者則表示擔(dān)心合規(guī)失敗后的處罰問題。

數(shù)據(jù)來源：《企業(yè)內(nèi)部的數(shù)據(jù)治理》

中小企業(yè)的安全顧慮

(23) Verizon在2016年調(diào)查顯示，61%的數(shù)據(jù)泄露來自于不到1000名員工的中小企業(yè)

雖然大型的違規(guī)行為往往針對(duì)大型企業(yè)，但是研究表明，中小企業(yè)卻占了據(jù)數(shù)據(jù)泄漏總數(shù)的61%。

數(shù)據(jù)來源：《Verizon 2017數(shù)據(jù)泄露調(diào)查報(bào)告》

(24) 82%的企業(yè)表示他們的內(nèi)部員工，每周花費(fèi)20到60個(gè)小時(shí)來采購，實(shí)施和管理安全產(chǎn)品

近75%的中型企業(yè)受訪者表示，他們有3-5名全職員工負(fù)責(zé)管理公司的安全需求。平均而言，他們只是在網(wǎng)絡(luò)安全上的支出就達(dá)到17.8萬美元，占據(jù)IT安全支出總額的30%左右。

數(shù)據(jù)來源：《451研究調(diào)查》

(25) 2016年至2021年間，中型企業(yè)用于網(wǎng)絡(luò)安全的支出將增長(zhǎng)8.9%

未來5年內(nèi)(2016-2021年)，中型企業(yè)的網(wǎng)絡(luò)安全支出的增長(zhǎng)速度將為總體安全支出的兩倍。到2021年，擁有500-2500名員工的企業(yè)在網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)上的支出將達(dá)到約35億美元，而在2016年這一數(shù)字僅為24億美元。

數(shù)據(jù)來源：《451研究調(diào)查》

開源安全

(26) 包含開源組件的商業(yè)應(yīng)用程序比例達(dá)96%

針對(duì)數(shù)千個(gè)商業(yè)應(yīng)用程序的開源審計(jì)結(jié)果表明，平均每一款商業(yè)應(yīng)用程序至少包含147個(gè)獨(dú)特的開源組件，而且三分之二的商業(yè)應(yīng)用代碼中已知是存在安全漏洞的。

數(shù)據(jù)來源：《2017開源安全與風(fēng)險(xiǎn)分析報(bào)告》

(27) 4：金融服務(wù)業(yè)組織使用的應(yīng)用程序平均包含52個(gè)開源漏洞

金融服務(wù)業(yè)組織使用的應(yīng)用程序平均包含52個(gè)開源漏洞，而零售行業(yè)和電子商務(wù)行業(yè)應(yīng)用程序中存在的高風(fēng)險(xiǎn)漏洞比例較高。

數(shù)據(jù)來源：《2017開源安全與風(fēng)險(xiǎn)分析報(bào)告》

(28) 3,623：2016年報(bào)告的開源組件漏洞總數(shù)

2016年，每天幾乎都有10個(gè)開源漏洞遭到曝光，比2015年增加了10%。許多常用的開源組件中都被曝存在高風(fēng)險(xiǎn)漏洞，例如Spring Framework和Apache Commons Collections。

數(shù)據(jù)來源：《2017開源安全與風(fēng)險(xiǎn)分析報(bào)告》

Android，macOS和Windows漏洞

(29) 523：2016年Android中報(bào)告的漏洞總數(shù)

2016年的Android漏洞數(shù)量是2015年在操作系統(tǒng)中發(fā)現(xiàn)的125個(gè)漏洞的四倍以上，是2009年發(fā)現(xiàn)的漏洞數(shù)量的100倍以上。去年發(fā)現(xiàn)的523個(gè)漏洞中，約有250個(gè)是特權(quán)升級(jí)漏洞，其中有104個(gè)可以造成DoS攻擊。

數(shù)據(jù)來源：《CVE Details》

(30) 215：2016年蘋果MacOS X的漏洞數(shù)量

2016年，蘋果MacOS X系統(tǒng)漏洞數(shù)量也達(dá)到了215個(gè)，但是這一數(shù)字明顯低于2015年發(fā)現(xiàn)的444個(gè)安全漏洞的歷史最高紀(jì)錄。而今年(截至5月15日)已經(jīng)在蘋果系統(tǒng)中發(fā)現(xiàn)了142個(gè)安全漏洞，2017年可能又是macOS X系統(tǒng)“漏洞爆發(fā)年”。

數(shù)據(jù)來源：《CVE Details》

(31) 293：自2015年發(fā)布以來，Microsoft Windows 10中報(bào)告的漏洞總數(shù)

2017年(截至5月15日)，Microsoft Windows 10操作系統(tǒng)中共發(fā)現(xiàn)了78個(gè)安全漏洞;2016年共發(fā)現(xiàn)172個(gè)安全漏洞;2015年共53個(gè)漏洞，共計(jì)303個(gè)安全漏洞。

數(shù)據(jù)來源：《CVE Details》

云安全

(32) 42%的受訪者表示，他們將來可能或極有可能將云服務(wù)運(yùn)用到其安全業(yè)務(wù)中

近一半(45%)的受訪者表示，他們將來可能或極有可能將云服務(wù)運(yùn)用到其安全業(yè)務(wù)中。這一趨勢(shì)是企業(yè)對(duì)云服務(wù)整體的信心增長(zhǎng)所驅(qū)動(dòng)的，57%的受訪者表示相信云是安全的。技術(shù)領(lǐng)域的企業(yè)對(duì)于云的信心最高，其次是教育部門。

數(shù)據(jù)來源：《云計(jì)算中的安全性》

(33) 認(rèn)為公有云與本地?cái)?shù)據(jù)中心一樣安全或更安全的IT專業(yè)人士比例達(dá)63%

24.6的受訪者認(rèn)為公有云比本地?cái)?shù)據(jù)中心更為安全;38.3的受訪者認(rèn)為公有云與本地?cái)?shù)據(jù)中心一樣安全;另有37.1%的受訪者認(rèn)為公有云沒有本地?cái)?shù)據(jù)中心安全。

數(shù)據(jù)來源：《2017年自定義應(yīng)用和IaaS趨勢(shì)》

(34) 63%的受訪者表示，最為關(guān)心的是部署自定義應(yīng)用程序到公共云的敏感數(shù)據(jù)

云環(huán)境中其他自定義應(yīng)用威脅包括第三方賬戶受損(56.9%)、將敏感數(shù)據(jù)下載到非企業(yè)設(shè)備中(40.1%)以及終端用戶誤操作(28.1%)。

數(shù)據(jù)來源：《2017年自定義應(yīng)用和IaaS趨勢(shì)》

(35) 444：在企業(yè)部署自定義應(yīng)用程序的平均數(shù)量

IT和DevOps專業(yè)人士對(duì)環(huán)境中的定制應(yīng)用程序的認(rèn)識(shí)相對(duì)較高，但I(xiàn)T安全專業(yè)人員知道這些應(yīng)用程序的不到40%。此外，報(bào)告還顯示，目前在內(nèi)部數(shù)據(jù)中心部署的定制企業(yè)應(yīng)用程序中的20%以上將在未來12個(gè)月內(nèi)遷移到公有云中。

數(shù)據(jù)來源：《2017年自定義應(yīng)用和IaaS趨勢(shì)》

DevSecOps

(36) 100:1:軟件開發(fā)人員比普通企業(yè)的安全專業(yè)人員多

大約一半的軟件開發(fā)者知道安全性很重要，但是由于缺乏時(shí)間和精力而無法充分地重視它們。54%的受訪者將安全專家視為識(shí)別漏洞卻不對(duì)其做任何事情的“nags(不斷抱怨、指責(zé)的人)”。

數(shù)據(jù)來源：《2017年DecSecops社區(qū)調(diào)查》

(37) DevOps實(shí)踐不怎么成熟的企業(yè)中，有58%的開發(fā)者將安全性視為一種抑制劑

這一比例會(huì)因?yàn)镈evOps實(shí)踐的成熟度不同而有所區(qū)別。在DevOps實(shí)踐不怎么成熟的企業(yè)中，會(huì)有更多開發(fā)者將安全性視為一種抑制劑。相反，那些DevOps實(shí)踐較為成熟的企業(yè)中，就會(huì)有更少的開發(fā)者將安全性視為抑制劑。這表明，這些企業(yè)已經(jīng)找到了將安全性整合到開發(fā)過程中的方式。

數(shù)據(jù)來源：《2017年DecSecops社區(qū)調(diào)查》

(38) 47%的C級(jí)受訪人員表示，會(huì)使用安全信息和事件管理(SIEM)工具

調(diào)查顯示，約52%的受訪者表示擁有入侵檢測(cè)工具;51%使用主動(dòng)監(jiān)測(cè)&分析威脅情報(bào);48%會(huì)進(jìn)行漏洞評(píng)估。根據(jù)針對(duì)10,000位C級(jí)管理人員和IT主管的調(diào)查顯示，2016年其他常見的威脅檢測(cè)流程部署還包括威脅情報(bào)訂閱服務(wù)(45%)以及滲透測(cè)試(44%)等。

數(shù)據(jù)來源：《2017年全球信息安全狀況調(diào)查》

物聯(lián)網(wǎng)(IoT)

(39) 49%的企業(yè)將安全和隱私作為部署物聯(lián)網(wǎng)環(huán)境時(shí)考慮的主要因素

正如安全性是云部署過程中需要重點(diǎn)關(guān)注的問題一樣，在物聯(lián)網(wǎng)部署中安全性同樣至關(guān)重要。一般來說，大型企業(yè)受訪者(46%)對(duì)連接設(shè)備的安全性重視程度高于中型企業(yè)(33%)和小型企業(yè)(31%)受訪者。

數(shù)據(jù)來源：《物聯(lián)網(wǎng)的洞察和機(jī)遇》

(40) 65%的組織將黑客及黑客入侵視為物聯(lián)網(wǎng)的最大威脅

在所有受訪企業(yè)中，有一半以上(52%)將設(shè)備漏洞視為物聯(lián)網(wǎng)安全的最大威脅，51%的受訪者將網(wǎng)絡(luò)中未加密的數(shù)據(jù)視為主要的與物聯(lián)網(wǎng)相關(guān)的威脅。

數(shù)據(jù)來源：《物聯(lián)網(wǎng)的洞察和機(jī)遇》

【本文為51CTO專欄“柯力士信息安全”原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)聯(lián)系原作者(微信號(hào)：JW-assoc)】

戳這里，看該作者更多好文