網(wǎng)絡(luò)安全公司是網(wǎng)絡(luò)空間最安全的公司嗎?這個問題似乎有些多余，誰會請一個經(jīng)常被人劫道毆打的鏢局呢?

前不久SANS在線安全教育平臺的數(shù)據(jù)泄露也許只是一個“意外”，但下面這個報告也許會驚掉你的下巴。根據(jù)ImmuniWeb的一項新研究，幾乎所有網(wǎng)絡(luò)安全公司都在線暴露了包括PII(個人隱私信息)和密碼在內(nèi)的敏感數(shù)據(jù)。員工安全意識薄弱是造成這種糟糕局面的主要原因。

[[341378]]

報告調(diào)查了全球398個頂級安全供應(yīng)商，然后檢索了暗網(wǎng)、深網(wǎng)網(wǎng)站，包括黑客論壇和市場、WhatsApp群組、公共代碼存儲庫以及社交網(wǎng)絡(luò)等。

報告聲稱，已發(fā)現(xiàn)經(jīng)過驗證的(來自網(wǎng)絡(luò)安全公司的)敏感數(shù)據(jù)泄露事件超過63.1萬次，其中這些“事件”中有17%具有重大風險。這意味著泄露數(shù)據(jù)包括使用純文本密碼的登錄名，或者包括最近和/或唯一的數(shù)據(jù)泄漏(例如PII和財務(wù)記錄)。

圖表1：網(wǎng)絡(luò)安全公司敏感數(shù)據(jù)泄露全球統(tǒng)計，泄露事件數(shù)量前三名分別為美國、英國和加拿大，中國排名15

總體而言，研究表明，PII和公司數(shù)據(jù)占所有泄露事件的一半(50%)，其中賬戶憑據(jù)占30%，備份和轉(zhuǎn)儲占15%。

同樣令人擔憂的是，泄露的密碼中有29%是“弱密碼”，即密碼的字符數(shù)少于8個，沒有大寫字母，沒有數(shù)字和特殊字符。接受調(diào)查的網(wǎng)絡(luò)安全公司中，有41%的員工已在不同的被入侵系統(tǒng)上重復(fù)使用了密碼，這使他們供職的企業(yè)面臨進一步的潛在入侵風險。

圖表2：全球頂級網(wǎng)絡(luò)安全公司員工最常用的弱密碼

該報告還顯示，超過5100個賬戶出現(xiàn)在成人內(nèi)容網(wǎng)站的數(shù)據(jù)泄露中，這意味著不少網(wǎng)絡(luò)安全公司的員工堂而皇之地使用工作電子郵件在“P站”上進行了注冊。

總體而言，報告中研究的網(wǎng)絡(luò)安全公司中有 97%被發(fā)現(xiàn)有敏感數(shù)據(jù)在線暴露，一些數(shù)據(jù)可以追溯到2012年，不過讓人略感欣慰的是大多數(shù)事件的風險被分類為低(25%)或中(49%)。

低風險是指“在組織中，其IT資產(chǎn)或員工在數(shù)據(jù)泄漏、樣本或轉(zhuǎn)儲中沒有附帶敏感或機密信息的情況”，而中度風險可能包括加密密碼或“中等”敏感數(shù)據(jù)，例如源代碼或內(nèi)部文檔。

除了數(shù)據(jù)泄露外，全球頂級網(wǎng)絡(luò)安全公司自身的安全合規(guī)和web安全現(xiàn)狀也讓人揪心：

• 超過一半的公司(63%)的主要網(wǎng)站未能滿足這些PCI DSS要求，這意味著他們使用的是易受攻擊或過時的軟件(包括JS庫和框架)或者沒有啟用WAF。
• 191個網(wǎng)絡(luò)安全公司網(wǎng)站(占48%)不符合GDPR要求，原因是軟件易受攻擊，缺少明顯可見的隱私政策或Cookie包含PII或可追溯標識符時缺少cookie免責聲明。
• 最后，有91家網(wǎng)絡(luò)安全公司網(wǎng)站發(fā)現(xiàn)了279個XSS漏洞，截至報告發(fā)表之日，已報告的漏洞中仍有26%尚未修復(fù)。

ImmuniWeb首席執(zhí)行官Ilia Kolochenko警告說：

2020年，攻擊者也許不必花費高昂的零日漏洞費用，而是找到幾個“狗洞”打開的網(wǎng)絡(luò)安全供應(yīng)商，輕松獲得特權(quán)賬戶，并迅速攻破目標企業(yè)最薄弱的環(huán)節(jié)。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文