和通常的開放互聯(lián)網(wǎng)相反，還有一個(gè)充斥犯罪和地下交易的封閉Dark Web，那么這個(gè)封閉的Web下實(shí)際情況是怎么樣的呢?immuniweb對(duì)該Web下的網(wǎng)絡(luò)安全行業(yè)泄露狀況進(jìn)行了專門研究：

截止到2020年，有97%的領(lǐng)先網(wǎng)絡(luò)安全公司的數(shù)據(jù)在Dark Web被公開過，超過160,000起高級(jí)別或嚴(yán)重事件可能危及客戶。

概述

鑒于在過去12個(gè)月中針對(duì)受信任的第三方的網(wǎng)絡(luò)攻擊的復(fù)雜性和數(shù)量迅速增長(zhǎng)，immuniweb決定對(duì)全球網(wǎng)絡(luò)安全行業(yè)進(jìn)行探索性研究并衡量其在2020年在Dark Web上的曝光度。

Ponemon Institute的一項(xiàng)調(diào)查顯示，有59%的公司由于包括網(wǎng)絡(luò)安全供應(yīng)商在內(nèi)的第三方入侵而造成數(shù)據(jù)泄露。

Digital Shadows 2020年7月發(fā)布的最新研究估計(jì)，目前可供出售的100,000多個(gè)數(shù)據(jù)泄露中有超過150億條被盜記錄。

幾周前，來自Malwarebytes的一份報(bào)告顯示，WFH(在家工作)會(huì)導(dǎo)致大量安全漏洞。

為了更好地理解多方面的挑戰(zhàn)，F(xiàn)orrester提供了有關(guān)內(nèi)部人員如何使用Dark Web出售公司數(shù)據(jù)的有見地的報(bào)告。

研究旨在幫助從定性和定性兩個(gè)方面更好地了解新興風(fēng)險(xiǎn)和現(xiàn)代威脅格局，并幫助網(wǎng)絡(luò)安全公司更好地確定優(yōu)先級(jí)并應(yīng)對(duì)新興網(wǎng)絡(luò)風(fēng)險(xiǎn)。

主要發(fā)現(xiàn)

以下是有關(guān)全球主要網(wǎng)絡(luò)安全公司的主要發(fā)現(xiàn)：

• 97%的公司在Dark Web上暴露了數(shù)據(jù)泄漏和其他安全事件。
• 發(fā)現(xiàn)631,512起安全事件，而160,529起處于高或嚴(yán)重風(fēng)險(xiǎn)級(jí)別。
• 29%的密碼被盜，161家公司的員工重復(fù)使用密碼。
• 5,121條帶有專業(yè)電子郵件的記錄來自被黑的非法廣告站點(diǎn)。
• 63%的網(wǎng)絡(luò)安全公司的網(wǎng)站不符合PCI DSS要求。
• 48%的網(wǎng)絡(luò)安全公司的網(wǎng)站不符合GDPR要求。
• 91家公司存在可利用的網(wǎng)站安全漏洞，其中26%尚未解決。

涉及網(wǎng)絡(luò)安全公司

為了使選擇的全球網(wǎng)絡(luò)安全公司樣本具有代表性，合理地多元化和包容性，以確保調(diào)查結(jié)果的普遍性。

這項(xiàng)研究從以下獨(dú)立來源收集了全球領(lǐng)先的網(wǎng)絡(luò)安全公司的列表：

• Crunchbase-2020年RSA會(huì)議的與會(huì)的546家公司
• SecurityTrails-2020年最佳100+最佳安全公司，共計(jì)419家公司
• 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)投資公司熱門150家網(wǎng)絡(luò)安全公司共計(jì)150家公司
• 網(wǎng)絡(luò)安全公司100強(qiáng)，共計(jì)126家公司
• OWASP-公司贊助商和支持者，共計(jì)78家公司

總共，收集了1,319家網(wǎng)絡(luò)安全公司和組織。從列表中刪除重復(fù)項(xiàng)后，得到了1,040個(gè)實(shí)體。

然后，剔除了所有不能歸類為網(wǎng)絡(luò)安全公司的實(shí)體(例如，像NIST這樣的組織或像Panasonic這樣的跨國(guó)公司，它們對(duì)網(wǎng)絡(luò)安全業(yè)務(wù)的參與都微不足道)。

還剔除除Alexa排名高于500,000的所有公司，以確保只有足夠大的公司保留在研究中。

最終建立了398家網(wǎng)絡(luò)安全公司，總部位于26個(gè)國(guó)家/地區(qū)。毫不奇怪，其中大多數(shù)都位于美國(guó)和歐洲

研究使用了LinkedIn提供的公司規(guī)模分類。398家網(wǎng)絡(luò)安全公司中，以下公司規(guī)模：

使用了CrunchBase提供的年收入分類。以下是398家網(wǎng)絡(luò)安全公司的估計(jì)年收入數(shù)字：

數(shù)據(jù)來源和方法

為研究的目的統(tǒng)一了Dark Web，Deep Web和Surface Web的概念，并將它們統(tǒng)稱為Dark Web。

為了搜索和識(shí)別Dark Web上可用的安全事件，利用免費(fèi)的在線測(cè)試來發(fā)現(xiàn)和分類上述398家網(wǎng)絡(luò)安全公司的Dark Web暴露。

研究收集有關(guān)事件數(shù)據(jù)的各種資源的詳盡列表：

• 黑客論壇、地下市場(chǎng)、IRC和Telegram頻道、公共代碼存儲(chǔ)庫(kù)、WhatsApp討論組、社交網(wǎng)絡(luò)、粘貼網(wǎng)站。
• 最早的安全事件可以追溯到2012年，最近的安全事件是2020年8月31日。
• 手動(dòng)驗(yàn)證了異常，例如每個(gè)公司的意外事件數(shù)量大或小，以確保數(shù)據(jù)的一致性和準(zhǔn)確性。

需要提及的是Dark Web上不斷增長(zhǎng)的"噪音"，從過時(shí)或重復(fù)的數(shù)據(jù)泄漏到詐騙者出售的明顯假貨。為了應(yīng)對(duì)這一挑戰(zhàn)，研究利用并不斷改進(jìn)專有的機(jī)器學(xué)習(xí)(ML)模型來分散研究結(jié)果。例如，經(jīng)過特殊訓(xùn)練的ML模型，能夠區(qū)分人工創(chuàng)建的密碼和自動(dòng)生成的密碼。還有許多其他的ML模型，它們檢測(cè)到各種"危險(xiǎn)信號(hào)"，表明數(shù)據(jù)，其廣告質(zhì)量或違約日期或賣方確實(shí)缺乏基本的可信賴性，并且可以確定。在研究中，未觸發(fā)任何危險(xiǎn)信號(hào)的發(fā)現(xiàn)稱為已驗(yàn)證，而其他標(biāo)記為未驗(yàn)證。

研究中使用的已驗(yàn)證事件的估計(jì)風(fēng)險(xiǎn)評(píng)分：

• 重大風(fēng)險(xiǎn)：使用純文本密碼的登錄憑據(jù)，或具有最新和/或唯一的高度敏感數(shù)據(jù)(例如，PII，財(cái)務(wù)記錄等)的數(shù)據(jù)泄漏
• 高風(fēng)險(xiǎn)：具有純文本密碼的登錄憑據(jù)，或具有高度敏感的數(shù)據(jù)(例如，PII，財(cái)務(wù)記錄等)的數(shù)據(jù)泄漏
• 中度風(fēng)險(xiǎn)：登錄憑據(jù)加密密碼，或各種數(shù)據(jù)泄漏，包括中度敏感的數(shù)據(jù)(例如源代碼，內(nèi)部文檔等)
• 低風(fēng)險(xiǎn)：在數(shù)據(jù)泄漏，樣本或轉(zhuǎn)儲(chǔ)中提及組織，其IT資產(chǎn)或員工，而沒有隨附敏感或機(jī)密信息。

突發(fā)事件概述

398家網(wǎng)絡(luò)安全公司在"暗網(wǎng)"中發(fā)現(xiàn)的事件總數(shù)為1,658,907，而經(jīng)驗(yàn)證的事件為38%(631,512)：

估計(jì)風(fēng)險(xiǎn)水平下的事件

下圖說明了按估計(jì)的風(fēng)險(xiǎn)水平分配的事件(請(qǐng)參見上文)。在已驗(yàn)證的事件中，幾乎17%(109,019)估計(jì)有嚴(yán)重風(fēng)險(xiǎn)，8%估計(jì)有高風(fēng)險(xiǎn)(51,510)，49%估計(jì)有中等風(fēng)險(xiǎn)(311,521)，25%估計(jì)有低風(fēng)險(xiǎn)(159,462)：

公開數(shù)據(jù)類型的突發(fā)事件

631,512條記錄包含高度敏感的信息，例如純文本憑據(jù)或包含財(cái)務(wù)或類似數(shù)據(jù)的PII。因此，每個(gè)網(wǎng)絡(luò)安全公司平均暴露1,586個(gè)被盜憑據(jù)和其他敏感數(shù)據(jù)。下圖顯示了事件中泄漏數(shù)據(jù)的一般分類：

密碼泄露事件

分析了上述憑據(jù)盜用事件類型的密碼泄漏強(qiáng)度。29%的密碼是弱密碼(即少于8個(gè)字符，沒有大寫字母，沒有數(shù)字，沒有特殊字符)：

在398家公司中，有162家發(fā)生了員工在不同的違規(guī)系統(tǒng)上重復(fù)使用相同密碼的事件。這增加了網(wǎng)絡(luò)犯罪分子進(jìn)行密碼重用攻擊的風(fēng)險(xiǎn)。

即使在領(lǐng)先的網(wǎng)絡(luò)安全公司的員工中，也使用常見的弱密碼：

公司規(guī)模劃分的事件

顯示了按公司規(guī)模劃分的事件分布：

涉及第三方資源的事件

相當(dāng)多的事件源于默默地違反了受信任的第三方，例如網(wǎng)絡(luò)安全公司的供應(yīng)商或其他分包商，其中大多數(shù)是被盜的網(wǎng)站數(shù)據(jù)庫(kù)和備份。

大量帶有純文本密碼的被盜憑證也來自與無關(guān)的第三方有關(guān)的事件，包括約會(huì)，甚至成人網(wǎng)站，受害者使用他們的專業(yè)電子郵件地址登錄。

下表列出了最常見的違規(guī)第三方類型，這些第三方與員工使用其服務(wù)的網(wǎng)絡(luò)安全公司沒有直接關(guān)系：

結(jié)論

現(xiàn)代威脅形勢(shì)已成為所有行業(yè)的高度復(fù)雜，多維和復(fù)雜的挑戰(zhàn)。人為風(fēng)險(xiǎn)，IT外包以及對(duì)第三方數(shù)據(jù)處理的依賴-逐漸加劇了這種情況并使持續(xù)的安全監(jiān)控變得復(fù)雜。研究表明，即使是網(wǎng)絡(luò)安全行業(yè)本身也無法幸免。新冠肺炎的大流行加速了國(guó)際網(wǎng)絡(luò)犯罪，并迫使全球數(shù)以百萬計(jì)的未做好準(zhǔn)備的組織在沒有必要的安全性和數(shù)據(jù)保護(hù)的情況下緊急數(shù)字化其業(yè)務(wù)流程。

全面的可見性以及數(shù)據(jù)，IT和數(shù)字資產(chǎn)的清單對(duì)于當(dāng)今的任何網(wǎng)絡(luò)安全和合規(guī)性計(jì)劃都是至關(guān)重要的。諸如機(jī)器學(xué)習(xí)和AI之類的現(xiàn)代技術(shù)可以顯著簡(jiǎn)化和加速?gòu)漠惓z測(cè)到誤報(bào)減少的大量繁重任務(wù)。