40个安全专家需要知道的网络安全数据

随着互联网的不断发展，网络安全威胁也日益增长。为了便于IT安全人员及时的掌握和了解当前的安全环境，许许多多的行业调查，供应商报告和研究报告也随之而来。而面对如此规模庞大的报告数量，不免让我们感到有些眼花缭乱。为此，我对大量的分析报告进行了梳理，以便于大家更好地阅读和了解这些内容。以下是关于数据泄露，新兴威胁，软件漏洞，合规性相关问题，网络安全技能等问题的报告集合。

数据泄露

538：2016年公开披露的数据泄露总数

数据显示2016年，共发生1800起数据泄露事件，这些事件导致近14亿条记录外泄。相比2015年，记录外泄的数量增加了86%。但是即便如此，2016年数据泄露的总记录数仅仅只有1100多万条，大大低于2015年被泄露的1.6亿条数据记录，例如美国人事管理局，Anthem和Premera数据泄露事件，都大大提升了其泄露总量。

数据来源： 《数据违规年表》

406：2016年外部第三方或恶意软件攻击造成的违规行为总数

2016年，与攻击有关的（外部第三方和恶意软件攻击）违规行为总数已经超过了合法访问系统的内部人员（15起）和无意泄密（143起）所造成的违规行为数量。而在2017年1月1日-2017年5月15日期间，共发生了93起数据泄漏事件，其原因主要是由于纸质文件的物理损坏或丢失、被盗或是笔记本电脑或其他移动设备错放所导致。

数据来源： 《数据违规年表》

Verizon报告指出63%的数据泄露事故涉及使用低强度、默认的密码或密码被盗的情况

Verizon报告指出63%的数据泄露事故涉及使用低强度、默认的密码或密码被盗的情况。其中，41%的数据泄露事故涉及登录凭证被盗，13%利用默认或暴力破解的凭证；这些总量超过63%，因为单个数据泄露事故可能涉及多个攻击方式。

数据来源： 《Verizon 2017数据泄露调查报告》

376：2016年各行业数据泄露情况

2016年，医疗保健行业泄漏的数据总量比其他任何行业都要多得多，比例高达43.6%。2016年数据泄漏报告中违规行为和数据泄漏总量最少的部门为银行／信贷／金融行业，只有52例违规行为，7万多条数据泄漏。

数据来源： 《2016年数据泄露报告》

77%的首席信息安全官表示，对其组织检测到且尚未解决的违规行为高度关注

调查发现，超过80%的首席信息安全官对其组织检测到且尚未解决的违规行为表示高度关注。尽管有这样的担忧，但仍有56%的CISO认为他们的公司能够“有效地”阻止安全漏洞，另有19%的受访企业表示他们能够“非常有效地”阻止安全漏洞。

数据来源： 《全球CISO研究报告》

攻击类型和动机

247： Verizon去年调查到的以“网络间谍”为主要动机的泄漏事件数量

这些事件中共有155起造成了实际的数据泄漏情况。除了公共部门组织外，制造业公司是2016年网络间谍活动的主要目标，共发生了108起数据窃取事件。

数据来源： 《Verizon 2017数据泄露调查报告》

517： Akamai调查得出的2016年Q4 DDoS攻击峰值规模

2016年最后一个季度的DDoS攻击总数仅比2015年第二季度的DDoS攻击数量略高4％。但攻击强度超过100Gbps的攻击数量，则从5次增加到了12次，同期增加了140个百分点。

数据来源： 《2016年第四季度互联网发展状况安全报告》

2016年第4季度超过300Gbps攻击流量的DDoS攻击比例占70%

在许多攻击事件中，威胁行为者使用不安全的物联网（IoT）设备来生成攻击流量。2016年第4季度中最大的DDoS攻击来自Spike物联网僵尸网络。

数据来源： 《2016年第四季度互联网发展状况安全报告》

普华永道的调查中有38％的受访者表示曾有过网络钓鱼诈骗的经历

网络钓鱼成为2016年增长趋势最明显的安全威胁。这种趋势表明网络犯罪分子并不依赖复杂的工具来执行工具，相反地，他们开始越来越多地尝试使用合法的管理员工具来获取访问权限。

数据来源： 《2017年全球信息安全状况调查》

74%的企业认为自身易受到内部威胁影响

与2016年相比，这一比例比去年提高了7%。尽管内部威胁受到了企业的高度关注，但在10个组织中，只有四分之一的企业实施了检测和防止内部人攻击的安全控制措施。

数据来源： 《行业内部威胁调查》

勒索软件

自2016年1月1日以来，平均每天发生4000多次勒索病毒攻击

这一数据相比2015年增长了400%。

数据来源： 《如何避免勒索软件的攻击》

在RSA 2017的调查中，有30％的受访者表示他们的组织遭受了勒索软件的攻击

在超过一半的事件中，受害组织能够在不到8小时的时间内恢复其系统服务。20%的受访者表示，在遭遇勒索软件攻击2-3天内，员工才能恢复系统的访问权，而在一天内恢复系统访问的受访企业占据17%；超过8小时的占据11%。

数据来源： 《勒索软件呈增长趋势》

79%的企业不愿支付赎金以避免宕机和损失

大约有21%的受访企业表示愿意支付赎金来重新获得对其系统和数据的访问权，避免宕机损失的商业成本。对名誉的不利影响以及销售损失是企业在遭遇勒索软件攻击后需要考虑的重要问题。

数据来源： 《勒索软件呈增长趋势》

CEO和安全支出观点

64%：认为安全性是未来几年企业竞争软实力的CEO比例

调查发现，首席执行官们尤为关注由数据泄漏和其他IT相关的安全事件为企业带来的不利影响，尤其是公众对企业的信任。

数据来源： 《全球CEO年度报告》

到2020年，全球企业用在网络安全软硬件和服务上的资金将达到1016亿美元

2016年至2020年的安全支出将以8.3％的平均增长速度增长，也就是同期IT支出总额的两倍以上。 在未来几年内，全球安全投资最多的组织将会是金融服务公司，分立和流程制造商以及政府。

数据来源： 《全球安全支出指南》

2016年在安全相关服务方面的总体安全预算比例将达到45％

安全软件是第二大支出领域，其中身份和访问管理工具、端点安全软件以及漏洞管理产品占据该类别75%的支出。去年，安全硬件产品的销售额约为140亿美元。

数据来源： 《全球安全支出指南》

组织平均花费在IT安全和风险管理上的整体IT预算比例达5.6％

安全支出在IT预算总额的1％至13％之间，通常是安全计划有效性的误导性指标。 与行业平均值和同行组织的通用比较可能会使组织过高估计或低估其安全能力。

数据来源： 《确定真实信息的安全预算》

网络安全技能

超过四分之一的公司表示，填补重要网络安全和信息安全职务空缺需要6个月或更长的时间

根据国际信息系统审计协会（ISACA）Cybersecurity Nexus（CSX）所开展的新网络安全劳动力调查显示，仅有59%的受调机构表示，机构的每个网络安全职位至少收到五名申请者的申请，收到20个及以上申请的机构仅占13%。与之形成对比的是，大多数公司的空缺职位都拥有60至250名的申请者。

数据来源： 《2017网络安全状况》

52％的受访者表示实践经验是最重要的网络安全技能

在不断深化的技能危机中，25%的组织认为网络安全工作候选人缺乏技术技能；而45%的受访组织认为网络安全职位申请人不了解业务需求；近70%的受访企业认为安全认证证书比正式的网络安全学位更有用。

数据来源： 《2017网络安全状况》

欧盟一般数据保护条例（GDPR）

47%的组织不能满足欧盟GDPR的要求

2017年，Veritas面向欧洲、美国和亚太地区的超过900名高级业务决策者开展了一项关于应对GDPR的情况调研。结果表明，47%的受访者不确定其能够在2018年5月25日GDPR实施前满足相关合规性要求。根据新条例规定，如果企业无法满足合规要求，则会面临高达2,100万美元或4%年收益的罚款，以金额较高为准。

21%的受访者非常担心潜在的裁员风险，这是由于企业一旦因不符合GDPR条例而招致巨额经济罚款，大幅度裁员将会在所难免。

数据来源： 《2017年Veritas GDPR报告》

42％的企业表示，不知道该保存哪些数据

数据保留也是企业普遍担忧的难题之一。42%的企业承认，当前尚无任何有效机制能够根据数据价值来确定应该保留或删除的数据。根据GDPR规定，如果个人数据仍旧用于在收集时所告知用户的用途，那么企业可以继续保留个人数据，但在该使用用途结束时，企业必须立即删除个人数据。

数据来源： 《2017年Veritas GDPR报告》

40%的受访者则表示担心合规失败后的处罚问题

调查显示，不到1／4的受访者担心自身是否能够通过有关数据保护要求的审核问题，而40%的受访者则表示担心合规失败后的处罚问题。

数据来源： 《企业内部的数据治理》

中小企业的安全顾虑

Verizon在2016年调查显示，61%的数据泄露来自于不到1000名员工的中小企业

虽然大型的违规行为往往针对大型企业，但是研究表明，中小企业却占了据数据泄漏总数的61%。

数据来源： 《Verizon 2017数据泄露调查报告》

82%的企业表示他们的内部员工，每周花费20到60个小时来采购，实施和管理安全产品

近75%的中型企业受访者表示，他们有3-5名全职员工负责管理公司的安全需求。平均而言，他们只是在网络安全上的支出就达到17.8万美元，占据IT安全支出总额的30%左右。

数据来源： 《451研究调查》

2016年至2021年间，中型企业用于网络安全的支出将增长8.9％

未来5年内（2016-2021年），中型企业的网络安全支出的增长速度将为总体安全支出的两倍。到2021年，拥有500-2500名员工的企业在网络安全产品和服务上的支出将达到约35亿美元，而在2016年这一数字仅为24亿美元。

数据来源： 《451研究调查》

开源安全

包含开源组件的商业应用程序比例达96%

针对数千个商业应用程序的开源审计结果表明，平均每一款商业应用程序至少包含147个独特的开源组件，而且三分之二的商业应用代码中已知是存在安全漏洞的。

数据来源： 《2017开源安全与风险分析报告》

4：金融服务业组织使用的应用程序平均包含52个开源漏洞

金融服务业组织使用的应用程序平均包含52个开源漏洞，而零售行业和电子商务行业应用程序中存在的高风险漏洞比例较高。

数据来源： 《2017开源安全与风险分析报告》

3,623：2016年报告的开源组件漏洞总数

2016年，每天几乎都有10个开源漏洞遭到曝光，比2015年增加了10%。许多常用的开源组件中都被曝存在高风险漏洞，例如Spring Framework和Apache Commons Collections。

数据来源： 《2017开源安全与风险分析报告》

Android，macOS和Windows漏洞

523：2016年Android中报告的漏洞总数

2016年的Android漏洞数量是2015年在操作系统中发现的125个漏洞的四倍以上，是2009年发现的漏洞数量的100倍以上。去年发现的523个漏洞中，约有250个是特权升级漏洞，其中有104个可以造成DoS攻击。

数据来源： 《CVE Details》

215：2016年苹果MacOS X的漏洞数量

2016年，苹果MacOS X系统漏洞数量也达到了215个，但是这一数字明显低于2015年发现的444个安全漏洞的历史最高纪录。而今年（截至5月15日）已经在苹果系统中发现了142个安全漏洞，2017年可能又是macOS X系统“漏洞爆发年”。

数据来源： 《CVE Details》

293：自2015年发布以来，Microsoft Windows 10中报告的漏洞总数

2017年（截至5月15日），Microsoft Windows 10操作系统中共发现了78个安全漏洞；2016年共发现172个安全漏洞；2015年共53个漏洞，共计303个安全漏洞。

数据来源： 《CVE Details》

云安全

42%的受访者表示，他们将来可能或极有可能将云服务运用到其安全业务中

近一半（45%）的受访者表示，他们将来可能或极有可能将云服务运用到其安全业务中。这一趋势是企业对云服务整体的信心增长所驱动的，57%的受访者表示相信云是安全的。技术领域的企业对于云的信心最高，其次是教育部门。

数据来源： 《云计算中的安全性》

认为公有云与本地数据中心一样安全或更安全的IT专业人士比例达63%

24.6的受访者认为公有云比本地数据中心更为安全；38.3的受访者认为公有云与本地数据中心一样安全；另有37.1%的受访者认为公有云没有本地数据中心安全。

数据来源： 《2017年自定义应用和IaaS趋势》

63％的受访者表示，最为关心的是部署自定义应用程序到公共云的敏感数据

云环境中其他自定义应用威胁包括第三方账户受损（56.9%）、将敏感数据下载到非企业设备中（40.1%）以及终端用户误操作（28.1%）。

数据来源： 《2017年自定义应用和IaaS趋势》

444：在企业部署自定义应用程序的平均数量

IT和DevOps专业人士对环境中的定制应用程序的认识相对较高，但IT安全专业人员知道这些应用程序的不到40％。此外，报告还显示，目前在内部数据中心部署的定制企业应用程序中的20％以上将在未来12个月内迁移到公有云中。

数据来源： 《2017年自定义应用和IaaS趋势》

DevSecOps

100:1:软件开发人员比普通企业的安全专业人员多

大约一半的软件开发者知道安全性很重要，但是由于缺乏时间和精力而无法充分地重视它们。54%的受访者将安全专家视为识别漏洞却不对其做任何事情的“nags（不断抱怨、指责的人）”。

数据来源： 《2017年DecSecops社区调查》

DevOps实践不怎么成熟的企业中，有58%的开发者将安全性视为一种抑制剂

这一比例会因为DevOps实践的成熟度不同而有所区别。在DevOps实践不怎么成熟的企业中，会有更多开发者将安全性视为一种抑制剂。相反，那些DevOps实践较为成熟的企业中，就会有更少的开发者将安全性视为抑制剂。这表明，这些企业已经找到了将安全性整合到开发过程中的方式。

数据来源： 《2017年DecSecops社区调查》

47%的C级受访人员表示，会使用安全信息和事件管理（SIEM）工具

调查显示，约52%的受访者表示拥有入侵检测工具；51%使用主动监测&分析威胁情报；48%会进行漏洞评估。根据针对10,000位C级管理人员和IT主管的调查显示，2016年其他常见的威胁检测流程部署还包括威胁情报订阅服务（45%）以及渗透测试（44%）等。

数据来源： 《2017年全球信息安全状况调查》

物联网（IoT）

49％的企业将安全和隐私作为部署物联网环境时考虑的主要因素

正如安全性是云部署过程中需要重点关注的问题一样，在物联网部署中安全性同样至关重要。一般来说，大型企业受访者（46%）对连接设备的安全性重视程度高于中型企业（33%）和小型企业（31%）受访者。

数据来源： 《物联网的洞察和机遇》

65%的组织将黑客及黑客入侵视为物联网的最大威胁

在所有受访企业中，有一半以上（52%）将设备漏洞视为物联网安全的最大威胁，51%的受访者将网络中未加密的数据视为主要的与物联网相关的威胁。

数据来源： 《物联网的洞察和机遇》

*参考来源： techbeacon，FB小编 secist 编译，转载请注明来自FreeBuf（FreeBuf.COM）