隨著互聯(lián)網(wǎng)的不斷發(fā)展，網(wǎng)絡安全威脅也日益增長。為了便于IT安全人員及時的掌握和了解當前的安全環(huán)境，許許多多的行業(yè)調(diào)查，供應商報告和研究報告也隨之而來。而面對如此規(guī)模龐大的報告數(shù)量，不免讓我們感到有些眼花繚亂。為此，我對大量的分析報告進行了梳理，以便于大家更好地閱讀和了解這些內(nèi)容。以下是關(guān)于數(shù)據(jù)泄露，新興威脅，軟件漏洞，合規(guī)性相關(guān)問題，網(wǎng)絡安全技能等問題的報告集合。

數(shù)據(jù)泄露

(1) 538：2016年公開披露的數(shù)據(jù)泄露總數(shù)

數(shù)據(jù)顯示2016年，共發(fā)生1800起數(shù)據(jù)泄露事件，這些事件導致近14億條記錄外泄。相比2015年，記錄外泄的數(shù)量增加了86%。但是即便如此，2016年數(shù)據(jù)泄露的總記錄數(shù)僅僅只有1100多萬條，大大低于2015年被泄露的1.6億條數(shù)據(jù)記錄，例如美國人事管理局，Anthem和Premera數(shù)據(jù)泄露事件，都大大提升了其泄露總量。

數(shù)據(jù)來源：《數(shù)據(jù)違規(guī)年表》

(2) 406：2016年外部第三方或惡意軟件攻擊造成的違規(guī)行為總數(shù)

2016年，與攻擊有關(guān)的(外部第三方和惡意軟件攻擊)違規(guī)行為總數(shù)已經(jīng)超過了合法訪問系統(tǒng)的內(nèi)部人員(15起)和無意泄密(143起)所造成的違規(guī)行為數(shù)量。而在2017年1月1日-2017年5月15日期間，共發(fā)生了93起數(shù)據(jù)泄漏事件，其原因主要是由于紙質(zhì)文件的物理損壞或丟失、被盜或是筆記本電腦或其他移動設(shè)備錯放所導致。

數(shù)據(jù)來源：《數(shù)據(jù)違規(guī)年表》

(3) Verizon報告指出63%的數(shù)據(jù)泄露事故涉及使用低強度、默認的密碼或密碼被盜的情況

Verizon報告指出63%的數(shù)據(jù)泄露事故涉及使用低強度、默認的密碼或密碼被盜的情況。其中，41%的數(shù)據(jù)泄露事故涉及登錄憑證被盜，13%利用默認或暴力破解的憑證;這些總量超過63%，因為單個數(shù)據(jù)泄露事故可能涉及多個攻擊方式。

數(shù)據(jù)來源：《Verizon 2017數(shù)據(jù)泄露調(diào)查報告》

(4) 376：2016年各行業(yè)數(shù)據(jù)泄露情況

2016年，醫(yī)療保健行業(yè)泄漏的數(shù)據(jù)總量比其他任何行業(yè)都要多得多，比例高達43.6%。2016年數(shù)據(jù)泄漏報告中違規(guī)行為和數(shù)據(jù)泄漏總量最少的部門為銀行/信貸/金融行業(yè)，只有52例違規(guī)行為，7萬多條數(shù)據(jù)泄漏。

數(shù)據(jù)來源：《2016年數(shù)據(jù)泄露報告》

(5) 77%的首席信息安全官表示，對其組織檢測到且尚未解決的違規(guī)行為高度關(guān)注

調(diào)查發(fā)現(xiàn)，超過80%的首席信息安全官對其組織檢測到且尚未解決的違規(guī)行為表示高度關(guān)注。盡管有這樣的擔憂，但仍有56%的CISO認為他們的公司能夠“有效地”阻止安全漏洞，另有19%的受訪企業(yè)表示他們能夠“非常有效地”阻止安全漏洞。

數(shù)據(jù)來源：《全球CISO研究報告》

攻擊類型和動機

(6) 247：Verizon去年調(diào)查到的以“網(wǎng)絡間諜”為主要動機的泄漏事件數(shù)量

這些事件中共有155起造成了實際的數(shù)據(jù)泄漏情況。除了公共部門組織外，制造業(yè)公司是2016年網(wǎng)絡間諜活動的主要目標，共發(fā)生了108起數(shù)據(jù)竊取事件。

數(shù)據(jù)來源：《Verizon 2017數(shù)據(jù)泄露調(diào)查報告》

(7) 517：Akamai調(diào)查得出的2016年Q4 DDoS攻擊峰值規(guī)模

2016年最后一個季度的DDoS攻擊總數(shù)僅比2015年第二季度的DDoS攻擊數(shù)量略高4%。但攻擊強度超過100Gbps的攻擊數(shù)量，則從5次增加到了12次，同期增加了140個百分點。

數(shù)據(jù)來源：《2016年第四季度互聯(lián)網(wǎng)發(fā)展狀況安全報告》

(8) 2016年第4季度超過300Gbps攻擊流量的DDoS攻擊比例占70%

在許多攻擊事件中，威脅行為者使用不安全的物聯(lián)網(wǎng)(IoT)設(shè)備來生成攻擊流量。2016年第4季度中最大的DDoS攻擊來自Spike物聯(lián)網(wǎng)僵尸網(wǎng)絡。

數(shù)據(jù)來源：《2016年第四季度互聯(lián)網(wǎng)發(fā)展狀況安全報告》

(9) 普華永道的調(diào)查中有38%的受訪者表示曾有過網(wǎng)絡釣魚詐騙的經(jīng)歷

網(wǎng)絡釣魚成為2016年增長趨勢最明顯的安全威脅。這種趨勢表明網(wǎng)絡犯罪分子并不依賴復雜的工具來執(zhí)行工具，相反地，他們開始越來越多地嘗試使用合法的管理員工具來獲取訪問權(quán)限。

數(shù)據(jù)來源：《2017年全球信息安全狀況調(diào)查》

(10) 74%的企業(yè)認為自身易受到內(nèi)部威脅影響

與2016年相比，這一比例比去年提高了7%。盡管內(nèi)部威脅受到了企業(yè)的高度關(guān)注，但在10個組織中，只有四分之一的企業(yè)實施了檢測和防止內(nèi)部人攻擊的安全控制措施。

數(shù)據(jù)來源：《行業(yè)內(nèi)部威脅調(diào)查》

勒索軟件

(11) 自2016年1月1日以來，平均每天發(fā)生4000多次勒索病毒攻擊

這一數(shù)據(jù)相比2015年增長了400%。

數(shù)據(jù)來源：《如何避免勒索軟件的攻擊》

(12) 在RSA 2017的調(diào)查中，有30%的受訪者表示他們的組織遭受了勒索軟件的攻擊

在超過一半的事件中，受害組織能夠在不到8小時的時間內(nèi)恢復其系統(tǒng)服務。20%的受訪者表示，在遭遇勒索軟件攻擊2-3天內(nèi)，員工才能恢復系統(tǒng)的訪問權(quán)，而在一天內(nèi)恢復系統(tǒng)訪問的受訪企業(yè)占據(jù)17%;超過8小時的占據(jù)11%。

數(shù)據(jù)來源：《勒索軟件呈增長趨勢》

(13) 79%的企業(yè)不愿支付贖金以避免宕機和損失

大約有21%的受訪企業(yè)表示愿意支付贖金來重新獲得對其系統(tǒng)和數(shù)據(jù)的訪問權(quán)，避免宕機損失的商業(yè)成本。對名譽的不利影響以及銷售損失是企業(yè)在遭遇勒索軟件攻擊后需要考慮的重要問題。

數(shù)據(jù)來源：《勒索軟件呈增長趨勢》

CEO和安全支出觀點

(14) 64%：認為安全性是未來幾年企業(yè)競爭軟實力的CEO比例

調(diào)查發(fā)現(xiàn)，首席執(zhí)行官們尤為關(guān)注由數(shù)據(jù)泄漏和其他IT相關(guān)的安全事件為企業(yè)帶來的不利影響，尤其是公眾對企業(yè)的信任。

數(shù)據(jù)來源：《全球CEO年度報告》

(15) 到2020年，全球企業(yè)用在網(wǎng)絡安全軟硬件和服務上的資金將達到1016億美元

2016年至2020年的安全支出將以8.3%的平均增長速度增長，也就是同期IT支出總額的兩倍以上。 在未來幾年內(nèi)，全球安全投資最多的組織將會是金融服務公司，分立和流程制造商以及政府。

數(shù)據(jù)來源：《全球安全支出指南》

(16) 2016年在安全相關(guān)服務方面的總體安全預算比例將達到45%

安全軟件是第二大支出領(lǐng)域，其中身份和訪問管理工具、端點安全軟件以及漏洞管理產(chǎn)品占據(jù)該類別75%的支出。去年，安全硬件產(chǎn)品的銷售額約為140億美元。

數(shù)據(jù)來源：《全球安全支出指南》

(17) 組織平均花費在IT安全和風險管理上的整體IT預算比例達5.6%

安全支出在IT預算總額的1%至13%之間，通常是安全計劃有效性的誤導性指標。 與行業(yè)平均值和同行組織的通用比較可能會使組織過高估計或低估其安全能力。

數(shù)據(jù)來源：《確定真實信息的安全預算》

網(wǎng)絡安全技能

(18) 超過四分之一的公司表示，填補重要網(wǎng)絡安全和信息安全職務空缺需要6個月或更長的時間

根據(jù)國際信息系統(tǒng)審計協(xié)會(ISACA)Cybersecurity Nexus(CSX)所開展的新網(wǎng)絡安全勞動力調(diào)查顯示，僅有59%的受調(diào)機構(gòu)表示，機構(gòu)的每個網(wǎng)絡安全職位至少收到五名申請者的申請，收到20個及以上申請的機構(gòu)僅占13%。與之形成對比的是，大多數(shù)公司的空缺職位都擁有60至250名的申請者。

數(shù)據(jù)來源：《2017網(wǎng)絡安全狀況》

(19) 52%的受訪者表示實踐經(jīng)驗是最重要的網(wǎng)絡安全技能

在不斷深化的技能危機中，25%的組織認為網(wǎng)絡安全工作候選人缺乏技術(shù)技能;而45%的受訪組織認為網(wǎng)絡安全職位申請人不了解業(yè)務需求;近70%的受訪企業(yè)認為安全認證證書比正式的網(wǎng)絡安全學位更有用。

數(shù)據(jù)來源：《2017網(wǎng)絡安全狀況》

歐盟一般數(shù)據(jù)保護條例(GDPR)

(20) 47%的組織不能滿足歐盟GDPR的要求

2017年，Veritas面向歐洲、美國和亞太地區(qū)的超過900名高級業(yè)務決策者開展了一項關(guān)于應對GDPR的情況調(diào)研。結(jié)果表明，47%的受訪者不確定其能夠在2018年5月25日GDPR實施前滿足相關(guān)合規(guī)性要求。根據(jù)新條例規(guī)定，如果企業(yè)無法滿足合規(guī)要求，則會面臨高達2,100萬美元或4%年收益的罰款，以金額較高為準。

21%的受訪者非常擔心潛在的裁員風險，這是由于企業(yè)一旦因不符合GDPR條例而招致巨額經(jīng)濟罰款，大幅度裁員將會在所難免。

數(shù)據(jù)來源：《2017年Veritas GDPR報告》

(21) 42%的企業(yè)表示，不知道該保存哪些數(shù)據(jù)

數(shù)據(jù)保留也是企業(yè)普遍擔憂的難題之一。42%的企業(yè)承認，當前尚無任何有效機制能夠根據(jù)數(shù)據(jù)價值來確定應該保留或刪除的數(shù)據(jù)。根據(jù)GDPR規(guī)定，如果個人數(shù)據(jù)仍舊用于在收集時所告知用戶的用途，那么企業(yè)可以繼續(xù)保留個人數(shù)據(jù)，但在該使用用途結(jié)束時，企業(yè)必須立即刪除個人數(shù)據(jù)。

數(shù)據(jù)來源：《2017年Veritas GDPR報告》

(22) 40%的受訪者則表示擔心合規(guī)失敗后的處罰問題

調(diào)查顯示，不到1/4的受訪者擔心自身是否能夠通過有關(guān)數(shù)據(jù)保護要求的審核問題，而40%的受訪者則表示擔心合規(guī)失敗后的處罰問題。

數(shù)據(jù)來源：《企業(yè)內(nèi)部的數(shù)據(jù)治理》

中小企業(yè)的安全顧慮

(23) Verizon在2016年調(diào)查顯示，61%的數(shù)據(jù)泄露來自于不到1000名員工的中小企業(yè)

雖然大型的違規(guī)行為往往針對大型企業(yè)，但是研究表明，中小企業(yè)卻占了據(jù)數(shù)據(jù)泄漏總數(shù)的61%。

數(shù)據(jù)來源：《Verizon 2017數(shù)據(jù)泄露調(diào)查報告》

(24) 82%的企業(yè)表示他們的內(nèi)部員工，每周花費20到60個小時來采購，實施和管理安全產(chǎn)品

近75%的中型企業(yè)受訪者表示，他們有3-5名全職員工負責管理公司的安全需求。平均而言，他們只是在網(wǎng)絡安全上的支出就達到17.8萬美元，占據(jù)IT安全支出總額的30%左右。

數(shù)據(jù)來源：《451研究調(diào)查》

(25) 2016年至2021年間，中型企業(yè)用于網(wǎng)絡安全的支出將增長8.9%

未來5年內(nèi)(2016-2021年)，中型企業(yè)的網(wǎng)絡安全支出的增長速度將為總體安全支出的兩倍。到2021年，擁有500-2500名員工的企業(yè)在網(wǎng)絡安全產(chǎn)品和服務上的支出將達到約35億美元，而在2016年這一數(shù)字僅為24億美元。

數(shù)據(jù)來源：《451研究調(diào)查》

開源安全

(26) 包含開源組件的商業(yè)應用程序比例達96%

針對數(shù)千個商業(yè)應用程序的開源審計結(jié)果表明，平均每一款商業(yè)應用程序至少包含147個獨特的開源組件，而且三分之二的商業(yè)應用代碼中已知是存在安全漏洞的。

數(shù)據(jù)來源：《2017開源安全與風險分析報告》

(27) 4：金融服務業(yè)組織使用的應用程序平均包含52個開源漏洞

金融服務業(yè)組織使用的應用程序平均包含52個開源漏洞，而零售行業(yè)和電子商務行業(yè)應用程序中存在的高風險漏洞比例較高。

數(shù)據(jù)來源：《2017開源安全與風險分析報告》

(28) 3,623：2016年報告的開源組件漏洞總數(shù)

2016年，每天幾乎都有10個開源漏洞遭到曝光，比2015年增加了10%。許多常用的開源組件中都被曝存在高風險漏洞，例如Spring Framework和Apache Commons Collections。

數(shù)據(jù)來源：《2017開源安全與風險分析報告》

Android，macOS和Windows漏洞

(29) 523：2016年Android中報告的漏洞總數(shù)

2016年的Android漏洞數(shù)量是2015年在操作系統(tǒng)中發(fā)現(xiàn)的125個漏洞的四倍以上，是2009年發(fā)現(xiàn)的漏洞數(shù)量的100倍以上。去年發(fā)現(xiàn)的523個漏洞中，約有250個是特權(quán)升級漏洞，其中有104個可以造成DoS攻擊。

數(shù)據(jù)來源：《CVE Details》

(30) 215：2016年蘋果MacOS X的漏洞數(shù)量

2016年，蘋果MacOS X系統(tǒng)漏洞數(shù)量也達到了215個，但是這一數(shù)字明顯低于2015年發(fā)現(xiàn)的444個安全漏洞的歷史最高紀錄。而今年(截至5月15日)已經(jīng)在蘋果系統(tǒng)中發(fā)現(xiàn)了142個安全漏洞，2017年可能又是macOS X系統(tǒng)“漏洞爆發(fā)年”。

數(shù)據(jù)來源：《CVE Details》

(31) 293：自2015年發(fā)布以來，Microsoft Windows 10中報告的漏洞總數(shù)

2017年(截至5月15日)，Microsoft Windows 10操作系統(tǒng)中共發(fā)現(xiàn)了78個安全漏洞;2016年共發(fā)現(xiàn)172個安全漏洞;2015年共53個漏洞，共計303個安全漏洞。

數(shù)據(jù)來源：《CVE Details》

云安全

(32) 42%的受訪者表示，他們將來可能或極有可能將云服務運用到其安全業(yè)務中

近一半(45%)的受訪者表示，他們將來可能或極有可能將云服務運用到其安全業(yè)務中。這一趨勢是企業(yè)對云服務整體的信心增長所驅(qū)動的，57%的受訪者表示相信云是安全的。技術(shù)領(lǐng)域的企業(yè)對于云的信心最高，其次是教育部門。

數(shù)據(jù)來源：《云計算中的安全性》

(33) 認為公有云與本地數(shù)據(jù)中心一樣安全或更安全的IT專業(yè)人士比例達63%

24.6的受訪者認為公有云比本地數(shù)據(jù)中心更為安全;38.3的受訪者認為公有云與本地數(shù)據(jù)中心一樣安全;另有37.1%的受訪者認為公有云沒有本地數(shù)據(jù)中心安全。

數(shù)據(jù)來源：《2017年自定義應用和IaaS趨勢》

(34) 63%的受訪者表示，最為關(guān)心的是部署自定義應用程序到公共云的敏感數(shù)據(jù)

云環(huán)境中其他自定義應用威脅包括第三方賬戶受損(56.9%)、將敏感數(shù)據(jù)下載到非企業(yè)設(shè)備中(40.1%)以及終端用戶誤操作(28.1%)。

數(shù)據(jù)來源：《2017年自定義應用和IaaS趨勢》

(35) 444：在企業(yè)部署自定義應用程序的平均數(shù)量

IT和DevOps專業(yè)人士對環(huán)境中的定制應用程序的認識相對較高，但IT安全專業(yè)人員知道這些應用程序的不到40%。此外，報告還顯示，目前在內(nèi)部數(shù)據(jù)中心部署的定制企業(yè)應用程序中的20%以上將在未來12個月內(nèi)遷移到公有云中。

數(shù)據(jù)來源：《2017年自定義應用和IaaS趨勢》

DevSecOps

(36) 100:1:軟件開發(fā)人員比普通企業(yè)的安全專業(yè)人員多

大約一半的軟件開發(fā)者知道安全性很重要，但是由于缺乏時間和精力而無法充分地重視它們。54%的受訪者將安全專家視為識別漏洞卻不對其做任何事情的“nags(不斷抱怨、指責的人)”。

數(shù)據(jù)來源：《2017年DecSecops社區(qū)調(diào)查》

(37) DevOps實踐不怎么成熟的企業(yè)中，有58%的開發(fā)者將安全性視為一種抑制劑

這一比例會因為DevOps實踐的成熟度不同而有所區(qū)別。在DevOps實踐不怎么成熟的企業(yè)中，會有更多開發(fā)者將安全性視為一種抑制劑。相反，那些DevOps實踐較為成熟的企業(yè)中，就會有更少的開發(fā)者將安全性視為抑制劑。這表明，這些企業(yè)已經(jīng)找到了將安全性整合到開發(fā)過程中的方式。

數(shù)據(jù)來源：《2017年DecSecops社區(qū)調(diào)查》

(38) 47%的C級受訪人員表示，會使用安全信息和事件管理(SIEM)工具

調(diào)查顯示，約52%的受訪者表示擁有入侵檢測工具;51%使用主動監(jiān)測&分析威脅情報;48%會進行漏洞評估。根據(jù)針對10,000位C級管理人員和IT主管的調(diào)查顯示，2016年其他常見的威脅檢測流程部署還包括威脅情報訂閱服務(45%)以及滲透測試(44%)等。

數(shù)據(jù)來源：《2017年全球信息安全狀況調(diào)查》

物聯(lián)網(wǎng)(IoT)

(39) 49%的企業(yè)將安全和隱私作為部署物聯(lián)網(wǎng)環(huán)境時考慮的主要因素

正如安全性是云部署過程中需要重點關(guān)注的問題一樣，在物聯(lián)網(wǎng)部署中安全性同樣至關(guān)重要。一般來說，大型企業(yè)受訪者(46%)對連接設(shè)備的安全性重視程度高于中型企業(yè)(33%)和小型企業(yè)(31%)受訪者。

數(shù)據(jù)來源：《物聯(lián)網(wǎng)的洞察和機遇》

(40) 65%的組織將黑客及黑客入侵視為物聯(lián)網(wǎng)的最大威脅

在所有受訪企業(yè)中，有一半以上(52%)將設(shè)備漏洞視為物聯(lián)網(wǎng)安全的最大威脅，51%的受訪者將網(wǎng)絡中未加密的數(shù)據(jù)視為主要的與物聯(lián)網(wǎng)相關(guān)的威脅。

數(shù)據(jù)來源：《物聯(lián)網(wǎng)的洞察和機遇》

【本文為51CTO專欄“柯力士信息安全”原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者(微信號：JW-assoc)】

戳這里，看該作者更多好文