和通常的开放互联网相反,还有一个充斥犯罪和地下交易的封闭Dark Web,那么这个封闭的Web下实际情况是怎么样的呢?immuniweb对该Web下的网络安全行业泄露状况进行了专门研究:
截止到2020年,有97%的领先网络安全公司的数据在Dark Web被公开过,超过160,000起高级别或严重事件可能危及客户。
概述
鉴于在过去12个月中针对受信任的第三方的网络攻击的复杂性和数量迅速增长,immuniweb决定对全球网络安全行业进行探索性研究并衡量其在2020年在Dark Web上的曝光度。
Ponemon Institute的一项调查显示,有59%的公司由于包括网络安全供应商在内的第三方入侵而造成数据泄露。
Digital Shadows 2020年7月发布的最新研究估计,目前可供出售的100,000多个数据泄露中有超过150亿条被盗记录。
几周前,来自Malwarebytes的一份报告显示,WFH(在家工作)会导致大量安全漏洞。
为了更好地理解多方面的挑战,Forrester提供了有关内部人员如何使用Dark Web出售公司数据的有见地的报告。
研究旨在帮助从定性和定性两个方面更好地了解新兴风险和现代威胁格局,并帮助网络安全公司更好地确定优先级并应对新兴网络风险。
主要发现
以下是有关全球主要网络安全公司的主要发现:
- 97%的公司在Dark Web上暴露了数据泄漏和其他安全事件。
- 发现631,512起安全事件,而160,529起处于高或严重风险级别。
- 29%的密码被盗,161家公司的员工重复使用密码。
- 5,121条带有专业电子邮件的记录来自被黑的非法广告站点。
- 63%的网络安全公司的网站不符合PCI DSS要求。
- 48%的网络安全公司的网站不符合GDPR要求。
- 91家公司存在可利用的网站安全漏洞,其中26%尚未解决。
涉及网络安全公司
为了使选择的全球网络安全公司样本具有代表性,合理地多元化和包容性,以确保调查结果的普遍性。
这项研究从以下独立来源收集了全球领先的网络安全公司的列表:
- Crunchbase-2020年RSA会议的与会的546家公司
- SecurityTrails-2020年最佳100+最佳安全公司,共计419家公司
- 网络安全风险投资公司热门150家网络安全公司共计150家公司
- 网络安全公司100强,共计126家公司
- OWASP-公司赞助商和支持者,共计78家公司
总共,收集了1,319家网络安全公司和组织。从列表中删除重复项后,得到了1,040个实体。
然后,剔除了所有不能归类为网络安全公司的实体(例如,像NIST这样的组织或像Panasonic这样的跨国公司,它们对网络安全业务的参与都微不足道)。
还剔除除Alexa排名高于500,000的所有公司,以确保只有足够大的公司保留在研究中。
最终建立了398家网络安全公司,总部位于26个国家/地区。毫不奇怪,其中大多数都位于美国和欧洲
研究使用了LinkedIn提供的公司规模分类。398家网络安全公司中,以下公司规模:
使用了CrunchBase提供的年收入分类。以下是398家网络安全公司的估计年收入数字:
数据来源和方法
为研究的目的统一了Dark Web,Deep Web和Surface Web的概念,并将它们统称为Dark Web。
为了搜索和识别Dark Web上可用的安全事件,利用免费的在线测试来发现和分类上述398家网络安全公司的Dark Web暴露。
研究收集有关事件数据的各种资源的详尽列表:
- 黑客论坛、地下市场、IRC和Telegram频道、公共代码存储库、WhatsApp讨论组、社交网络、粘贴网站。
- 最早的安全事件可以追溯到2012年,最近的安全事件是2020年8月31日。
- 手动验证了异常,例如每个公司的意外事件数量大或小,以确保数据的一致性和准确性。
需要提及的是Dark Web上不断增长的"噪音",从过时或重复的数据泄漏到诈骗者出售的明显假货。为了应对这一挑战,研究利用并不断改进专有的机器学习(ML)模型来分散研究结果。例如,经过特殊训练的ML模型,能够区分人工创建的密码和自动生成的密码。还有许多其他的ML模型,它们检测到各种"危险信号",表明数据,其广告质量或违约日期或卖方确实缺乏基本的可信赖性,并且可以确定。在研究中,未触发任何危险信号的发现称为已验证,而其他标记为未验证。
研究中使用的已验证事件的估计风险评分:
- 重大风险:使用纯文本密码的登录凭据,或具有最新和/或唯一的高度敏感数据(例如,PII,财务记录等)的数据泄漏
- 高风险:具有纯文本密码的登录凭据,或具有高度敏感的数据(例如,PII,财务记录等)的数据泄漏
- 中度风险:登录凭据加密密码,或各种数据泄漏,包括中度敏感的数据(例如源代码,内部文档等)
- 低风险:在数据泄漏,样本或转储中提及组织,其IT资产或员工,而没有随附敏感或机密信息。
突发事件概述
398家网络安全公司在"暗网"中发现的事件总数为1,658,907,而经验证的事件为38%(631,512):
估计风险水平下的事件
下图说明了按估计的风险水平分配的事件(请参见上文)。在已验证的事件中,几乎17%(109,019)估计有严重风险,8%估计有高风险(51,510),49%估计有中等风险(311,521),25%估计有低风险(159,462):
公开数据类型的突发事件
631,512条记录包含高度敏感的信息,例如纯文本凭据或包含财务或类似数据的PII。因此,每个网络安全公司平均暴露1,586个被盗凭据和其他敏感数据。下图显示了事件中泄漏数据的一般分类:
密码泄露事件
分析了上述凭据盗用事件类型的密码泄漏强度。29%的密码是弱密码(即少于8个字符,没有大写字母,没有数字,没有特殊字符):
在398家公司中,有162家发生了员工在不同的违规系统上重复使用相同密码的事件。这增加了网络犯罪分子进行密码重用攻击的风险。
即使在领先的网络安全公司的员工中,也使用常见的弱密码:
公司规模划分的事件
显示了按公司规模划分的事件分布:
涉及第三方资源的事件
相当多的事件源于默默地违反了受信任的第三方,例如网络安全公司的供应商或其他分包商,其中大多数是被盗的网站数据库和备份。
大量带有纯文本密码的被盗凭证也来自与无关的第三方有关的事件,包括约会,甚至成人网站,受害者使用他们的专业电子邮件地址登录。
下表列出了最常见的违规第三方类型,这些第三方与员工使用其服务的网络安全公司没有直接关系:
结论
现代威胁形势已成为所有行业的高度复杂,多维和复杂的挑战。人为风险,IT外包以及对第三方数据处理的依赖-逐渐加剧了这种情况并使持续的安全监控变得复杂。研究表明,即使是网络安全行业本身也无法幸免。新冠肺炎的大流行加速了国际网络犯罪,并迫使全球数以百万计的未做好准备的组织在没有必要的安全性和数据保护的情况下紧急数字化其业务流程。
全面的可见性以及数据,IT和数字资产的清单对于当今的任何网络安全和合规性计划都是至关重要的。诸如机器学习和AI之类的现代技术可以显著简化和加速从异常检测到误报减少的大量繁重任务。
