2020年暗網(wǎng)上泄漏的數(shù)據(jù)，97%出自于網(wǎng)絡(luò)安全機(jī)構(gòu);

近日，人工智能應(yīng)用安全公司ImmuniWeb發(fā)布了一份今年暗網(wǎng)泄漏數(shù)據(jù)來(lái)源的研究，發(fā)現(xiàn)暗網(wǎng)上泄漏的數(shù)據(jù)，97%出自網(wǎng)絡(luò)安全機(jī)構(gòu)，這一年平均下來(lái)，每個(gè)網(wǎng)絡(luò)安全公司都會(huì)泄漏4000多個(gè)被盜憑證和其他敏感數(shù)據(jù)。

研究結(jié)果如下：

1. 暗網(wǎng)上泄漏的數(shù)據(jù)，97%出自網(wǎng)絡(luò)安全機(jī)構(gòu);

2. 今年共發(fā)現(xiàn)631512個(gè)經(jīng)確認(rèn)的安全事件，超過(guò)25%（大約160529個(gè)）屬于高或嚴(yán)重級(jí)別安全風(fēng)險(xiǎn)，其中包含高度敏感的信息，例如明文憑證或PII，包括財(cái)務(wù)或類(lèi)似數(shù)據(jù)。因此，平均每個(gè)網(wǎng)絡(luò)安全公司有1586份被竊取的憑證和其他敏感數(shù)據(jù)出現(xiàn)在暗網(wǎng)。在ImmuniWeb的研究中還發(fā)現(xiàn)了超過(guò)100萬(wàn)個(gè)未經(jīng)證實(shí)的泄漏事件（1027395個(gè)），這里面只有159462個(gè)被認(rèn)為是低風(fēng)險(xiǎn)的;

3. 29%的被盜密碼是弱密碼，研究顯示，29%的被盜密碼很弱，只有不到8個(gè)字符，或者沒(méi)有大寫(xiě)字母、數(shù)字或其他特殊字符，都屬于常見(jiàn)的易攻擊密碼。162家公司的約40名員工在缺乏安全密碼保護(hù)的情況下重復(fù)使用相同的密碼。

4. ***和成人交友網(wǎng)站上使用了專(zhuān)業(yè)電子郵件，第三方違規(guī)行為占有很大比例，ImmuniWeb的研究發(fā)現(xiàn)，5121份證書(shū)來(lái)源于被黑客入侵的***或成人交友網(wǎng)站。

5. 63%的網(wǎng)絡(luò)安全公司的網(wǎng)站不符合PCI DSS要求，這意味著它們使用易受攻擊或過(guò)時(shí)的軟件（包括JS庫(kù)和框架）或在阻止模式下沒(méi)有Web應(yīng)用程序防火墻（WAF）。

6. 48%的網(wǎng)絡(luò)安全公司的網(wǎng)站不符合GDPR要求，缺乏明顯的隱私政策，當(dāng)cookie包含PII或可追蹤標(biāo)識(shí)符時(shí)，缺少cookie免責(zé)聲明。

7. 有91家公司存在可利用的網(wǎng)站安全漏洞，其中26%仍未修補(bǔ)。

這項(xiàng)研究是使用ImmuniWeb的免費(fèi)在線域安全測(cè)試來(lái)進(jìn)行的，該測(cè)試結(jié)合了專(zhuān)有的OSINT技術(shù)和機(jī)器學(xué)習(xí)，對(duì)暗網(wǎng)進(jìn)行分類(lèi)。398家領(lǐng)先的網(wǎng)絡(luò)安全公司接受了此次測(cè)試。2020年6月4日，人工智能應(yīng)用安全公司ImmuniWeb發(fā)布了一個(gè)新的免費(fèi)暗網(wǎng)監(jiān)測(cè)工具，用于監(jiān)視和衡量組織在暗網(wǎng)（Dark Web）上的泄漏程度。

美國(guó)的網(wǎng)絡(luò)安全公司遭受的風(fēng)險(xiǎn)最高最嚴(yán)重，其次是英國(guó)和加拿大，再次是愛(ài)爾蘭，日本，德國(guó)，以色列，捷克共和國(guó)，俄羅斯和斯洛伐克。

在接受測(cè)試的398家網(wǎng)絡(luò)安全公司中，只有瑞士、葡萄牙和意大利的公司沒(méi)有遭受任何高風(fēng)險(xiǎn)或重大風(fēng)險(xiǎn)事件，而比利時(shí)，葡萄牙和法國(guó)的公司雖有相關(guān)的事件發(fā)生，但經(jīng)過(guò)驗(yàn)證的事件數(shù)量卻最少。

ImmuniWeb首席執(zhí)行官兼創(chuàng)始人Ilia Kolochenko對(duì)這項(xiàng)研究發(fā)表了評(píng)論：

如今，網(wǎng)絡(luò)犯罪分子通過(guò)針對(duì)可信賴(lài)的第三方而不是直接攻擊個(gè)體，努力實(shí)現(xiàn)利潤(rùn)最大化。不過(guò)這也分情況，例如，大型金融機(jī)構(gòu)通常擁有強(qiáng)大的玩過(guò)安全保護(hù)技術(shù)和法律保證，可以及時(shí)發(fā)現(xiàn)并調(diào)查大多數(shù)攻擊者。不過(guò)律師事務(wù)所和IT公司，通常缺乏對(duì)快速增長(zhǎng)的針對(duì)性攻擊和APT做出反應(yīng)所需的內(nèi)部專(zhuān)業(yè)知識(shí)和預(yù)算。

對(duì)于當(dāng)今的任何網(wǎng)絡(luò)安全和規(guī)劃來(lái)說(shuō)，數(shù)據(jù)、IT和數(shù)字資產(chǎn)的整體可見(jiàn)性和清單都是必不可少的。機(jī)器學(xué)習(xí)和AI等現(xiàn)代技術(shù)可以極大地簡(jiǎn)化和加速?gòu)漠惓Ｊ录焦舻拇罅糠敝厝蝿?wù)。
責(zé)編AJX