网络安全行业在黑暗网络中的暴露状况

97%的领先网络安全公司在2020年将其数据暴露在Dark Web上，有超过16万起可能危及其客户的重大或严重事件。

去年，我们开展并发表了几项受到国际媒体和全球网络安全界欢迎的探索性研究：

鉴于在过去12个月中，针对值得信赖的第三方的网络攻击的复杂性和数量迅速增长，并根据我们重要客户和合作伙伴的许多要求和建议，我们决定对全球网络安全行业进行探索性研究，以阐明和衡量其在2020年在Dark Web上的暴露情况。

波尼蒙研究所的一项调查显示，59%的公司因包括网络安全供应商在内的第三方受到损害而发生数据泄露事件。Digital Shadows在2020年7月发表的最新研究估计，在目前可供出售的10万多起数据泄露事件中，有超过150亿条记录被盗。

几周前，来自Malwarebytes的一份报告显示，在家工作(WFH)会导致安全漏洞激增。为了更好地理解这一多方面的挑战，Forrester提供了一份关于内部人士如何利用黑暗网络出售公司数据的富有洞察力的报告。

这项研究旨在帮助从定性和定性两个方面更好地了解新兴风险和现代威胁格局，并帮助网络安全公司更好地优先处理和应对新兴网络风险。

我们试图使我们对全球网络安全公司的抽样尽可能具有代表性、合理多样化和包容性，以确保调查结果的普遍性。

出于本研究的目的，我们从以下独立来源编制了全球领先的网络安全公司名单：

该测试基于我们专有的机器学习增强的OSINT技术(见下文)。以下是我们收集有关事件数据的各种资源的非详尽列表：

最早的安全事件可以追溯到2012年，而最近的一次是在2020年8月31日。

手动验证异常情况(例如每个公司的事件数量惊人地多或少)，以确保数据的一致性和准确性。

值得一提的是，黑暗网络上不断增长的“噪音”，从过时或重复的数据泄露到骗子出售的公然假货，应有尽有。为了应对这一挑战，我们利用并不断改进我们专有的机器学习(ML)模型来提炼结果。例如，我们有一个经过特殊训练的ML模型，能够区分人工创建的密码和自动生成的密码。我们也有许多其他ML模型，它们检测到各种“危险信号”，表明数据、其宣传的质量或违反日期，或者卖家确实缺乏基本的可信度和确定性。在这项研究中，没有触发任何危险信号的发现被称为已验证，而其他发现则被贴上未验证的标签。

以下是我们的免费测试和本研究中使用的已验证事件的估计风险评分：

严重风险：使用明文密码的登录凭据，或具有高度敏感数据(例如PII、财务记录等)的数据泄露。最新的和/或独一无二的。

高风险：使用明文密码的登录凭据，或具有高度敏感数据(例如PII、财务记录等)的数据泄露。

中等风险：登录凭据加密密码，或中等敏感数据(例如源代码、内部文档等)的各种数据泄露

低风险：在数据泄露、样本或转储中提及组织、其IT资产或员工，而不附带敏感或机密信息。

只需在免费测试中输入公司的主网站URL并查看结果，就可以重现研究结果。

这项免费测试提供了准确的安全事件数量和估计的风险得分，但出于道德和法律原因，没有透露事件的技术细节。

希望收到该事件的全部详细信息的组织可以考虑使用ImmuniWeb®Discovery来获取暴露的数据，而不受这些限制。

398家网络安全公司在黑暗网络中发现的事件总数为1,658,907起，而38%(631,512家)是已核实的事件(见上文)：

下图说明了按估计风险级别分配事件的情况(请参见上文)。在已核实的事件中，近17%(109,019)估计了严重风险，8%估计为高风险(51,510)，49%估计为中等风险(311,521)，25%估计为低风险(159,462)：

631,512条记录包含高度敏感的信息，例如明文凭据或PII，包括财务或类似数据。因此，每家网络安全公司平均有1,586份被盗的凭据和其他敏感数据被曝光。下图说明了事件泄漏数据的一般分类：

我们自动分析了上述凭证盗窃事件类型的密码泄露强度。29%的密码是弱密码(即少于8个字符，没有大写，没有数字，也没有特殊字符)：

在398家公司中，有162家发生了员工在不同被攻破的系统上重复使用相同密码的事件。这增加了网络犯罪分子重复使用密码攻击的风险。

下表列出了最受欢迎的密码，这些密码清楚地表明，即使是在领先的网络安全公司的员工中，密码卫生和做法也很糟糕：

下表显示了398家网络安全公司按国家/地区划分的事件分布情况：

相当多的事件源于悄悄破坏可信的第三方，如网络安全公司的供应商或其他分包商，主要表现为被盗的网站数据库和备份。

同样，大量带有明文密码的被盗凭证也来自于涉及无关第三方的事件，包括约会，甚至是面向成人的网站，受害者使用自己的专业电子邮件地址登录。我们在色情和成人交友网站上发现了至少5121个被盗的凭证。

下表列出了最受欢迎的被入侵第三方类型，这些第三方想必与员工使用其服务的网络安全公司没有直接关系：

此外，为了描绘一幅更广阔的图景，超越黑暗网络暴露范围，间接交叉验证调查结果，我们使用免费的在线网站安全测试来检查属于398家网络安全公司的主要网站的合规性。该测试使用非侵入性且生产安全的方法来检查特定于网站和Web服务器安全的PCI DSS和GDPR要求：

如上图所示，超过一半的公司(63%)的主要网站无法满足这些PCI DSS要求，这意味着他们使用易受攻击或过时的软件(包括JS库和框架)，或者在拦截模式下没有Web应用防火墙(WAF)。

191个网站(48%)不遵守这些GDPR要求，原因是软件易受攻击、缺少明显可见的隐私政策，或者Cookie包含PII或可追踪标识符时缺少Cookie免责声明。

最后，我们参考了Open Bug Bounty项目公开提供的数据，以更好地了解398家网络安全公司的网络应用程序(In)安全。那里报告了91家公司的279个XSS漏洞，其中26%的报告漏洞截至本研究发表日期仍未打补丁。

免疫网络首席架构师兼Amp；创始人伊利亚·N·科洛琴科(Ilia N.Kolochenko)表示：“现代威胁格局已经成为所有行业面临的高度复杂、多维和错综复杂的挑战。人为风险、IT外包和依赖第三方进行数据处理-逐渐加剧了这种情况，并使持续的安全监控复杂化。

更糟糕的是，如雨后春笋般涌现的国家和跨国合规要求开始过度消耗不断缩水的网络安全预算的很大一部分。正如这项令人震惊的研究所表明的那样，即使是网络安全行业本身也不能幸免于这些问题。新冠肺炎助长了国际网络犯罪，迫使全球数以百万计的毫无准备的组织在没有必要的安全和数据保护的情况下紧急将其业务流程数字化。然而，在这种背景下，与2020年的许多其他行业相比，网络安全公司的表现相当不错，这也是因为慷慨的风险投资和获得内部人才来解决安全和合规问题。

今天，网络罪犯努力通过瞄准值得信赖的第三方而不是追查最终受害者来最大化他们的利润，并将他们被逮捕的风险降至最低。例如，大型金融机构通常拥有强大的技术、法医和法律资源，能够及时发现、调查和大力起诉大多数入侵行为，而且往往是成功的。相反，他们的第三方，从律师事务所到IT公司，通常缺乏快速应对日益增长的有针对性的攻击和APT所需的内部专业知识和预算。最终，它们成为务实的袭击者的容易摘到的果实，他们实际上也享受着不受惩罚的待遇。在2020年，人们不需要花费昂贵的0天，而是找到几个没有保护的第三方，他们有特权进入“皇冠珠宝”，并迅速破解最薄弱的环节。

全面了解和清点您的数据、IT和数字资产对于当今的任何网络安全和合规性计划都至关重要。现代技术，如机器学习和人工智能，可以显著简化和加快从异常检测到减少误报的相当多的繁重任务。然而，这幅图景还需要对Deep and Dark Web和Surface Web中的无数资源进行持续监控，包括公共代码库和粘贴网站。您不能孤立于可能在不久的将来变得更加错综复杂的周围环境来保护您的组织。“。

允许的BB码：[i]，[u]，[b]，[引号]。侮辱性或不恰当的评论将被立即删除。不允许使用HTML。

我同意隐私政策