用数字揭穿 5 个网络安全误区

对企业安全来说，了解最大的网络风险及防御方法至关重要。

关于网络安全的很多说法往往夸大其词，而人们也深信不疑。本文将用真实的统计数据来揭穿以下 5 个网络安全误区。

误区一：政府出台更严厉的网络安全法律法规将会减少网络犯罪

这听起来十分可信，毕竟政府确实执行这些法律法规来防御网络犯罪。难道说网络犯罪率会因此下降吗？以下数据证明事实并非如此：

根据卡巴斯基安全公报的研究，每 40 秒就有一个企业成为网络犯罪的受害者，到 2019 年，这 40 秒将缩短为 14 秒。

据 Bromium 的报告，网络犯罪每年获取的利润估计为 1.5 万亿美元。

据思科的报告，网络攻击的年增长率为 350％。

据网络安全风险投资公司的估计，从 2017 年到 2021 年，企业将在网络安全上花费 1 万亿美元。

美国司法部估计，全球每天有 100000 台计算机被勒索软件感染。企业和个人每年被勒索约 10 亿美元的赎金。

据 Varonis，移动应用程序也非常危险，每天约有 24000 个恶意移动应用程序被阻止。

据 Varonis，物联网攻击在 2017 年的增长率达到了 600％。

据 aicpa.org 的报告显示，参与调查的美国成年人中有 60％的人称他们或身边的亲戚朋友已经遭遇过欺诈包括网络钓鱼电子邮件、信用卡号码盗窃、庞氏骗局、国税局的假电话和虚假的慈善和捐赠请求。

据 Pewreseach 最近的民意调查，美国人发现自己极易受到网络攻击。在经济危机、朝鲜战争、核攻击和 ISIS 之前，他们认为网络犯罪是最大的安全风险。

据 Cryptonite 的数据，2017 年医疗保健行业的勒索软件攻击增长了 89％。

据 FBI 称，每天发生 4000 多起勒索软件攻击事件。到 2019 年，勒索软件赎金估计将达到 115 亿美元。

据 Cybersecurity Ventures 的最新估计，到 2021 年，网络犯罪损失成本将在 6 年内增加 100％，每年增加 6 万亿美元，而 2015 年为 3 万亿美元。

误区二：黑客只对大企业感兴趣，而中小型企业（初创公司）可免遭入侵

人们常常看到许多像 Home Depot、Equifax 和 Marriott 等大型企业数据泄露事件的报道，而事实是数以千计的小型企业也遭受数据泄露，只是它们没有被报道出来而已。

以下数据可以证明：

到 2021 年， 几乎一半的网络攻击将针对小型企业，预计损失接近 3 万亿。

2017 年，61％的受害者是员工少于 1000 人的小型企业。每天约有 4000 家中小企业成为网络犯罪的受害者。

根据美国国家网络安全联盟的统计，60％的小公司无法幸免于网络攻击，且在受到网络攻击后 6 个月才能恢复过来。（Denverpost）

据 Ponemon Institute，一家小型公司从网络攻击中恢复平均需要 69 万美元；对于中型企业，恢复成本超过 100 万美元。

根据 SCORE 信息图表，43％的 Cyberattacks 针对小型企业。攻击中小型公司的常规手段是窃取信息，通过电汇方式锁定银行账户；窃取客户的个人身份信息；提交欺诈性退税申请；并且，进行健康保险或医疗保险欺诈。（Denverpost）。

根据 Keeper Security 的一项民意调查，只有 14％的中小企业认为其安全防御“非常有效”。

据 Beazley Group，由于预算限制，中小型企业没有配备最新的网络安全产品，这就是为什么它们会成为勒索软件攻击的目标。

误区三：用户可以信任已经获取 SSL/TLS 证书并启用 HTTPS 的网站

SSL 证书颁发机构声称提供强大的加密算法并提供维护。虽然 SSL 证书提供的加密很难破解，但是它们只是保护了用户和网站之间的传输数据，如果数据的原始网站所有者或者授权员工滥用数据，那么该证书颁发机构将无法触及。

而且，网络犯罪分子也在他们的垃圾网站启用 HTTPS，以下数据可以证明：

据APWG.org ，58％的网络钓鱼网站获取了 SSL / TLS 证书并启用了 HTTPS。

根据 FireEye 的报告，在 2019 年前三个月基于 HTTPS URL 的网络钓鱼攻击的增长率为 26％。

在 2019 年 6 月，FBI 警告人们“不要只是因为它在浏览器地址栏中有一个锁定图标或”https 就信任一个网站“。网络犯罪分子往往会利用公众对“https”和锁定图标的信任。“

这种情况下，扩展验证（E.V.）SSL 可以帮助网站访问者将原始网站与网络钓鱼虚假网站区分开来。证书颁发机构在颁发 EV SSL 之前会验证合法公司所有业务的详细信息。此外，在显示域名之前，在地址栏中还会显示组织的合法名称。

误区四：大型企业斥巨资进行网络安全建设就可以免受网络攻击

和小型组织相比，人们或许会认为在大型组织进行信用卡交易会更安全。因为大型组织更加重视网络安全，招聘网络安全人员，并投入数百万美元用于研发，以找到适合自己的最佳防御方式。

而实际上，真实数据表明大型组织和小型组织受到攻击的概率一样：

2019 年 3 月，通过共享服务中心向美国军方提供云服务的云计算巨头 Citrix 成为网络攻击的受害者，泄露了 6 到 10TB 的机密内部信息。

在 2018 年 11 月万豪宣布数据泄露，涉及人次约有 5 亿人。

2017 年 9 月，Equifax 公布了数据窃取，多达 1.45 亿用户的个人信息，包括社会安全号码、出生日期、地址和驾驶执照号码。

2016 年 9 月，雅虎透露，它已成为数据窃取的受害者，泄露了真实姓名、电子邮件地址、出生日期和 10 亿用户的电话号码。

2015 年 2 月，Anthem 报告了大量数据被盗，8000 万患者和员工记录包括姓名、出生日期、社会安全号码、医保号码、家庭住址、电子邮件地址、就业信息、收入数据等数据遭泄露。

2014 年 8 月，Hold Security 公司透露，俄罗斯黑客使用程序僵尸网络，利用 SQL 注入漏洞，并在全球 420000 个网站上窃取了 12 亿次登录和密码，使黑客“CyberVor”能够访问 5 亿个电子邮件帐户。

2013 年，黑客窃取了大约 1.1 亿客户的私人和支付数据，这些数据是由 Target 的第三方 HVAC 供应商提供的。

根据思科年度网络安全报告的数据，电子邮件黑客以 Microsoft Office 扩展为目标，窃取数据，插入和分发恶意代码。

根据 Varonis 的报告，41％的公司平均会公开 1000 个敏感文件，任何人都可以不受任何限制地访问这些文件。此外，21％的普通文件不受任何保护。

一项研究报告说，攻击者有足够的时间滥用被盗数据，因为美国公司在事件发生后需要约 206 天才能发现。

这些只是大型组织的一些著名的数据泄露事件。当然，还有 Facebook、eBay、MyFitnessPal、英国航空、TicketFly、谷歌、优步、T-Mobile、GitHub、Tesco 银行等其他大公司成为网络攻击的对象。

从这里可以看出，没有任何业务是安全的，无论是亿万富翁帝国还是小博客。只需一名员工点击错误的链接或打开错误的网页，或在使用公共 Wi-Fi 或缺少更新软件或类似的微不足道的行为时疏忽。您所能做的就是为所有级别的员工提供与网络安全相关的培训，并在网上冲浪时始终保持警惕。如果它看起来好得令人难以置信，请不要点击某些内容（电子邮件、链接、视频、图片）。

因此，对于网络攻击，任何企业，无一幸免。现在能做的就是给公司员工提供网络安全培训，并且时时警惕电子邮件、链接、视频、邮件等司空见惯的东西。

误区五：在 FBI、当地执法和网络安全专家的帮助下，政府可以非常高效地处理勒索软件

勒索软件是一种恶意脚本，可以加密锁定用户的数据文件，软件，系统等，并索取赎金。这就像是网络世界里的绑架案件。就算是有 FBI、警察和这个司法系统的国家政府也依旧无法躲过网络攻击，就跟绑架国家总统索要赎金一样。

2019 年 5 月，巴尔的摩市政府遭到一场名为 Robbin Hood 的勒索软件感染，据报道该次事件影响了疫苗生产，ATM，机场和医院，并锁定市政府硬盘数据，时间长达一个月，勒索赎金预计超过 1800 万美元。

2019 年 5 月，佛罗里达州里维埃拉海滩市支付了 65 比特币（约 60 万美元）的赎金以重获电脑数据。

2019 年 3 月，佐治亚州杰克逊县最终为了摆脱 Ryuk 勒索软件感染支付了 40 万美元的赎金。

2019 年 3 月，北卡罗来纳州奥兰治县六年来遭遇第三次勒索软件攻击，破坏了当地图书馆、税务部门、国家登记册和警长部门的 100 多台计算机。

每年政府网站都成为众多勒索软件攻击的受害者。根据 2019 年总统的预算，美国政府今年已拨出 150 亿美元作为网络安全资金。政府已花费数百万美元来预防网络犯罪，但依然任重而道远。个人无法摆脱网络攻击，只能从这些事件中吸取教训，谨慎分享个人信息。（本文转自freebuf.com）

相关文章：

https://www.freebuf.com/articles/network/212237.html

https://medium.com/@estelasmithtech/cyber-security-myth-busters-debunking-5-myths-with-cold-hard-numbers-afe46a50dd4c