QCon北京「鸿蒙专场」火热来袭!即刻报名,与创新同行~ 了解详情
写点什么

用数字揭穿 5 个网络安全误区

  • 2019-09-04
  • 本文字数:3345 字

    阅读完需:约 11 分钟

用数字揭穿5个网络安全误区

对企业安全来说,了解最大的网络风险及防御方法至关重要。



关于网络安全的很多说法往往夸大其词,而人们也深信不疑。本文将用真实的统计数据来揭穿以下 5 个网络安全误区。

误区一:政府出台更严厉的网络安全法律法规将会减少网络犯罪

这听起来十分可信,毕竟政府确实执行这些法律法规来防御网络犯罪。难道说网络犯罪率会因此下降吗?以下数据证明事实并非如此:


根据卡巴斯基安全公报的研究,每 40 秒就有一个企业成为网络犯罪的受害者,到 2019 年,这 40 秒将缩短为 14 秒。

据 Bromium 的报告,网络犯罪每年获取的利润估计为 1.5 万亿美元。

据思科的报告,网络攻击的年增长率为 350%。

据网络安全风险投资公司的估计,从 2017 年到 2021 年,企业将在网络安全上花费 1 万亿美元。

美国司法部估计,全球每天有 100000 台计算机被勒索软件感染。企业和个人每年被勒索约 10 亿美元的赎金。

据 Varonis,移动应用程序也非常危险,每天约有 24000 个恶意移动应用程序被阻止。

据 Varonis,物联网攻击在 2017 年的增长率达到了 600%。

据 aicpa.org 的报告显示,参与调查的美国成年人中有 60%的人称他们或身边的亲戚朋友已经遭遇过欺诈包括网络钓鱼电子邮件、信用卡号码盗窃、庞氏骗局、国税局的假电话和虚假的慈善和捐赠请求。

据 Pewreseach 最近的民意调查,美国人发现自己极易受到网络攻击。在经济危机、朝鲜战争、核攻击和 ISIS 之前,他们认为网络犯罪是最大的安全风险。

据 Cryptonite 的数据,2017 年医疗保健行业的勒索软件攻击增长了 89%。

据 FBI 称,每天发生 4000 多起勒索软件攻击事件。到 2019 年,勒索软件赎金估计将达到 115 亿美元。

据 Cybersecurity Ventures 的最新估计,到 2021 年,网络犯罪损失成本将在 6 年内增加 100%,每年增加 6 万亿美元,而 2015 年为 3 万亿美元。

误区二:黑客只对大企业感兴趣,而中小型企业(初创公司)可免遭入侵

人们常常看到许多像 Home Depot、Equifax 和 Marriott 等大型企业数据泄露事件的报道,而事实是数以千计的小型企业也遭受数据泄露,只是它们没有被报道出来而已。


以下数据可以证明:


到 2021 年, 几乎一半的网络攻击将针对小型企业,预计损失接近 3 万亿。

2017 年,61%的受害者是员工少于 1000 人的小型企业。每天约有 4000 家中小企业成为网络犯罪的受害者。

根据美国国家网络安全联盟的统计,60%的小公司无法幸免于网络攻击,且在受到网络攻击后 6 个月才能恢复过来。(Denverpost)

据 Ponemon Institute,一家小型公司从网络攻击中恢复平均需要 69 万美元;对于中型企业,恢复成本超过 100 万美元。

根据 SCORE 信息图表,43%的 Cyberattacks 针对小型企业。攻击中小型公司的常规手段是窃取信息,通过电汇方式锁定银行账户;窃取客户的个人身份信息;提交欺诈性退税申请;并且,进行健康保险或医疗保险欺诈。(Denverpost)。

根据 Keeper Security 的一项民意调查,只有 14%的中小企业认为其安全防御“非常有效”。

据 Beazley Group,由于预算限制,中小型企业没有配备最新的网络安全产品,这就是为什么它们会成为勒索软件攻击的目标。

误区三:用户可以信任已经获取 SSL/TLS 证书并启用 HTTPS 的网站

SSL 证书颁发机构声称提供强大的加密算法并提供维护。虽然 SSL 证书提供的加密很难破解,但是它们只是保护了用户和网站之间的传输数据,如果数据的原始网站所有者或者授权员工滥用数据,那么该证书颁发机构将无法触及。


而且,网络犯罪分子也在他们的垃圾网站启用 HTTPS,以下数据可以证明:


据APWG.org ,58%的网络钓鱼网站获取了 SSL / TLS 证书并启用了 HTTPS。

根据 FireEye 的报告,在 2019 年前三个月基于 HTTPS URL 的网络钓鱼攻击的增长率为 26%。

在 2019 年 6 月,FBI 警告人们“不要只是因为它在浏览器地址栏中有一个锁定图标或”https 就信任一个网站“。网络犯罪分子往往会利用公众对“https”和锁定图标的信任。“

这种情况下,扩展验证(E.V.)SSL 可以帮助网站访问者将原始网站与网络钓鱼虚假网站区分开来。证书颁发机构在颁发 EV SSL 之前会验证合法公司所有业务的详细信息。此外,在显示域名之前,在地址栏中还会显示组织的合法名称。

误区四:大型企业斥巨资进行网络安全建设就可以免受网络攻击

和小型组织相比,人们或许会认为在大型组织进行信用卡交易会更安全。因为大型组织更加重视网络安全,招聘网络安全人员,并投入数百万美元用于研发,以找到适合自己的最佳防御方式。


而实际上,真实数据表明大型组织和小型组织受到攻击的概率一样:


2019 年 3 月,通过共享服务中心向美国军方提供云服务的云计算巨头 Citrix 成为网络攻击的受害者,泄露了 6 到 10TB 的机密内部信息。

在 2018 年 11 月万豪宣布数据泄露,涉及人次约有 5 亿人。

2017 年 9 月,Equifax 公布了数据窃取,多达 1.45 亿用户的个人信息,包括社会安全号码、出生日期、地址和驾驶执照号码。

2016 年 9 月,雅虎透露,它已成为数据窃取的受害者,泄露了真实姓名、电子邮件地址、出生日期和 10 亿用户的电话号码。

2015 年 2 月,Anthem 报告了大量数据被盗,8000 万患者和员工记录包括姓名、出生日期、社会安全号码、医保号码、家庭住址、电子邮件地址、就业信息、收入数据等数据遭泄露。

2014 年 8 月,Hold Security 公司透露,俄罗斯黑客使用程序僵尸网络,利用 SQL 注入漏洞,并在全球 420000 个网站上窃取了 12 亿次登录和密码,使黑客“CyberVor”能够访问 5 亿个电子邮件帐户。

2013 年,黑客窃取了大约 1.1 亿客户的私人和支付数据,这些数据是由 Target 的第三方 HVAC 供应商提供的。

根据思科年度网络安全报告的数据,电子邮件黑客以 Microsoft Office 扩展为目标,窃取数据,插入和分发恶意代码。

根据 Varonis 的报告,41%的公司平均会公开 1000 个敏感文件,任何人都可以不受任何限制地访问这些文件。此外,21%的普通文件不受任何保护。

一项研究报告说,攻击者有足够的时间滥用被盗数据,因为美国公司在事件发生后需要约 206 天才能发现。


这些只是大型组织的一些著名的数据泄露事件。当然,还有 Facebook、eBay、MyFitnessPal、英国航空、TicketFly、谷歌、优步、T-Mobile、GitHub、Tesco 银行等其他大公司成为网络攻击的对象。


从这里可以看出,没有任何业务是安全的,无论是亿万富翁帝国还是小博客。只需一名员工点击错误的链接或打开错误的网页,或在使用公共 Wi-Fi 或缺少更新软件或类似的微不足道的行为时疏忽。您所能做的就是为所有级别的员工提供与网络安全相关的培训,并在网上冲浪时始终保持警惕。如果它看起来好得令人难以置信,请不要点击某些内容(电子邮件、链接、视频、图片)。


因此,对于网络攻击,任何企业,无一幸免。现在能做的就是给公司员工提供网络安全培训,并且时时警惕电子邮件、链接、视频、邮件等司空见惯的东西。

误区五:在 FBI、当地执法和网络安全专家的帮助下,政府可以非常高效地处理勒索软件

勒索软件是一种恶意脚本,可以加密锁定用户的数据文件,软件,系统等,并索取赎金。这就像是网络世界里的绑架案件。就算是有 FBI、警察和这个司法系统的国家政府也依旧无法躲过网络攻击,就跟绑架国家总统索要赎金一样。


2019 年 5 月,巴尔的摩市政府遭到一场名为 Robbin Hood 的勒索软件感染,据报道该次事件影响了疫苗生产,ATM,机场和医院,并锁定市政府硬盘数据,时间长达一个月,勒索赎金预计超过 1800 万美元。

2019 年 5 月,佛罗里达州里维埃拉海滩市支付了 65 比特币(约 60 万美元)的赎金以重获电脑数据。

2019 年 3 月,佐治亚州杰克逊县最终为了摆脱 Ryuk 勒索软件感染支付了 40 万美元的赎金。

2019 年 3 月,北卡罗来纳州奥兰治县六年来遭遇第三次勒索软件攻击,破坏了当地图书馆、税务部门、国家登记册和警长部门的 100 多台计算机。


每年政府网站都成为众多勒索软件攻击的受害者。根据 2019 年总统的预算,美国政府今年已拨出 150 亿美元作为网络安全资金。政府已花费数百万美元来预防网络犯罪,但依然任重而道远。个人无法摆脱网络攻击,只能从这些事件中吸取教训,谨慎分享个人信息。(本文转自freebuf.com


相关文章:


https://www.freebuf.com/articles/network/212237.html


https://medium.com/@estelasmithtech/cyber-security-myth-busters-debunking-5-myths-with-cold-hard-numbers-afe46a50dd4c


2019-09-04 18:172433

评论

发布
暂无评论
发现更多内容

OpenKruise v0.8.0 核心能力解读:管理 Sidecar 容器的利器

阿里巴巴云原生

容器 微服务 云原生 k8s 应用服务中间件

区块链数字版权管理,区块链赋能知识产权保护

13530558032

跟公司新招的这个“同事”搭档,工作搬砖太“自动化”了

华为云开发者联盟

华为 AI RPA 自动化 员工

带你走进与千万数据通信者共成长的“家园”

华为云开发者联盟

华为 开发者 网络 华为数据通信 社区

Oracle Sql性能优化

大数据技术指南

oracle 大数据 28天写作 3月日更

架构师训练营第十一周作业 - 命题作业

阿德儿

寻找被遗忘的勇气(十七)

Changing Lin

3月日更

C语言中“野指针”、“悬空指针”是什么?

不脱发的程序猿

c 指针 编程之路 bug 3月日更

阿里P8大牛亲自教你!一个三非渣本的Android校招秋招之路,满满干货指导

欢喜学安卓

android 程序员 面试 移动开发

区块链电子证照应用赋能政府服务

13530558032

朋友,你听说过跨域吗

河磨

spring CORS 跨域

【LeetCode】不同的子序列Java题解

Albert

算法 LeetCode 28天写作 3月日更

阿里P8大牛亲自讲解!2021年Android网络编程总结篇,醍醐灌顶!

欢喜学安卓

android 程序员 面试 移动开发

看故事学Redis:再不懂,我怀疑你是假个开发

华为云开发者联盟

MySQL 数据库 redis 缓存 数据

区块链数字版权管理,区块链赋能知识产权保护

13530558032

私藏干货 | 实现分布式锁的三种方案对比

架构精进之路

分布式锁 3月日更

有道技术沙龙 | AI 语音交互技术在语言学习场景的实践

有道技术团队

人工智能

智慧公安二维码定位报警系统开发,微警务平台解决方案

源中瑞-龙先生

二维码定位报警系统开发 智慧公安 智慧公安扫码

数据驱动业务:一张大屏掌控城市运行,效率提高95%

一只数据鲸鱼

物联网 数据可视化 智慧城市 智慧园区 智慧交通

拍乐云创始人&CEO赵加雨:深耕18载,打造全景式音视频服务

拍乐云Pano

音视频 WebRTC 在线教育 RTC 实时通信

电商千万级交易的金手指:分布式事务管理

华为云开发者联盟

微服务 事务 华为云 分布式事务管理 DTM

你遇到过哪些质量很高的 Java 面试?

张小方

Java 面试 阿里 薪资

您的客户管理决策是否低于10毫秒?

VoltDB

5G 物联网 解决方案 电信

JDK8新特性 Fork/Join 的优化

Java小咖秀

Java java8 jdk8 forkjoin fork

沙龙报名 | 云计算进入多元架构,云原生时代的挑战与机遇

京东科技开发者

云计算 云原生

SDK 是如何存储事件数据的?

神策技术社区

ios 大数据 存储 数据采集 神策数据

LeetCode题解:647. 回文子串,动态规划,JavaScript,详细注释

Lee Chen

算法 大前端 LeetCode

多端框架开发 | 拼团商城项目开发说明

YonBuilder低代码开发平台

小程序云开发 大前端 移动终端 APP开发 多端开发

Kubectl Plugin 推荐(三)| 插件开发篇

郭旭东

Kubernetes kubectl kubectl plugin

NAC公链——Nirvana NA公链白皮书

区块链第一资讯

挖矿 区块链+

一招让Kafka达到最佳吞吐量

万俊峰Kevin

kafka go-zero Go 语言

用数字揭穿5个网络安全误区_文化 & 方法_Estela Smith_InfoQ精选文章