【AICon】探索RAG 技术在实际应用中遇到的挑战及应对策略!AICon精华内容已上线73%>>> 了解详情
写点什么

用数字揭穿 5 个网络安全误区

  • 2019-09-04
  • 本文字数:3345 字

    阅读完需:约 11 分钟

用数字揭穿5个网络安全误区

对企业安全来说,了解最大的网络风险及防御方法至关重要。



关于网络安全的很多说法往往夸大其词,而人们也深信不疑。本文将用真实的统计数据来揭穿以下 5 个网络安全误区。

误区一:政府出台更严厉的网络安全法律法规将会减少网络犯罪

这听起来十分可信,毕竟政府确实执行这些法律法规来防御网络犯罪。难道说网络犯罪率会因此下降吗?以下数据证明事实并非如此:


根据卡巴斯基安全公报的研究,每 40 秒就有一个企业成为网络犯罪的受害者,到 2019 年,这 40 秒将缩短为 14 秒。

据 Bromium 的报告,网络犯罪每年获取的利润估计为 1.5 万亿美元。

据思科的报告,网络攻击的年增长率为 350%。

据网络安全风险投资公司的估计,从 2017 年到 2021 年,企业将在网络安全上花费 1 万亿美元。

美国司法部估计,全球每天有 100000 台计算机被勒索软件感染。企业和个人每年被勒索约 10 亿美元的赎金。

据 Varonis,移动应用程序也非常危险,每天约有 24000 个恶意移动应用程序被阻止。

据 Varonis,物联网攻击在 2017 年的增长率达到了 600%。

据 aicpa.org 的报告显示,参与调查的美国成年人中有 60%的人称他们或身边的亲戚朋友已经遭遇过欺诈包括网络钓鱼电子邮件、信用卡号码盗窃、庞氏骗局、国税局的假电话和虚假的慈善和捐赠请求。

据 Pewreseach 最近的民意调查,美国人发现自己极易受到网络攻击。在经济危机、朝鲜战争、核攻击和 ISIS 之前,他们认为网络犯罪是最大的安全风险。

据 Cryptonite 的数据,2017 年医疗保健行业的勒索软件攻击增长了 89%。

据 FBI 称,每天发生 4000 多起勒索软件攻击事件。到 2019 年,勒索软件赎金估计将达到 115 亿美元。

据 Cybersecurity Ventures 的最新估计,到 2021 年,网络犯罪损失成本将在 6 年内增加 100%,每年增加 6 万亿美元,而 2015 年为 3 万亿美元。

误区二:黑客只对大企业感兴趣,而中小型企业(初创公司)可免遭入侵

人们常常看到许多像 Home Depot、Equifax 和 Marriott 等大型企业数据泄露事件的报道,而事实是数以千计的小型企业也遭受数据泄露,只是它们没有被报道出来而已。


以下数据可以证明:


到 2021 年, 几乎一半的网络攻击将针对小型企业,预计损失接近 3 万亿。

2017 年,61%的受害者是员工少于 1000 人的小型企业。每天约有 4000 家中小企业成为网络犯罪的受害者。

根据美国国家网络安全联盟的统计,60%的小公司无法幸免于网络攻击,且在受到网络攻击后 6 个月才能恢复过来。(Denverpost)

据 Ponemon Institute,一家小型公司从网络攻击中恢复平均需要 69 万美元;对于中型企业,恢复成本超过 100 万美元。

根据 SCORE 信息图表,43%的 Cyberattacks 针对小型企业。攻击中小型公司的常规手段是窃取信息,通过电汇方式锁定银行账户;窃取客户的个人身份信息;提交欺诈性退税申请;并且,进行健康保险或医疗保险欺诈。(Denverpost)。

根据 Keeper Security 的一项民意调查,只有 14%的中小企业认为其安全防御“非常有效”。

据 Beazley Group,由于预算限制,中小型企业没有配备最新的网络安全产品,这就是为什么它们会成为勒索软件攻击的目标。

误区三:用户可以信任已经获取 SSL/TLS 证书并启用 HTTPS 的网站

SSL 证书颁发机构声称提供强大的加密算法并提供维护。虽然 SSL 证书提供的加密很难破解,但是它们只是保护了用户和网站之间的传输数据,如果数据的原始网站所有者或者授权员工滥用数据,那么该证书颁发机构将无法触及。


而且,网络犯罪分子也在他们的垃圾网站启用 HTTPS,以下数据可以证明:


据APWG.org ,58%的网络钓鱼网站获取了 SSL / TLS 证书并启用了 HTTPS。

根据 FireEye 的报告,在 2019 年前三个月基于 HTTPS URL 的网络钓鱼攻击的增长率为 26%。

在 2019 年 6 月,FBI 警告人们“不要只是因为它在浏览器地址栏中有一个锁定图标或”https 就信任一个网站“。网络犯罪分子往往会利用公众对“https”和锁定图标的信任。“

这种情况下,扩展验证(E.V.)SSL 可以帮助网站访问者将原始网站与网络钓鱼虚假网站区分开来。证书颁发机构在颁发 EV SSL 之前会验证合法公司所有业务的详细信息。此外,在显示域名之前,在地址栏中还会显示组织的合法名称。

误区四:大型企业斥巨资进行网络安全建设就可以免受网络攻击

和小型组织相比,人们或许会认为在大型组织进行信用卡交易会更安全。因为大型组织更加重视网络安全,招聘网络安全人员,并投入数百万美元用于研发,以找到适合自己的最佳防御方式。


而实际上,真实数据表明大型组织和小型组织受到攻击的概率一样:


2019 年 3 月,通过共享服务中心向美国军方提供云服务的云计算巨头 Citrix 成为网络攻击的受害者,泄露了 6 到 10TB 的机密内部信息。

在 2018 年 11 月万豪宣布数据泄露,涉及人次约有 5 亿人。

2017 年 9 月,Equifax 公布了数据窃取,多达 1.45 亿用户的个人信息,包括社会安全号码、出生日期、地址和驾驶执照号码。

2016 年 9 月,雅虎透露,它已成为数据窃取的受害者,泄露了真实姓名、电子邮件地址、出生日期和 10 亿用户的电话号码。

2015 年 2 月,Anthem 报告了大量数据被盗,8000 万患者和员工记录包括姓名、出生日期、社会安全号码、医保号码、家庭住址、电子邮件地址、就业信息、收入数据等数据遭泄露。

2014 年 8 月,Hold Security 公司透露,俄罗斯黑客使用程序僵尸网络,利用 SQL 注入漏洞,并在全球 420000 个网站上窃取了 12 亿次登录和密码,使黑客“CyberVor”能够访问 5 亿个电子邮件帐户。

2013 年,黑客窃取了大约 1.1 亿客户的私人和支付数据,这些数据是由 Target 的第三方 HVAC 供应商提供的。

根据思科年度网络安全报告的数据,电子邮件黑客以 Microsoft Office 扩展为目标,窃取数据,插入和分发恶意代码。

根据 Varonis 的报告,41%的公司平均会公开 1000 个敏感文件,任何人都可以不受任何限制地访问这些文件。此外,21%的普通文件不受任何保护。

一项研究报告说,攻击者有足够的时间滥用被盗数据,因为美国公司在事件发生后需要约 206 天才能发现。


这些只是大型组织的一些著名的数据泄露事件。当然,还有 Facebook、eBay、MyFitnessPal、英国航空、TicketFly、谷歌、优步、T-Mobile、GitHub、Tesco 银行等其他大公司成为网络攻击的对象。


从这里可以看出,没有任何业务是安全的,无论是亿万富翁帝国还是小博客。只需一名员工点击错误的链接或打开错误的网页,或在使用公共 Wi-Fi 或缺少更新软件或类似的微不足道的行为时疏忽。您所能做的就是为所有级别的员工提供与网络安全相关的培训,并在网上冲浪时始终保持警惕。如果它看起来好得令人难以置信,请不要点击某些内容(电子邮件、链接、视频、图片)。


因此,对于网络攻击,任何企业,无一幸免。现在能做的就是给公司员工提供网络安全培训,并且时时警惕电子邮件、链接、视频、邮件等司空见惯的东西。

误区五:在 FBI、当地执法和网络安全专家的帮助下,政府可以非常高效地处理勒索软件

勒索软件是一种恶意脚本,可以加密锁定用户的数据文件,软件,系统等,并索取赎金。这就像是网络世界里的绑架案件。就算是有 FBI、警察和这个司法系统的国家政府也依旧无法躲过网络攻击,就跟绑架国家总统索要赎金一样。


2019 年 5 月,巴尔的摩市政府遭到一场名为 Robbin Hood 的勒索软件感染,据报道该次事件影响了疫苗生产,ATM,机场和医院,并锁定市政府硬盘数据,时间长达一个月,勒索赎金预计超过 1800 万美元。

2019 年 5 月,佛罗里达州里维埃拉海滩市支付了 65 比特币(约 60 万美元)的赎金以重获电脑数据。

2019 年 3 月,佐治亚州杰克逊县最终为了摆脱 Ryuk 勒索软件感染支付了 40 万美元的赎金。

2019 年 3 月,北卡罗来纳州奥兰治县六年来遭遇第三次勒索软件攻击,破坏了当地图书馆、税务部门、国家登记册和警长部门的 100 多台计算机。


每年政府网站都成为众多勒索软件攻击的受害者。根据 2019 年总统的预算,美国政府今年已拨出 150 亿美元作为网络安全资金。政府已花费数百万美元来预防网络犯罪,但依然任重而道远。个人无法摆脱网络攻击,只能从这些事件中吸取教训,谨慎分享个人信息。(本文转自freebuf.com


相关文章:


https://www.freebuf.com/articles/network/212237.html


https://medium.com/@estelasmithtech/cyber-security-myth-busters-debunking-5-myths-with-cold-hard-numbers-afe46a50dd4c


2019-09-04 18:172240

评论

发布
暂无评论
发现更多内容

SCADA系统架构、类型和应用

2D3D前端可视化开发

物联网 组态软件 web组态 组态编辑器 SCADA

深入掌握 Fiori Elements 工作原理的前提条件:理解 Smart Field

Jerry Wang

前端开发 web开发 Fiori SAP UI5 11月月更

MySQL的存储引擎及常用数据类型详解

C++后台开发

MySQL 数据库 中间件 后端开发 C++开发

ElasticSearch 集群迁移最佳实践

冰心的小屋

elasticsearch

小令观点 | 需要留存用户的身份证照片?想清楚这三点了再做……

令牌云数字身份

身份认证 身份安全 敏感信息加密

刷了三个月 leetcode 算法,顺利拿下百度、阿里等大厂的 offer

钟奕礼

Java 程序员 java面试 java编程

技术分享| 快对讲视频调度功能说明

anyRTC开发者

监控 快对讲 语音对讲 视频对讲 视频回传

百度面试被算法血虐,闭关肝完445页算法神仙笔记成功入职字节

钟奕礼

Java 程序员 java面试 java编程

最佳实践|用腾讯云AI文字识别对混贴票据识别

牵着蜗牛去散步

人工智能 腾讯云 腾讯 文字识别 OCR

「案例分享」研发效能提升之第一性原理

京东科技开发者

redis flink 研发管理 研发效能 软件开发技术的第一性原理

融云全球社交泛娱乐洞察,互联网社交换挡期的「社区产品」机遇

融云 RongCloud

社交 社区

Java 八股文能不背吗?Java 面试都只是背答案吗?

钟奕礼

Java 程序员 java面试 java 编程

中心化危机下,NFT 去中心化协议能否破局?

NFT Research

区块链 去中心化 NFT

想要做好代码质量,如何破局?

京东科技开发者

代码质量 系统 代码优化

隐语 PSI benchmark 白皮书

隐语SecretFlow

密码学 隐私计算 PSI 安全多方计算 隐语

小令观点 | 是什么让马斯克也受骗了?

令牌云数字身份

数字身份

阿里云易立:以增效促降本,容器服务全面进入智能化时代

阿里巴巴云原生

阿里云 云原生 容器服务

云原生加速器企业维格表创始人陈霈霖:提供人人可用的数字化转型全新方案,真正驱动组织创新

阿里巴巴云原生

阿里云 云原生 维格表

为了进大厂!吃透了各大厂最新 3000+Java 面试题啃完面试肯定妥了

钟奕礼

Java 程序员 java面试 java编程

业务畅行海外,如何做到安全第一

火线安全

小令观点 | 需要留存用户的身份证照片?想清楚这三点了再做……

令牌云数字身份

数字身份 身份认证 加密技术 可信

高级Java面试经验总结:多家大厂简历优化+面试题目+面经+薪酬等

钟奕礼

Java 程序员 java面试 java编程

Linux系统保存文件命令的详细介绍

源字节1号

软件开发 前端开发 后端开发 小程序开发

携手!Kyligence 支持 Amazon EMR Serverless,赋能云上企业降本增效

Kyligence

数据分析 OLAP

AI赋能音乐创作,人人都是音视频创作者

HMS Core

HMS Core

异常检测算法分类总结(含常用开源数据集)

云智慧AIOps社区

人工智能 机器学习 深度学习 异常检测 算法模型

既快又稳还方便,火山引擎VeDI的这款产品解了分析师的愁

字节跳动数据平台

大数据 数据分析

直播预告lApache Hudi 中文社区技术交流会第六弹

StarRocks

数据库

上班干,下班学!这份 Java 面试八股文涵盖 20 多个技术点

钟奕礼

Java 程序员 java面试 java编程

开源大数据热力报告:StarRocks摘得数据查询与分析方向增速第一

StarRocks

数据库

从零开始学习Java系列之你为什么要学Java?

千锋IT教育

用数字揭穿5个网络安全误区_文化 & 方法_Estela Smith_InfoQ精选文章