压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

網絡安全公司是網絡空間最安全的公司嗎？這個問題似乎有些多余，誰會請一個經常被人劫道毆打的鏢局呢？

前不久SANS在線安全教育平臺的數據泄露也許只是一個“意外”，但下面這個報告也許會驚掉你的下巴。根據ImmuniWeb的一項新研究，幾乎所有網絡安全公司都在線暴露了包括PII（個人隱私信息）和密碼在內的敏感數據。員工安全意識薄弱是造成這種糟糕局面的主要原因。

報告調查了全球398個頂級安全供應商，然后檢索了暗網、深網網站，包括黑客論壇和市場、WhatsApp群組、公共代碼存儲庫以及社交網絡等。

報告聲稱，已發現經過驗證的（來自網絡安全公司的）敏感數據泄露事件超過63.1萬次，其中這些“事件”中有17％具有重大風險。這意味著泄露數據包括使用純文本密碼的登錄名，或者包括最近和/或唯一的數據泄漏（例如PII和財務記錄）。

圖表1：網絡安全公司敏感數據泄露全球統計，泄露事件數量前三名分別為美國、英國和加拿大，中國排名15

總體而言，研究表明，PII和公司數據占所有泄露事件的一半（50％），其中賬戶憑據占30％，備份和轉儲占15％。

同樣令人擔憂的是，泄露的密碼中有29％是“弱密碼”，即密碼的字符數少于8個，沒有大寫字母，沒有數字和特殊字符。接受調查的網絡安全公司中，有41％的員工已在不同的被入侵系統上重復使用了密碼，這使他們供職的企業面臨進一步的潛在入侵風險。

圖表2：全球頂級網絡安全公司員工最常用的弱密碼

該報告還顯示，超過5100個賬戶出現在成人內容網站的數據泄露中，這意味著不少網絡安全公司的員工堂而皇之地使用工作電子郵件在“P站”上進行了注冊。

總體而言，報告中研究的網絡安全公司中有 97％被發現有敏感數據在線暴露，一些數據可以追溯到2012年，不過讓人略感欣慰的是大多數事件的風險被分類為低（25％）或中（49％）。

低風險是指“在組織中，其IT資產或員工在數據泄漏、樣本或轉儲中沒有附帶敏感或機密信息的情況”，而中度風險可能包括加密密碼或“中等”敏感數據，例如源代碼或內部文檔。

除了數據泄露外，全球頂級網絡安全公司自身的安全合規和web安全現狀也讓人揪心：

超過一半的公司（63％）的主要網站未能滿足這些PCI DSS要求，這意味著他們使用的是易受攻擊或過時的軟件（包括JS庫和框架）或者沒有啟用WAF。

191個網絡安全公司網站（占48％）不符合GDPR要求，原因是軟件易受攻擊，缺少明顯可見的隱私政策或Cookie包含PII或可追溯標識符時缺少cookie免責聲明。

最后，有91家網絡安全公司網站發現了279個XSS漏洞，截至報告發表之日，已報告的漏洞中仍有26％尚未修復。

ImmuniWeb首席執行官Ilia Kolochenko警告說：

網絡安全供應商這樣的第三方越來越多地成為網絡攻擊的目標。

2020年，攻擊者也許不必花費高昂的零日漏洞費用，而是找到幾個“狗洞”打開的網絡安全供應商，輕松獲得特權賬戶，并迅速攻破目標企業最薄弱的環節。