网络安全公司是网络空间最安全的公司吗?这个问题好像有点多余,谁会请一个经常被抢、被打的镖局?前不久SANSOnlineSecurity教育平台的数据泄露事件或许只是一场“意外”,但接下来的报道可能会震撼你的下巴。根据ImmuniWeb的一项新研究,几乎所有网络安全公司都在线暴露了敏感数据,包括PII(私人个人信息)和密码。员工安全意识薄弱是造成这种恶劣局面的主要原因。该报告调查了398家全球顶级安全供应商,然后搜索了暗网和深层网站,包括黑客论坛和市场、WhatsApp群组、公共代码存储库和社交网络。该报告声称已经确定了超过631,000起经过验证的敏感数据泄露事件(来自网络安全公司),其中17%的“事件”构成了重大风险。这意味着泄露的数据包括使用纯文本密码的登录,或包括最近和/或独特的数据泄露(例如PII和财务记录)。图1:全球网络安全公司敏感数据泄露统计,泄露次数前三为美国、英国、加拿大,中国排名第15(50%)的违规行为,其中帐户凭据占30%,备份和转储占15%。同样令人担忧的是,29%的泄露密码是“弱密码”,即少于八个字符、没有大写字母、数字和特殊字符的密码。在接受调查的网络安全公司中,有41%的员工在不同的受损系统上重复使用密码,使他们工作的企业面临进一步的潜在漏洞。图2:全球顶级网络安全公司员工最常使用的弱密码报告还显示,成人内容网站上有超过5100个账户出现数据泄露,这意味着许多网络安全公司员工公开使用工作邮箱在注册“P站”。总体而言,报告中研究的97%的网络安全公司被发现有敏感数据在线泄露,其中一些数据可追溯到2012年,不过令人欣慰的是,大多数事件被归类为低风险(25%)或中等风险(49%)。低风险是指“其IT资产或员工没有与数据泄漏、样本或转储相关的敏感或机密信息的组织的情况”,而中等风险可能包括加密密码或“中等”敏感数据,例如源代码或内部文档。除了数据泄露,全球顶级网络安全公司的安全合规性和网络安全状况也令人担忧:超过一半的公司(63%)的主要网站未能满足这些PCIDSS要求,这意味着他们使用易受攻击的漏洞或过时的软件(包括JS库和框架)或未启用WAF。191个网络安全公司网站(48%)不符合GDPR,原因是软件易受攻击,当cookie包含PII或可追踪标识符时缺乏明显可见的隐私政策或cookie免责声明。最终,在91家网络安全公司网站上发现了279个XSS漏洞,截至报告发布之日,26%的报告漏洞仍未修复。ImmuniWeb首席执行官IliaKolochenko警告说:网络安全供应商等第三方越来越多地成为网络攻击的目标。2020年,攻击者或许不需要为零日漏洞支付高额费用,而是找几家“狗洞”开着的网络安全厂商,轻松获取特权账户,快速攻破目标企业最薄弱的环节。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
