了解最大的网络风险以及如何防御这些风险对于企业安全至关重要。许多关于网络安全的说法往往被夸大了,人们也相信了。本文使用真实统计数据来揭穿以下5个网络安全神话。误区1:更严格的政府网络安全法律法规可能会减少网络犯罪。毕竟,政府确实会执行这些法律法规来防止网络犯罪。这是否意味着网络犯罪率会下降?以下数据证明并非如此:根据卡巴斯基安全公告的研究,每40秒就有一家企业成为网络犯罪的受害者,到2019年,这40秒将缩短为14秒。根据Bromium的一份报告,网络犯罪每年产生约1.5万亿美元的利润。根据思科的报告,网络攻击的年增长率为350%。据Cyber??securityVentures估计,从2017年到2021年,企业将在网络安全上花费1万亿美元。美国司法部估计,全球每天有100,000台计算机感染勒索软件。企业和个人每年被勒索大约10亿美元的赎金。据Varonis称,移动应用程序也非常危险,每天大约有24,000个恶意移动应用程序被黑客攻击。据Varonis称,物联网攻击在2017年增长了600%。根据aicpa.org报告,参与调查的美国成年人中有60%表示他们或他们的亲友遇到过欺诈,包括钓鱼邮件、信用卡号码盗窃、庞氏骗局、来自美国国税局的虚假电话以及虚假的慈善和捐赠请求。根据最近的Pewreseach民意调查,美国人发现自己极易受到网络攻击。在经济危机、朝鲜战争、核袭击和伊斯兰国之前,他们认为网络犯罪是最大的安全风险。据Cryptonite称,2017年医疗保健行业的勒索软件攻击增加了89%。据FBI称,每天发生4,000多起勒索软件攻击。2019年勒索软件赎金估计将达到115亿美元。根据Cyber??securityVentures的最新估计,到2021年,网络犯罪损失的成本将在6年内增加100%,每年增加6万亿美元,而2015年为3万亿美元。误区2:黑客只对大公司感兴趣,而SMB(初创公司)不会受到入侵小型企业遭受数据泄露,他们只是没有被报告。以下数据可以证明:到2021年,几乎一半的网络攻击将针对小型企业,预计损失接近3万亿。2017年,61%的受害者是员工人数少于1,000人的小企业。每天约有4,000家中小企业成为网络犯罪的受害者。据美国国家网络安全联盟统计,60%的小公司都不能免受网络攻击,从网络攻击中恢复需要6个月的时间。(丹佛邮报)根据PonemonInstitute的数据,一家小公司平均要花费690,000美元才能从网络攻击中恢复过来;对于中型企业,恢复成本超过100万美元。根据SCORE信息图,43%的网络攻击针对小型企业。通常攻击中小企业的手段是窃取信息,通过电汇锁定银行账户;窃取客户的个人身份信息;提交欺诈性退税申请;进行健康保险或Medicare欺诈。(丹佛邮报)。根据KeeperSecurity的一项民意调查,只有14%的中小型企业认为他们的安全防御“非常有效”。据BeazleyGroup称,由于预算限制,中小企业没有配备最新的网络安全产品,这就是为什么它们成为勒索软件攻击的软目标。误区三:用户可以信任已经取得SSL/TLS证书并启用HTTPS的网站。SSL证书颁发机构声称提供强大的加密算法并提供维护。SSL证书提供的加密虽然难以破解,但它们只保护用户和网站之间传输的数据,如果数据被原网站所有者或授权员工滥用,那么证书颁发机构将无法触摸它。此外,网络罪犯还在他们的垃圾邮件网站上启用HTTPS,以下统计数据证明:根据APWG.org,58%的钓鱼网站获得了SSL/TLS证书并启用了HTTPS。根据FireEye报告,2019年前三个月,基于HTTPSURL的钓鱼攻击增长率为26%。2019年6月,FBI警告人们“不要仅仅因为浏览器地址栏中有锁定图标或“https”就信任网站。网络犯罪分子经常利用公众对“https”和锁定图标的信任。“图片来源:SSLStore在这种情况下,扩展验证(E.V.)SSL可以帮助网站访问者区分原始网站和仿冒网站。证书颁发机构在颁发EVSSL之前验证合法公司的所有业务详细信息。此外,组织的法定名称显示在地址栏中域名之前。例如,误区四:大公司可以通过花费巨资进行网络安全建设来避免网络攻击。与小型机构相比,人们可能认为在大型机构进行信用卡交易更安全。因为大型组织更加重视网络安全,聘请网络安全人员,并花费数百万美元进行研发,以找到最适合他们的防御措施。事实上,真实数据表明,大型组织和小型组织一样容易受到攻击:2019年3月,通过共享服务中心向美军提供云服务的云计算巨头Citrix成为网络攻击的受害者,泄露6到10TB的机密内部信息。2018年11月,万豪宣布涉及约5亿人的数据泄露事件。2017年9月,Equifax披露了多达1.45亿客户的个人信息数据被盗,包括社会安全号码、出生日期、地址和驾照号码。2016年9月,雅虎透露它是数据盗窃的受害者,泄露了10亿用户的真实姓名、电子邮件地址、出生日期和电话号码。2015年2月,Anthem报告了大量数据被盗。8000万患者和员工记录包括姓名、出生日期、社会安全号码、医疗保险号码、家庭住址、电子邮件地址、就业信息、收入数据和其他数据被泄露。2014年8月,HoldSecurity披露,俄罗斯黑客利用程序僵尸网络,利用SQL注入漏洞,窃取了全球42万个网站的12亿个登录名和密码,使黑客“Cyber??Vor”能够访问5亿个电子邮件账户。2013年,黑客窃取了Target的第三方HVAC供应商提供的大约1.1亿客户的私人和支付数据。根据思科的年度网络安全报告,电子邮件黑客正以MicrosoftOffice扩展为目标来窃取数据、插入和分发恶意代码。根据Varonis的报告,41%的公司平均披露了1,000个敏感文件,任何人都可以不受任何限制地访问这些文件。此外,还有21%的普通文件没有任何保护。一项研究报告称,攻击者有足够的时间滥用被盗数据,因为美国公司在事件发生后大约206天后才发现。这些只是大型组织中一些值得注意的数据泄露事件。当然,还有Facebook、eBay、MyFitnessPal、英国航空公司、TicketFly、Google、Uber、T-Mobile、GitHub、TescoBank等大公司成为了网络攻击的目标。正如您在这里看到的,没有任何企业是安全的,无论是亿万富翁帝国还是小型博客。员工只需点击错误的链接或打开错误的网页,或者在使用公共Wi-Fi或丢失更新的软件或类似的琐碎行为时出现疏忽。你所能做的就是对各级员工进行网络安全相关的培训,并在上网时时刻保持警惕。不要点击看起来好得令人难以置信的东西(电子邮件、链接、视频、图像)。因此,任何企业都无法免受网络攻击。现在能做的就是对公司员工进行网络安全培训,对电子邮件、链接、视频、邮件等司空见惯的东西时刻保持警惕。误区五:在FBI、当地执法部门和网络安全专家的帮助下,政府可以非常有效地对付勒索软件赎金。这就像网络世界中的绑架案。即便是有FBI、警察、司法系统的国家政府,也逃不过网络攻击,就像绑架一国总统勒索赎金一样。2019年5月,巴尔的摩市政府被一种名为RobbinHood的勒索软件感染。据报道,该事件影响了疫苗生产、ATM、机场和医院,并锁定了市政府硬盘数据长达一个月。索要的赎金预计将超过1800万美元。2019年5月,佛罗里达州里维埃拉比奇市支付了65个比特币(约合60万美元)的赎金以夺回计算机数据。2019年3月,佐治亚州杰克逊县终于支付了40万美元的赎金,以摆脱Ryuk勒索软件感染。2019年3月,北卡罗来纳州奥兰治县遭受了六年来的第三次勒索软件攻击,当地图书馆、税务部门、州登记处和治安部门的100多台计算机遭到破坏。政府网站每年都会成为无数勒索软件攻击的受害者。根据2019年总统预算,美国政府今年已拨出150亿美元的网络安全资金。各国政府已花费数百万美元来防止网络犯罪,但仍有很长的路要走。个人无法逃脱网络攻击,只能从这些事件中吸取教训,谨慎分享个人信息。
