标签： 網絡安全

原创 保密科学技术

近年來，軟體供應鏈安全事件頻發，2024年7月的微軟「藍色畫面」事件進一步凸顯了軟體供應鏈安全的重要性。

軟體供應鏈源頭難以掌握、開源軟體引入的安全風險及軟體供應鏈安全管控制度和措施的不完善已成為軟體供應鏈安全面臨的主要挑戰。

那麼，如何才能更好地保障軟體供應鏈安全呢？

1.建構軟體物料清單，有效辨識軟體供應鏈風險。

需要引導產業用戶和資訊科技企業建立軟體物料清單（SBOM），建立軟體全生命週期的供應鏈管理。同時，可透過廠商自評估與專業技術機構評估結合的方式，定期進行軟體供應鏈安全風險評估工作。

2.建置軟體供應鏈安全公共服務平台，回饋共享軟體供應鏈情報。

應積極推動業者、軟體供應商、網路安全服務機構等協同建置軟體供應鏈安全公共服務平台，持續提升供應鏈安全威脅情報蒐集能力，為軟體供應鏈保障提供警報服務及處置技術支援。

3.建立常態化緊急應變機制，從容應對軟體供應鏈威脅。面向作業系統、資料庫等重點領域，應深入進行風險研判，並積極做好應對預案。

此外，定期組織進行緊急演練，保障突發情況下關鍵資訊系統運作不受影響。

4.加快提升核心技術水平，從源頭掌控軟體供應鏈。努力加速核心技術攻關，盡快完善軟體開發生態建設，力求引領更多技術方向，提升話語權和影響力。

【摘自《保密科學技術》2024年2月刊《軟體供應鏈安全能力模型研究》一文，作者： 翟艷芬、袁薇、王鬱】

網絡安全是一個日益受到關注的領域。在過去的幾年中，我們看到網絡威脅的種類和頻率顯著增加，並且組織報告其組織內的網絡安全風險越來越多。企業需要讓他們的團隊為增強的數據安全和網絡安全計劃做好準備。查看以下網絡安全事實和統計數據，了解企業的威脅形勢。

概述：值得關注的網絡安全趨勢
據微軟稱，近 80% 的民族國家攻擊者針對的是政府機構、智庫和其他非政府組織。
微軟還報告說，來自民族國家的 58% 的網絡攻擊起源於俄羅斯。
美國仍然是針對性最強的國家，全球 46% 的網絡攻擊都是針對美國人的。
與 2019 年相比，2020 年的身份盜竊增加了42%。
預計在未來幾年對加密貨幣進行更大的治理。
社交媒體可能會加強對信息的監督。
儘管醫療保健不是最受攻擊的行業之一，但安全漏洞在 2020 年使醫療保健行業損失了 6 萬億美元。
預計會有更多針對物聯網的攻擊，這使得物聯網成為網絡安全的一個關注領域。
人們將特別關注他們如何管理個人數據。
據 PurpleSec 稱，98% 的網絡犯罪都是依靠社會工程來成功完成的。
最大的數據洩露和黑客統計
過去的一年對於黑客、網絡犯罪分子和網絡安全專家來說是忙碌的一年。以下是 2021 年排名前五的網絡安全漏洞。

網絡安全分析公司 Cognyte 在 2021 年 5 月經歷了 50 億條記錄的數據庫洩露。
LinkedIn 洩露事件在 2021 年 6 月至 8 月暴露​​了 7 億條記錄。
社交媒體巨頭 Facebook 也在 2021 年 3 月發現了超過 5.33 億個賬戶遭到入侵。
11 月，巴基斯坦叫車應用 Bykea 的記錄被破壞了 4 億條。
2021 年 1 月，巴西衛生部面臨 2.23 億條記錄的損失。
按攻擊類型劃分的網絡犯罪統計數據
某些類型的網絡犯罪正在迅速增加。

根據 FBI 的數據，創建了 695 萬個新的網絡釣魚和詐騙頁面，使其成為 2020 年最常見的攻擊。
2020 年，近四分之三的公司遭受了網絡釣魚攻擊。
根據 Imperva的數據，25.6% 的網站流量是由不良機器人流量構成的。
在大流行期間，勒索軟件攻擊增長了 40% 以上。
賽門鐵克的威脅報告顯示，65% 的目標網絡攻擊使用魚叉式網絡釣魚電子郵件。
網絡安全合規和治理統計
如果我們希望打擊網絡犯罪，合規和治理是必不可少的。

CSO Online 報告稱，66% 的公司預計未來一年的支出將受到合規要求的推動。
Varonis 報告說，超過一半的公司發現了 1,000 多個可供所有員工訪問的文件。
特定行業的網絡統計
IBM 報告稱，2020 年最具針對性的五個行業如下。以下統計數據說明了按行業劃分的攻擊總量。

金融和保險：23%
製造業：17.7%
能源：11.1%
零售：10.2%
專業服務：8.7%
安全支出和成本統計
由於安全威脅的增加，網絡安全行業正在擴張。根據您的業務規模和您希望實施的安全支持級別，網絡安全成本差異很大。安全服務的成本很大程度上取決於您作為小型企業、SMB 或企業的身份。

根據 IBM 等領導者的說法，您的網絡安全預算應佔整體 IT 預算的 9-14%。
Statista 報告稱，2019 年的 IT 安全支出為 408 億美元。
思科表明，50% 的大型企業每年在安全方面花費 100 萬美元。
COVID-19 網絡安全統計
由於工作環境的變化和對遠程工作標準的需求，網絡犯罪在大流行期間愈演愈烈，網絡釣魚是最常見的攻擊。

PurpleSec的一份報告顯示，在大流行期間，網絡事件增加了 600%。
Statista 報告稱，全球 64% 的組織最有可能因 COVID-19 而遭遇數據洩露。
30% 的人表示，在大流行期間，他們的 IT 系統受到的攻擊有所增加。
網絡安全工作統計
網絡安全專業人員的需求量很大。網絡安全事件的增長導致對熟練的網絡安全專業人員的需求增加。

事實上，據估計， 到 2025 年底，將有350 萬個網絡安全職位空缺。
根據美國勞工統計局的數據，2020 年至 2030 年間，就業市場預計將增長 33% 。
網絡安全專業人員的平均工資中位數為 103 美元、590 美元。
主要網絡安全威脅和趨勢
大流行帶來了許多新的網絡安全問題，公司正在努力工作，以確保他們為未來發生的任何事情做好準備。期待看到以下內容。

增強的軟件供應鏈安全性。
勒索軟件將成為企業更大的問題。
公司正在向網絡安全的零信任框架過渡 。
加強對第三方供應商網絡安全措施的審查。
網絡保險的興起為企業提供進一步的保護。
網絡犯罪成本
網絡犯罪對公司來說是一項昂貴的支出。

網絡犯罪的成本在過去一年中上升了 10%。
根據 IBM 的數據，2021 年數據洩露的平均成本為 424 萬美元。
Cyber​​security Ventures 預測，到 2025 年，網絡犯罪每年將造成 10.5 萬億美元的損失。

如何保護自己免受網絡攻擊
保護自己免受網絡攻擊通常涉及正確的教育。如上所述，大多數網絡事件是由人為錯誤演變而來的，而不是技術故障。

教育您的員工：培訓您的員工以識別不同類型的攻擊，例如網絡釣魚和電子郵件詐騙。
啟用多因素身份驗證：要求更強大的身份驗證有助於顯著增強您的安全性。
執行滲透測試：滲透測試允許您評估系統上的漏洞，以便您可以適當地防範弱點。
監控威脅情報：威脅情報源提供有關新興網絡安全威脅的有價值的實時信息，並允許採用協作方法來響應事件。

網絡安全統計常見問題
網絡攻擊的類型有哪些？
有幾種不同類型的網絡攻擊。以下是一些最常見的。

網絡釣魚，一種網絡攻擊，涉及發送欺詐性消息以試圖讓收件人提供敏感信息，例如密碼憑據。
惡意軟件，涉及使用病毒、間諜軟件或其他惡意軟件竊取信息。
勒索軟件，其中數據被盜，僅在支付贖金後才發布。但是，無論付款如何，這些數據通常都可以在暗網上獲得。
DoS（拒絕服務）/ DDoS（分佈式拒絕服務） 攻擊拒絕訪問使業務無法運行的系統。
每天有多少次網絡安全攻擊？
福布斯報告平均每天發生 26,000 起事件。

網絡攻擊有多頻繁？
馬里蘭大學的一項研究表明，每 39 秒就有一次網絡嘗試。

網絡安全市場只會增長，因此請確保您已做好準備。