近日，人工智能應用安全公司ImmuniWeb發(fā)布了一份今年暗網(wǎng)泄漏數(shù)據(jù)來源的研究，發(fā)現(xiàn)暗網(wǎng)上泄漏的數(shù)據(jù)，97%出自網(wǎng)絡安全機構(gòu)，這一年平均下來，每個網(wǎng)絡安全公司都會泄漏4000多個被盜憑證和其他敏感數(shù)據(jù)。

研究結(jié)果如下：

1. 暗網(wǎng)上泄漏的數(shù)據(jù)，97%出自網(wǎng)絡安全機構(gòu);

2. 今年共發(fā)現(xiàn)631512個經(jīng)確認的安全事件，超過25%（大約160529個）屬于高或嚴重級別安全風險，其中包含高度敏感的信息，例如明文憑證或PII，包括財務或類似數(shù)據(jù)。因此，平均每個網(wǎng)絡安全公司有1586份被竊取的憑證和其他敏感數(shù)據(jù)出現(xiàn)在暗網(wǎng)。在ImmuniWeb的研究中還發(fā)現(xiàn)了超過100萬個未經(jīng)證實的泄漏事件（1027395個），這里面只有159462個被認為是低風險的;

3. 29%的被盜密碼是弱密碼，研究顯示，29%的被盜密碼很弱，只有不到8個字符，或者沒有大寫字母、數(shù)字或其他特殊字符，都屬于常見的易攻擊密碼。162家公司的約40名員工在缺乏安全密碼保護的情況下重復使用相同的密碼。

4. ***和成人交友網(wǎng)站上使用了專業(yè)電子郵件，第三方違規(guī)行為占有很大比例，ImmuniWeb的研究發(fā)現(xiàn)，5121份證書來源于被黑客入侵的***或成人交友網(wǎng)站。

5. 63%的網(wǎng)絡安全公司的網(wǎng)站不符合PCI DSS要求，這意味著它們使用易受攻擊或過時的軟件（包括JS庫和框架）或在阻止模式下沒有Web應用程序防火墻（WAF）。

6. 48%的網(wǎng)絡安全公司的網(wǎng)站不符合GDPR要求，缺乏明顯的隱私政策，當cookie包含PII或可追蹤標識符時，缺少cookie免責聲明。

7. 有91家公司存在可利用的網(wǎng)站安全漏洞，其中26%仍未修補。

這項研究是使用ImmuniWeb的免費在線域安全測試來進行的，該測試結(jié)合了專有的OSINT技術和機器學習，對暗網(wǎng)進行分類。398家領先的網(wǎng)絡安全公司接受了此次測試。2020年6月4日，人工智能應用安全公司ImmuniWeb發(fā)布了一個新的免費暗網(wǎng)監(jiān)測工具，用于監(jiān)視和衡量組織在暗網(wǎng)（Dark Web）上的泄漏程度。

美國的網(wǎng)絡安全公司遭受的風險最高最嚴重，其次是英國和加拿大，再次是愛爾蘭，日本，德國，以色列，捷克共和國，俄羅斯和斯洛伐克。

在接受測試的398家網(wǎng)絡安全公司中，只有瑞士、葡萄牙和意大利的公司沒有遭受任何高風險或重大風險事件，而比利時，葡萄牙和法國的公司雖有相關的事件發(fā)生，但經(jīng)過驗證的事件數(shù)量卻最少。

ImmuniWeb首席執(zhí)行官兼創(chuàng)始人Ilia Kolochenko對這項研究發(fā)表了評論：

如今，網(wǎng)絡犯罪分子通過針對可信賴的第三方而不是直接攻擊個體，努力實現(xiàn)利潤最大化。不過這也分情況，例如，大型金融機構(gòu)通常擁有強大的玩過安全保護技術和法律保證，可以及時發(fā)現(xiàn)并調(diào)查大多數(shù)攻擊者。不過律師事務所和IT公司，通常缺乏對快速增長的針對性攻擊和APT做出反應所需的內(nèi)部專業(yè)知識和預算。

對于當今的任何網(wǎng)絡安全和規(guī)劃來說，數(shù)據(jù)、IT和數(shù)字資產(chǎn)的整體可見性和清單都是必不可少的。機器學習和AI等現(xiàn)代技術可以極大地簡化和加速從異常事件到攻擊的大量繁重任務。
責編AJX