對(duì)于網(wǎng)絡(luò)安全我們都存在著理解誤區(qū)

（文章來(lái)源：Freebuf）

據(jù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)投資公司的估計(jì)，從2017年到2021年，企業(yè)將在網(wǎng)絡(luò)安全上花費(fèi)1萬(wàn)億美元。美國(guó)司法部估計(jì)，全球每天有100000臺(tái)計(jì)算機(jī)被勒索軟件感染。企業(yè)和個(gè)人每年被勒索約10億美元的贖金。據(jù)Varonis，移動(dòng)應(yīng)用程序也非常危險(xiǎn)，每天約有24000個(gè)惡意移動(dòng)應(yīng)用程序被下載。物聯(lián)網(wǎng)攻擊在2017年的增長(zhǎng)率達(dá)到了600%。

據(jù)aicpa.org的報(bào)告顯示，參與調(diào)查的美國(guó)成年人中有60%的人稱他們或身邊的親戚朋友已經(jīng)遭遇過(guò)欺詐包括網(wǎng)絡(luò)釣魚(yú)電子郵件、信用卡號(hào)碼盜竊、龐氏騙局、國(guó)稅局的假電話和虛假的慈善和捐贈(zèng)請(qǐng)求。據(jù)Pewreseach最近的民意調(diào)查，美國(guó)人發(fā)現(xiàn)自己極易受到網(wǎng)絡(luò)攻擊。在經(jīng)濟(jì)危機(jī)、朝鮮戰(zhàn)爭(zhēng)、核攻擊和ISIS之前，他們認(rèn)為網(wǎng)絡(luò)犯罪是最大的安全風(fēng)險(xiǎn)。

據(jù)Cryptonite的數(shù)據(jù)，2017年醫(yī)療保健行業(yè)的勒索軟件攻擊增長(zhǎng)了89%。據(jù)FBI稱，每天發(fā)生4000多起勒索軟件攻擊事件。到2019年，勒索軟件贖金估計(jì)將達(dá)到115億美元。據(jù)Cybersecurity Ventures的最新估計(jì)，到2021年，網(wǎng)絡(luò)犯罪損失成本將在6年內(nèi)增加100%，每年增加6萬(wàn)億美元，而2015年為3萬(wàn)億美元。

人們常?？吹皆S多像Home Depot、Equifax和Marriott等大型企業(yè)數(shù)據(jù)泄露事件的報(bào)道，而事實(shí)是數(shù)以千計(jì)的小型企業(yè)也遭受數(shù)據(jù)泄露，只是它們沒(méi)有被報(bào)道出來(lái)而已。以下數(shù)據(jù)可以證明：到2021年， 幾乎一半的網(wǎng)絡(luò)攻擊將針對(duì)小型企業(yè)，預(yù)計(jì)損失接近3萬(wàn)億。2017年，61%的受害者是員工少于1000人的小型企業(yè)。每天約有4000家中小企業(yè)成為網(wǎng)絡(luò)犯罪的受害者。

根據(jù)美國(guó)國(guó)家網(wǎng)絡(luò)安全聯(lián)盟的統(tǒng)計(jì)，60%的小公司無(wú)法幸免于網(wǎng)絡(luò)攻擊，且在受到網(wǎng)絡(luò)攻擊后6個(gè)月才能恢復(fù)過(guò)來(lái)。據(jù)Ponemon Institute，一家小型公司從網(wǎng)絡(luò)攻擊中恢復(fù)平均需要69萬(wàn)美元;對(duì)于中型企業(yè)，恢復(fù)成本超過(guò)100萬(wàn)美元。根據(jù)SCORE信息圖表，43%的Cyberattacks針對(duì)小型企業(yè)。攻擊中小型公司的常規(guī)手段是竊取信息，通過(guò)電匯方式鎖定銀行賬戶;竊取客戶的個(gè)人身份信息;提交欺詐性退稅申請(qǐng);并且，進(jìn)行健康保險(xiǎn)或醫(yī)療保險(xiǎn)欺詐。

根據(jù)Keeper Security的一項(xiàng)民意調(diào)查，只有14%的中小企業(yè)認(rèn)為其安全防御“非常有效”。據(jù)Beazley Group，由于預(yù)算限制，中小型企業(yè)沒(méi)有配備最新的網(wǎng)絡(luò)安全產(chǎn)品，這就是為什么它們會(huì)成為勒索軟件攻擊的軟目標(biāo)。SSL證書(shū)頒發(fā)機(jī)構(gòu)聲稱提供強(qiáng)大的加密算法并提供維護(hù)。雖然SSL證書(shū)提供的加密很難破解，但是它們只是保護(hù)了用戶和網(wǎng)站之間的傳輸數(shù)據(jù)。

如果數(shù)據(jù)的原始網(wǎng)站所有者或者授權(quán)員工濫用數(shù)據(jù)，那么該證書(shū)頒發(fā)機(jī)構(gòu)將無(wú)法觸及。而且，網(wǎng)絡(luò)犯罪分子也在他們的垃圾網(wǎng)站啟用HTTPS，以下數(shù)據(jù)可以證明：據(jù)APWG.org ，58%的網(wǎng)絡(luò)釣魚(yú)網(wǎng)站獲取了SSL / TLS證書(shū)并啟用了HTTPS。根據(jù)FireEye的報(bào)告，在2019年前三個(gè)月基于HTTPS URL的網(wǎng)絡(luò)釣魚(yú)攻擊的增長(zhǎng)率為26%。

在2019年6月，F(xiàn)BI警告人們“不要只是因?yàn)樗跒g覽器地址欄中有一個(gè)鎖定圖標(biāo)或”https就信任一個(gè)網(wǎng)站“。網(wǎng)絡(luò)犯罪分子往往會(huì)利用公眾對(duì)“https”和鎖定圖標(biāo)的信任。“在這種情況下，擴(kuò)展驗(yàn)證(E.V.)SSL可以幫助網(wǎng)站訪問(wèn)者將原始網(wǎng)站與網(wǎng)絡(luò)釣魚(yú)虛假網(wǎng)站區(qū)分開(kāi)來(lái)。證書(shū)頒發(fā)機(jī)構(gòu)在頒發(fā)EV SSL之前會(huì)驗(yàn)證合法公司所有業(yè)務(wù)的詳細(xì)信息。此外，在顯示域名之前，在地址欄中還會(huì)顯示組織的合法名稱。

即使政府已花費(fèi)數(shù)百萬(wàn)美元來(lái)預(yù)防網(wǎng)絡(luò)犯罪，但依然任重而道遠(yuǎn)。個(gè)人無(wú)法擺脫網(wǎng)絡(luò)攻擊，只能從這些事件中吸取教訓(xùn)，謹(jǐn)慎分享個(gè)人信息。2019年4月9日,第一波每秒740.7GB的DDoS攻擊，持續(xù)半個(gè)小時(shí)；第二波攻擊分布式拒絕服務(wù)器攻擊（ddos）每秒峰值達(dá)到2.47TB。

在2019年3月18日晚，超級(jí)盾不費(fèi)秋毫之力地為客戶輕松扛住了長(zhǎng)達(dá)6個(gè)小時(shí)800G的DDoS攻擊，讓黑客最后無(wú)計(jì)可施，狼狽而去。此次受超級(jí)盾保護(hù)的游戲企業(yè)，其客戶端服務(wù)端遭遇間歇性針對(duì)游戲服務(wù)端的攻擊，試圖造成游戲掉線，而這些最終都被超級(jí)盾完美防御。