跨國應用安全公司ImmuniWeb發布最新調查研究報告，探尋全球網絡安全行(xíng)業本年度暗網暴露情況。報告披露，97%的主流網絡安全公司在暗網上(shàng)暴露有(yǒu)數(shù)據洩露或其他安全事件，每家(jiā)安全公司平均有(yǒu)超過4000份被盜憑證和(hé)其他敏感數(shù)據暴露于暗網。

   正如ImmuniWeb的研究所示，即使是網絡安全行(xíng)業本身也無法幸免于數(shù)據洩露。

   關于全球主流網絡安全公司的安網暴露情況，此項研究的主要發現有(yǒu)：

   97%的公司在暗網上(shàng)暴露有(yǒu)數(shù)據洩露和(hé)其他安全事件。

    發現的631,512起已确認安全事件中，超過25%（160,529）歸屬高(gāo)風險等級類别或嚴重風險等級類别，包含明(míng)文憑證或個(gè)人(rén)可(kě)識别信息（PII）等高(gāo)度敏感的信息，包括金融或類似數(shù)據。由此，每家(jiā)網絡安全公司平均暴露1586份被盜憑據和(hé)其他敏感數(shù)據。ImmuniWeb的研究中還(hái)發現了超過100萬起（1,027,395）未确認事件，估測僅159,462起為(wèi)低(dī)風險事件。

   29%的被盜密碼是弱密碼，162家(jiā)公司的員工重複使用密碼：研究發現，29%的被盜密碼強度很(hěn)弱，長度少(shǎo)于8個(gè)字符，或是缺少(shǎo)大(dà)寫字母、數(shù)字或其他特殊字符；而162家(jiā)公司的大(dà)約40名員工，在不同數(shù)據洩露事件中重複使用相同的密碼，增加了網絡罪犯進行(xíng)密碼重用攻擊的風險。

   工作(zuò)電(diàn)子郵件被用于色情和(hé)成人(rén)約會(huì)網站(zhàn)：ImmuniWeb的研究發現，5,121份憑證盜自被黑(hēi)色情或成人(rén)約會(huì)網站(zhàn)，表明(míng)第三方數(shù)據洩露占據此類安全事件的一大(dà)部分。

   63%的網絡安全公司網站(zhàn)不符合PCI DSS要求：意味着這些(xiē)網站(zhàn)使用脆弱或過時(shí)的軟件（包括JS庫和(hé)框架），或者未将Web應用防火(huǒ)牆（WAF）置于阻止模式。

   48%網絡安全公司網站(zhàn)不符合GDPR要求：因為(wèi)存在脆弱軟件，缺乏明(míng)顯的隐私政策，或cookie包含PII或可(kě)跟蹤标識符時(shí)缺少(shǎo)免責聲明(míng)。

91家(jiā)公司存在可(kě)利用的網站(zhàn)安全漏洞，其中26%尚未修複：ImmuniWeb的這項發現援引了Open Bug Bounty漏洞獎勵項目中公開(kāi)可(kě)用的數(shù)據。

    此項研究采用ImmuniWeb的免費在線域名安全測試（Domain Security Test）進行(xíng)，結合了經機器(qì)學習增強的專有(yǒu)OSINT技(jì)術(shù)，旨在發現和(hé)分類暗網暴露。測試對象涵蓋來(lái)自26個(gè)國家(jiā)的398家(jiā)主流網絡安全公司（其中大(dà)多(duō)數(shù)是美國和(hé)歐洲的公司）。

   美國的網絡安全公司遭受了最嚴重的高(gāo)風險事件，其次是英國和(hé)加拿(ná)大(dà)，然後是愛(ài)爾蘭、日本、德國、以色列、捷克共和(hé)國、俄羅斯和(hé)斯洛伐克。

   在接受測試的398家(jiā)網絡安全公司中，隻有(yǒu)瑞士、葡萄牙和(hé)意大(dà)利的公司沒有(yǒu)遭受任何高(gāo)風險或重大(dà)風險事件，而比利時(shí)、葡萄牙和(hé)法國公司遭受的已确認事件數(shù)量最少(shǎo)。