2017全球安全報告：Web應用中平均包含11個漏洞

E安全6月22日訊 Trustwave周二發布的《2017全球安全報告》顯示，幾乎每個Web應用程序至少存在1個漏洞。Trustwave通過掃描發現，其中99.7%的應用至少存在一個漏洞，Web應用中的平均漏洞數量為11個。

數據泄露調查

除了調查應用安全，這份報告還包括數據泄露信息。

入侵檢測花費的平均時間，2015年為80.5天，2016年為49天。但是，內、外部入侵檢測的時間存在差異：

• 內部檢測到入侵的平均時間為16天。

• 外部檢測到入侵的平均時間為65天。

Trustwave調查了2016年影響21個國家幾千個地區的數據泄露事件，得出的結論是：

• 美國受到重挫，數據泄露發生概率為49%，

• 亞太地區為21%

• 歐洲、中東和非洲為 20%

• 拉丁美洲和加勒比地區為10%

數據泄露的影響

• 22%的數據泄露事件影響了零售業，其次是食品和飲料行業（20%）

• 63%的數據泄露事件針對支付卡數據，磁條數據為33%，無卡交易（CNP）為30%

• 涉及銷售點（POS）系統的數據泄露事件在北美最為常見，歐陸卡、萬事達卡和威士卡（EMV）已經放慢腳步將POS系統用於支付卡的晶元標準。

零售業遭遇的入侵事件最多可能是因為，銷售點（POS）系統的安全事件增加，這類事件從2015的22%增加到2016年的31%。電子商務安全事件減少12%。此外，最具風險的數據為支付卡信息。

成本低廉、惡意攻擊泛濫

報告還發現，在某些情況下，0day漏洞正為攻擊者創造豐厚的收入。報告引用了其中一起案例，一個未披露的Windows 0day漏洞及其漏洞利用代碼的價格為9.5萬美元（約合64.9萬元）。

此外，惡意廣告為網路犯罪分子提供大發橫財的機會。只需要花上34元，犯罪分子就能通過惡意廣告感染1000台易受攻擊的電腦。

除此之外，惡意軟體規避檢測的能力得到提升，檢測惡意軟體的難度增加。

Trustwave測試的惡意軟體樣本中，83%通過混淆處理隱藏身份。36%的惡意軟體使用了加密技術。

如今，越來越多的垃圾電子郵件也在利用惡意軟體。2016年，35%的垃圾信息包含惡意軟體，相比2015年增加了3%。在所有測試的接收的電子郵件中，約有60%被歸為垃圾郵件，這項數據相比2015年增加了6%。

總結報告的主要發現

• 99.7%的Web應用程序至少存在一個漏洞；

• 49%的數據泄露事件發生在北美；

• 最具風險的數據為支付卡信息；

• 受挫最嚴重的行業為零售業；

• 惡意軟體的檢測難度增加；

• 越來越多的垃圾電子郵件正利用惡意軟體。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！