Penso che se hai bisogno di lavorare in quest'area, la soluzione migliore è iniziare a fare il rilevamento degli incidenti sulla tua rete e lavorare sulla creazione di coalizioni che ti aiutino a ottenere informazioni a livello di NDA con i tuoi colleghi.
Non esiste una risposta giusta su tutta la linea. Il "numero totale di attacchi alla spalla" rispetto al "numero totale di password della forza bruta" sarà piuttosto difficile da ottenere numeri di statistiche rigidi. Questa non è un'area che un ricercatore può affrontare con un sondaggio Gallup, dal momento che se chiami un professionista della sicurezza IT e chiedi, interromperà o segnalerà come incidente di sicurezza.
Aggiungete che le industrie possono variare molto - ci sono alcune minacce comuni là fuori, ma la portata degli attacchi PU target rivolgersi a diverse entità o industrie.
Dirò che questo si adatta perfettamente alle aree IT di Rilevamento, Resposizione e Prevenzione. I sistemi su larga scala tendono a utilizzare una soluzione basata su COT per rilevare il tipo di attacchi che si menzionano: statistiche di rete come tentativi di password bruteforce o segni dei risultati dell'ingegneria sociale. In un sistema maturo, non rispondono solo alla crisi, ma chiedono "come possiamo fare meglio?", Quindi aggregano e confrontano i dati in qualche modo. Quanto è esattamente la salsa segreta che non supererà le barriere di sicurezza senza alcuni accordi ben compresi.
I migliori dati che ho visto provengono da servizi a pagamento - il mio preferito è ACSC - l'Advanced CyberSecurity Center - dove le banche associate condividono questo tipo di informazioni. C'è anche Gartner e Forrester, che sono meno specifici, meno facili da ottenere informazioni dettagliate e meno mirate alla sicurezza.
Non ci sono molte informazioni pubbliche su cui mi fiderei in questo settore - le mie prime domande sarebbero "come lo hai raccolto?", "da chi?" e "dove si misurano?"
Questo è sicuramente il caso in cui il modo in cui poni la domanda influenzerà la risposta.