2023数据泄漏报告十大发现

2022和2023年的数据泄露报告统计数据表明，网络安全行业在“人的因素”方面还有更多工作要做。攻击者正在大量利用被盗凭据、特权滥用、人为错误、精心策划的社会工程、商业电子邮件欺诈(BEC)。每个网络安全厂商都需要加紧努力，改进身份、特权访问和端点安全，以提供客户所需的价值。企业不能满足于安全培训，需要采取行动打造强大的防御基线。

作为网络安全业界最权威的报告之一，Verizon 2023年数据泄露调查报告(DBIR)揭示了安全行业的关键趋势和挑战。其中最值得业界反思的一点是：尽管企业的网络安全支出有所增加，但网络安全的发展速度并未跟上攻击者的步伐，数据泄漏（损失）不但没有缓解，反而更加严重。

网络安全专家约翰金德瓦格建议企业不要尝试同时保护所有攻击面，而是选择迭代方法，大规模获得基本的网络安全卫生并逐步实施零信任，一次保护一个攻击面。这是一种经过验证的扩展零信任的方法，无需董事会为设备级投资提供资金。

以下是DBIR 2023年数据泄露报告的十大发现：

一、83%的数据泄露行为是由寻求经济利益的外部攻击者发起的。每10起数据泄露事件中就有8起是有组织犯罪团伙发起的，95%的攻击都是为了获取经济利益，通常涉及窃取客户敏感数据，勒索软件是首选武器。

金融服务和制造业是攻击者的首选，因为这些企业必须按时交付产品和服务以留住客户并生存。人员是主要的初始攻击面，与针对人员的社会工程攻击组合是最常见的初始攻击策略。

二、84%的数据泄漏利用了社会工程和BEC策略，将人员作为攻击媒介。根据最近两份Verizon DBIR报告，许多数据泄露都涉及人为错误，且人为错误在数据泄露事件原因中的占比也在快速增长。根据2023年的报告，74%的数据泄露始于人为错误、社会工程或滥用。在去年的报告中，这个数字甚至更高，为82%。2021年的DBIR报告中只有35%的（成功）数据泄露始于人为错误。

三、五分之一的数据泄露(19%)来自内部。内部攻击是CISO的噩梦，因为识别和阻止此类数据泄漏行为非常具有挑战性。这就是为什么拥有AI和机器学习技术的领先安全供应商的路线图上经常会出现“内部威胁缓解”的原因。Booz Allen Hamilton使用数据网格架构和机器学习算法来检测、监控和响应可疑的网络活动。Proofpoint是另一家应用人工智能和机器学习检测内部威胁的供应商。Proofpoint的ObserveIT能提供实时警报和对用户活动的可操作洞察。

四、一些供应商正在探索或收购公司以加强平台对内部威胁的防御能力。例如，CrowdStrike去年宣布收购Reposify。Reposify的产品能扫描网络，帮助企业发现暴露的资产，并定义他们需要采取的补救措施。CrowdStrike计划将Reposify的技术整合到CrowdStrike平台中，以帮助客户阻止内部攻击。

五、系统入侵、基本Web应用程序攻击和社会工程学是主要的攻击策略。两年前，在2021年DBIR报告中，基本Web应用程序攻击占数据泄漏事件的39%，其中89%是出于经济动机。同年，网络钓鱼和BEC也很普遍，95%出于经济动机。相比之下，2023年的DBIR报告发现系统入侵、基本Web应用程序攻击和社会工程攻击占比迅速提高，占数据泄漏事件的77%，其中大部分是出于经济动机。

Web应用程序攻击持续增长。这意味着企业需要更有效地采用基于零信任的Web应用安全和跨企业安全网络访问。该领域的领先供应商包括Broadcom/Symantec、Cloudflare、Ericom、Forcepoint、iboss、Menlo Security、MacAfee、NetSkope和Zscaler等。这些厂商提供ZTNA方案来保护用户访问，用Web应用程序防火墙(WAF)来保护应用程序的攻击面。例如，Ericom基于隔离的ZTNA可保护对企业Web和SaaS应用程序的访问，保护面向公众的应用程序表面免受攻击，并提供经证明可有效保护通过BYOD和第三方非托管设备进行访问的无客户端选项。

系统入侵是高经验值攻击者经常使用的一种攻击策略，可以通过恶意软件来破坏企业并投放勒索软件。去年的DBIR报告显示系统入侵成为头号安全事件类别，取代了2021年的头号事件类别——基本Web应用程序攻击。

以系统入侵为目标，攻击者使用各种技术（包括网络钓鱼、窃取凭据、后门和漏洞）来策划攻击，遍历组织的环境和节点，并用勒索软件感染网络及系统。

六、社会工程攻击的复杂性正在快速增长。今年的DBIR报告突出了社会工程攻击的盈利能力以及当今的攻击手法是多么复杂。BEC在整个事件数据集中几乎翻了一番，占社会工程事件的50%以上。相比之下，2022年DBIR报告发现社会工程攻击仅涉及25%的数据泄漏事件。在2021年的DBIR报告中，BEC是第二常见的社会工程类型。

七、2023年95%的数据泄漏都是经济驱动的，而不是媒体炒作的国家间谍活动。随着攻击者不断磨练其社会工程技术，出于经济动机的网络攻击的百分比会继续增加。往期DBIR报告中的趋势数据显示，经济利益正在成为企业间谍活动或前雇员报复攻击的主要动机。2022年的DBIR报告发现，90%的攻击者都是为了经济利益而发起攻击，高于2021年的85%。

经济动机的占比跃升可归因于更高的潜在勒索软件收益，以及成功概率更高的多重攻击策略。

八、过去两年中，勒索软件攻击导致的平均损失增加了一倍多，达到2.6万美元，其中95%的事件造成的损失在1-225万美元之间。随着越来越多的攻击者开始针对业务停顿损失巨大的行业，勒索软件赎金“收益”将持续创造新的记录。正如2023年DBIR报告所述，金融服务和制造业是当前受灾最严重的行业。

2021年DBIR报告引用了FBI数据，发现勒索软件支付的中位数为11150美元。2020年，勒索软件的平均赎金支出为8100美元，2018年仅为4,300美元。因此，在五年内，勒索软件的平均赎金收入增加了两倍。

今年24%的数据泄漏涉及勒索软件，后者作为主要攻击策略将保持长期上升趋势。

九、超过32%的Log4j漏洞扫描发生在漏洞披露后的30天内。2023年DBIR报告发现，攻击者的漏洞利用平均在发现漏洞后第17天达到顶峰。超过32%的Log4j漏洞扫描发生在漏洞披露的30天内，这表明企业必须更快地响应新威胁，在发现高危漏洞时优先修补和更新系统，包括应用所有软件和系统安全补丁。

十、74%的金融和保险行业数据泄漏事件涉及个人数据泄露——大幅领先于其它所有行业。相比之下，其他行业的个人数据泄露情况要少得多：34%的住宿和餐饮服务行业数据泄漏事件涉及个人数据泄露。不过，教育服务行业的个人数据泄漏占比为56%，仅次于金融行业。