美国网络安全“崩盘”：2023年漏洞、数据泄露双创历史新高

2024年1月29日作者：GoUpSec

2023年，美国的漏洞和数据泄露数量大幅飙升，双双创下历史新高。

根据Bugcrowd的最新报告，2023年Bugcrowd平台内Web漏洞提交量激增30%、API漏洞提交量增加18%、Android漏洞提交量增加21%、iOS漏洞提交量增加17%年。

政府安全漏洞暴增151%

其中美国政府部门的众包安全漏洞增长最为显著，漏洞提交量增长了151%。零售业（+34%）、企业服务（+20%）和计算机软件（+12%）行业的漏洞提交量也显著增加。

ITRC还报告称，2023年，近11%的上市公司受到攻击，虽然大多数行业的攻击数量略有增加，但医疗、金融服务和运输行业报告的攻击数量比2022年增加了一倍多。

开源普及导致零日漏洞利用爆发

应用安全公司Apona Security的产品主管Roger Neal表示，开源软件组件的使用增加导致零日攻击的增长：“几乎所有代码库中80%以上都至少包含一个第三方组件，”他解释道。“这对于提高开发效率非常有用，但我们常常忽视了这些组件可供任何人访问并在受控环境中进行深入测试，从而为越来越多的零日攻击打开了大门。”

数据泄漏创下历史新高

根据身份盗窃资源中心（ITRC）上周五发布的年度数据泄漏报告，在零日漏洞和供应链攻击的推动下，2023年美国数据泄露事件创下历史新高。

2023年美国的数据泄露数量比2022年增加了78%，从1801起暴增到3205起，比2021年的高峰记录（1860起）足足高出了72%。

报告发现，大多数数据泄露都与网络攻击有关。与前几年相比，与网络钓鱼相关的攻击和勒索软件攻击略有下降，而恶意软件和零日攻击则大幅增加。零日漏洞、供应链攻击事件比之前的记录暴增了72%，预计2024年将再创新高。

ITRC报告指出，往年造成数据泄露的零日漏洞攻击数量很少（每年报告1-4个零日漏洞），但2023年报告的零日漏洞多达110个，远高于2022年的8个。

2023年美国十大数据泄露事件的规模统计如下：

美国数据安全法规存在重大纰漏

ITRC指出，美国的数据泄露通知法规存在重大缺陷，发生泄漏数据的组织和通知受害者的组织之间存在巨大的数量差距。

ITRC的报告发现，没有披露具体信息（攻击媒介、归因等）的数据泄露通知数量同比几乎翻了一番。2023年，超过1400份数据泄漏通知不包含有关攻击媒介的信息，而2022年只有716份。

随着遭受供应链攻击的企业数量快速增长，瞒报或不透明报告问题显得尤为严重。一个最为显著的例证是，在SEC上市公司安全事件披露“四日新规”生效后不到一个月，惠普和微软相继报告了此前长期瞒报的网络攻击/数据泄漏事件，结果发现二者遭遇了来自同一个APT组织的攻击。

网络攻击精度提升：数据泄漏数量增加但受害者人数减少

尽管ITRC报告的数据泄露数量大幅增加，但ITRC发现受泄露影响的受害者人数有所下降，降至353,027,892人，比2022年的425,212,090人下降了16%。这种下降属于长期趋势。与受害者人数最多的2018年相比，下降幅度高达84%。这表明攻击者正在更有针对性地采集目标的画像数据，以实施更加精准和复杂的攻击。

ITRC首席运营官詹姆斯·E·李(James E. Lee)表示，“当今获取个人身份数据的攻击者对目标系统的攻击更加精准，附带损害随之减少。这也是攻击次数增加而受影响人数减少的原因。”

数据安全能力成为企业核心竞争力

根据思科2024年数据隐私基准研究，几乎所有(94%)的受访安全和隐私专业人士表示，如果企业不能正确保护数据，消费者/客户就不会购买其产品。

绝大多数受访者支持其政府实施数据隐私法，80%的受访者认为隐私法对其企业产生了积极影响，只有6%的人认为隐私法产生了负面影响。值得注意的是，中国的受访者对政府数据隐私法规的支持度最高，为91%（下图）：