您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
2023數(shù)據(jù)泄漏報(bào)告十大發(fā)現(xiàn)
2022和2023年的數(shù)據(jù)泄露報(bào)告統(tǒng)計(jì)數(shù)據(jù)表明,網(wǎng)絡(luò)安全行業(yè)在“人的因素”方面還有更多工作要做。攻擊者正在大量利用被盜憑據(jù)、特權(quán)濫用、人為錯(cuò)誤、精心策劃的社會(huì)工程、商業(yè)電子郵件欺詐(BEC)。每個(gè)網(wǎng)絡(luò)安全廠商都需要加緊努力,改進(jìn)身份、特權(quán)訪問和端點(diǎn)安全,以提供客戶所需的價(jià)值。企業(yè)不能滿足于安全培訓(xùn),需要采取行動(dòng)打造強(qiáng)大的防御基線。
作為網(wǎng)絡(luò)安全業(yè)界最權(quán)威的報(bào)告之一,Verizon 2023年數(shù)據(jù)泄露調(diào)查報(bào)告(DBIR)揭示了安全行業(yè)的關(guān)鍵趨勢(shì)和挑戰(zhàn)。其中最值得業(yè)界反思的一點(diǎn)是:盡管企業(yè)的網(wǎng)絡(luò)安全支出有所增加,但網(wǎng)絡(luò)安全的發(fā)展速度并未跟上攻擊者的步伐,數(shù)據(jù)泄漏(損失)不但沒有緩解,反而更加嚴(yán)重。
網(wǎng)絡(luò)安全專家約翰金德瓦格建議企業(yè)不要嘗試同時(shí)保護(hù)所有攻擊面,而是選擇迭代方法,大規(guī)模獲得基本的網(wǎng)絡(luò)安全衛(wèi)生并逐步實(shí)施零信任,一次保護(hù)一個(gè)攻擊面。這是一種經(jīng)過驗(yàn)證的擴(kuò)展零信任的方法,無需董事會(huì)為設(shè)備級(jí)投資提供資金。
以下是DBIR 2023年數(shù)據(jù)泄露報(bào)告的十大發(fā)現(xiàn):
一、83%的數(shù)據(jù)泄露行為是由尋求經(jīng)濟(jì)利益的外部攻擊者發(fā)起的。每10起數(shù)據(jù)泄露事件中就有8起是有組織犯罪團(tuán)伙發(fā)起的,95%的攻擊都是為了獲取經(jīng)濟(jì)利益,通常涉及竊取客戶敏感數(shù)據(jù),勒索軟件是首選武器。
金融服務(wù)和制造業(yè)是攻擊者的首選,因?yàn)檫@些企業(yè)必須按時(shí)交付產(chǎn)品和服務(wù)以留住客戶并生存。人員是主要的初始攻擊面,與針對(duì)人員的社會(huì)工程攻擊組合是最常見的初始攻擊策略。
二、84%的數(shù)據(jù)泄漏利用了社會(huì)工程和BEC策略,將人員作為攻擊媒介。根據(jù)最近兩份Verizon DBIR報(bào)告,許多數(shù)據(jù)泄露都涉及人為錯(cuò)誤,且人為錯(cuò)誤在數(shù)據(jù)泄露事件原因中的占比也在快速增長(zhǎng)。根據(jù)2023年的報(bào)告,74%的數(shù)據(jù)泄露始于人為錯(cuò)誤、社會(huì)工程或?yàn)E用。在去年的報(bào)告中,這個(gè)數(shù)字甚至更高,為82%。2021年的DBIR報(bào)告中只有35%的(成功)數(shù)據(jù)泄露始于人為錯(cuò)誤。
三、五分之一的數(shù)據(jù)泄露(19%)來自內(nèi)部。內(nèi)部攻擊是CISO的噩夢(mèng),因?yàn)樽R(shí)別和阻止此類數(shù)據(jù)泄漏行為非常具有挑戰(zhàn)性。這就是為什么擁有AI和機(jī)器學(xué)習(xí)技術(shù)的領(lǐng)先安全供應(yīng)商的路線圖上經(jīng)常會(huì)出現(xiàn)“內(nèi)部威脅緩解”的原因。Booz Allen Hamilton使用數(shù)據(jù)網(wǎng)格架構(gòu)和機(jī)器學(xué)習(xí)算法來檢測(cè)、監(jiān)控和響應(yīng)可疑的網(wǎng)絡(luò)活動(dòng)。Proofpoint是另一家應(yīng)用人工智能和機(jī)器學(xué)習(xí)檢測(cè)內(nèi)部威脅的供應(yīng)商。Proofpoint的ObserveIT能提供實(shí)時(shí)警報(bào)和對(duì)用戶活動(dòng)的可操作洞察。
四、一些供應(yīng)商正在探索或收購(gòu)公司以加強(qiáng)平臺(tái)對(duì)內(nèi)部威脅的防御能力。例如,CrowdStrike去年宣布收購(gòu)Reposify。Reposify的產(chǎn)品能掃描網(wǎng)絡(luò),幫助企業(yè)發(fā)現(xiàn)暴露的資產(chǎn),并定義他們需要采取的補(bǔ)救措施。CrowdStrike計(jì)劃將Reposify的技術(shù)整合到CrowdStrike平臺(tái)中,以幫助客戶阻止內(nèi)部攻擊。
五、系統(tǒng)入侵、基本W(wǎng)eb應(yīng)用程序攻擊和社會(huì)工程學(xué)是主要的攻擊策略。兩年前,在2021年DBIR報(bào)告中,基本W(wǎng)eb應(yīng)用程序攻擊占數(shù)據(jù)泄漏事件的39%,其中89%是出于經(jīng)濟(jì)動(dòng)機(jī)。同年,網(wǎng)絡(luò)釣魚和BEC也很普遍,95%出于經(jīng)濟(jì)動(dòng)機(jī)。相比之下,2023年的DBIR報(bào)告發(fā)現(xiàn)系統(tǒng)入侵、基本W(wǎng)eb應(yīng)用程序攻擊和社會(huì)工程攻擊占比迅速提高,占數(shù)據(jù)泄漏事件的77%,其中大部分是出于經(jīng)濟(jì)動(dòng)機(jī)。
Web應(yīng)用程序攻擊持續(xù)增長(zhǎng)。這意味著企業(yè)需要更有效地采用基于零信任的Web應(yīng)用安全和跨企業(yè)安全網(wǎng)絡(luò)訪問。該領(lǐng)域的領(lǐng)先供應(yīng)商包括Broadcom/Symantec、Cloudflare、Ericom、Forcepoint、iboss、Menlo Security、MacAfee、NetSkope和Zscaler等。這些廠商提供ZTNA方案來保護(hù)用戶訪問,用Web應(yīng)用程序防火墻(WAF)來保護(hù)應(yīng)用程序的攻擊面。例如,Ericom基于隔離的ZTNA可保護(hù)對(duì)企業(yè)Web和SaaS應(yīng)用程序的訪問,保護(hù)面向公眾的應(yīng)用程序表面免受攻擊,并提供經(jīng)證明可有效保護(hù)通過BYOD和第三方非托管設(shè)備進(jìn)行訪問的無客戶端選項(xiàng)。
系統(tǒng)入侵是高經(jīng)驗(yàn)值攻擊者經(jīng)常使用的一種攻擊策略,可以通過惡意軟件來破壞企業(yè)并投放勒索軟件。去年的DBIR報(bào)告顯示系統(tǒng)入侵成為頭號(hào)安全事件類別,取代了2021年的頭號(hào)事件類別——基本W(wǎng)eb應(yīng)用程序攻擊。
以系統(tǒng)入侵為目標(biāo),攻擊者使用各種技術(shù)(包括網(wǎng)絡(luò)釣魚、竊取憑據(jù)、后門和漏洞)來策劃攻擊,遍歷組織的環(huán)境和節(jié)點(diǎn),并用勒索軟件感染網(wǎng)絡(luò)及系統(tǒng)。
六、社會(huì)工程攻擊的復(fù)雜性正在快速增長(zhǎng)。今年的DBIR報(bào)告突出了社會(huì)工程攻擊的盈利能力以及當(dāng)今的攻擊手法是多么復(fù)雜。BEC在整個(gè)事件數(shù)據(jù)集中幾乎翻了一番,占社會(huì)工程事件的50%以上。相比之下,2022年DBIR報(bào)告發(fā)現(xiàn)社會(huì)工程攻擊僅涉及25%的數(shù)據(jù)泄漏事件。在2021年的DBIR報(bào)告中,BEC是第二常見的社會(huì)工程類型。
七、2023年95%的數(shù)據(jù)泄漏都是經(jīng)濟(jì)驅(qū)動(dòng)的,而不是媒體炒作的國(guó)家間諜活動(dòng)。隨著攻擊者不斷磨練其社會(huì)工程技術(shù),出于經(jīng)濟(jì)動(dòng)機(jī)的網(wǎng)絡(luò)攻擊的百分比會(huì)繼續(xù)增加。往期DBIR報(bào)告中的趨勢(shì)數(shù)據(jù)顯示,經(jīng)濟(jì)利益正在成為企業(yè)間諜活動(dòng)或前雇員報(bào)復(fù)攻擊的主要?jiǎng)訖C(jī)。2022年的DBIR報(bào)告發(fā)現(xiàn),90%的攻擊者都是為了經(jīng)濟(jì)利益而發(fā)起攻擊,高于2021年的85%。
經(jīng)濟(jì)動(dòng)機(jī)的占比躍升可歸因于更高的潛在勒索軟件收益,以及成功概率更高的多重攻擊策略。
八、過去兩年中,勒索軟件攻擊導(dǎo)致的平均損失增加了一倍多,達(dá)到2.6萬美元,其中95%的事件造成的損失在1-225萬美元之間。隨著越來越多的攻擊者開始針對(duì)業(yè)務(wù)停頓損失巨大的行業(yè),勒索軟件贖金“收益”將持續(xù)創(chuàng)造新的記錄。正如2023年DBIR報(bào)告所述,金融服務(wù)和制造業(yè)是當(dāng)前受災(zāi)最嚴(yán)重的行業(yè)。
2021年DBIR報(bào)告引用了FBI數(shù)據(jù),發(fā)現(xiàn)勒索軟件支付的中位數(shù)為11150美元。2020年,勒索軟件的平均贖金支出為8100美元,2018年僅為4,300美元。因此,在五年內(nèi),勒索軟件的平均贖金收入增加了兩倍。
今年24%的數(shù)據(jù)泄漏涉及勒索軟件,后者作為主要攻擊策略將保持長(zhǎng)期上升趨勢(shì)。
九、超過32%的Log4j漏洞掃描發(fā)生在漏洞披露后的30天內(nèi)。2023年DBIR報(bào)告發(fā)現(xiàn),攻擊者的漏洞利用平均在發(fā)現(xiàn)漏洞后第17天達(dá)到頂峰。超過32%的Log4j漏洞掃描發(fā)生在漏洞披露的30天內(nèi),這表明企業(yè)必須更快地響應(yīng)新威脅,在發(fā)現(xiàn)高危漏洞時(shí)優(yōu)先修補(bǔ)和更新系統(tǒng),包括應(yīng)用所有軟件和系統(tǒng)安全補(bǔ)丁。
十、74%的金融和保險(xiǎn)行業(yè)數(shù)據(jù)泄漏事件涉及個(gè)人數(shù)據(jù)泄露——大幅領(lǐng)先于其它所有行業(yè)。相比之下,其他行業(yè)的個(gè)人數(shù)據(jù)泄露情況要少得多:34%的住宿和餐飲服務(wù)行業(yè)數(shù)據(jù)泄漏事件涉及個(gè)人數(shù)據(jù)泄露。不過,教育服務(wù)行業(yè)的個(gè)人數(shù)據(jù)泄漏占比為56%,僅次于金融行業(yè)。
來源:GoUpSec