您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
2023數(shù)據(jù)泄漏報告十大發(fā)現(xiàn)
2022和2023年的數(shù)據(jù)泄露報告統(tǒng)計數(shù)據(jù)表明,網(wǎng)絡安全行業(yè)在“人的因素”方面還有更多工作要做。攻擊者正在大量利用被盜憑據(jù)、特權濫用、人為錯誤、精心策劃的社會工程、商業(yè)電子郵件欺詐(BEC)。每個網(wǎng)絡安全廠商都需要加緊努力,改進身份、特權訪問和端點安全,以提供客戶所需的價值。企業(yè)不能滿足于安全培訓,需要采取行動打造強大的防御基線。
作為網(wǎng)絡安全業(yè)界最權威的報告之一,Verizon 2023年數(shù)據(jù)泄露調(diào)查報告(DBIR)揭示了安全行業(yè)的關鍵趨勢和挑戰(zhàn)。其中最值得業(yè)界反思的一點是:盡管企業(yè)的網(wǎng)絡安全支出有所增加,但網(wǎng)絡安全的發(fā)展速度并未跟上攻擊者的步伐,數(shù)據(jù)泄漏(損失)不但沒有緩解,反而更加嚴重。
網(wǎng)絡安全專家約翰金德瓦格建議企業(yè)不要嘗試同時保護所有攻擊面,而是選擇迭代方法,大規(guī)模獲得基本的網(wǎng)絡安全衛(wèi)生并逐步實施零信任,一次保護一個攻擊面。這是一種經(jīng)過驗證的擴展零信任的方法,無需董事會為設備級投資提供資金。
以下是DBIR 2023年數(shù)據(jù)泄露報告的十大發(fā)現(xiàn):
一、83%的數(shù)據(jù)泄露行為是由尋求經(jīng)濟利益的外部攻擊者發(fā)起的。每10起數(shù)據(jù)泄露事件中就有8起是有組織犯罪團伙發(fā)起的,95%的攻擊都是為了獲取經(jīng)濟利益,通常涉及竊取客戶敏感數(shù)據(jù),勒索軟件是首選武器。
金融服務和制造業(yè)是攻擊者的首選,因為這些企業(yè)必須按時交付產(chǎn)品和服務以留住客戶并生存。人員是主要的初始攻擊面,與針對人員的社會工程攻擊組合是最常見的初始攻擊策略。
二、84%的數(shù)據(jù)泄漏利用了社會工程和BEC策略,將人員作為攻擊媒介。根據(jù)最近兩份Verizon DBIR報告,許多數(shù)據(jù)泄露都涉及人為錯誤,且人為錯誤在數(shù)據(jù)泄露事件原因中的占比也在快速增長。根據(jù)2023年的報告,74%的數(shù)據(jù)泄露始于人為錯誤、社會工程或濫用。在去年的報告中,這個數(shù)字甚至更高,為82%。2021年的DBIR報告中只有35%的(成功)數(shù)據(jù)泄露始于人為錯誤。
三、五分之一的數(shù)據(jù)泄露(19%)來自內(nèi)部。內(nèi)部攻擊是CISO的噩夢,因為識別和阻止此類數(shù)據(jù)泄漏行為非常具有挑戰(zhàn)性。這就是為什么擁有AI和機器學習技術的領先安全供應商的路線圖上經(jīng)常會出現(xiàn)“內(nèi)部威脅緩解”的原因。Booz Allen Hamilton使用數(shù)據(jù)網(wǎng)格架構和機器學習算法來檢測、監(jiān)控和響應可疑的網(wǎng)絡活動。Proofpoint是另一家應用人工智能和機器學習檢測內(nèi)部威脅的供應商。Proofpoint的ObserveIT能提供實時警報和對用戶活動的可操作洞察。
四、一些供應商正在探索或收購公司以加強平臺對內(nèi)部威脅的防御能力。例如,CrowdStrike去年宣布收購Reposify。Reposify的產(chǎn)品能掃描網(wǎng)絡,幫助企業(yè)發(fā)現(xiàn)暴露的資產(chǎn),并定義他們需要采取的補救措施。CrowdStrike計劃將Reposify的技術整合到CrowdStrike平臺中,以幫助客戶阻止內(nèi)部攻擊。
五、系統(tǒng)入侵、基本W(wǎng)eb應用程序攻擊和社會工程學是主要的攻擊策略。兩年前,在2021年DBIR報告中,基本W(wǎng)eb應用程序攻擊占數(shù)據(jù)泄漏事件的39%,其中89%是出于經(jīng)濟動機。同年,網(wǎng)絡釣魚和BEC也很普遍,95%出于經(jīng)濟動機。相比之下,2023年的DBIR報告發(fā)現(xiàn)系統(tǒng)入侵、基本W(wǎng)eb應用程序攻擊和社會工程攻擊占比迅速提高,占數(shù)據(jù)泄漏事件的77%,其中大部分是出于經(jīng)濟動機。
Web應用程序攻擊持續(xù)增長。這意味著企業(yè)需要更有效地采用基于零信任的Web應用安全和跨企業(yè)安全網(wǎng)絡訪問。該領域的領先供應商包括Broadcom/Symantec、Cloudflare、Ericom、Forcepoint、iboss、Menlo Security、MacAfee、NetSkope和Zscaler等。這些廠商提供ZTNA方案來保護用戶訪問,用Web應用程序防火墻(WAF)來保護應用程序的攻擊面。例如,Ericom基于隔離的ZTNA可保護對企業(yè)Web和SaaS應用程序的訪問,保護面向公眾的應用程序表面免受攻擊,并提供經(jīng)證明可有效保護通過BYOD和第三方非托管設備進行訪問的無客戶端選項。
系統(tǒng)入侵是高經(jīng)驗值攻擊者經(jīng)常使用的一種攻擊策略,可以通過惡意軟件來破壞企業(yè)并投放勒索軟件。去年的DBIR報告顯示系統(tǒng)入侵成為頭號安全事件類別,取代了2021年的頭號事件類別——基本W(wǎng)eb應用程序攻擊。
以系統(tǒng)入侵為目標,攻擊者使用各種技術(包括網(wǎng)絡釣魚、竊取憑據(jù)、后門和漏洞)來策劃攻擊,遍歷組織的環(huán)境和節(jié)點,并用勒索軟件感染網(wǎng)絡及系統(tǒng)。
六、社會工程攻擊的復雜性正在快速增長。今年的DBIR報告突出了社會工程攻擊的盈利能力以及當今的攻擊手法是多么復雜。BEC在整個事件數(shù)據(jù)集中幾乎翻了一番,占社會工程事件的50%以上。相比之下,2022年DBIR報告發(fā)現(xiàn)社會工程攻擊僅涉及25%的數(shù)據(jù)泄漏事件。在2021年的DBIR報告中,BEC是第二常見的社會工程類型。
七、2023年95%的數(shù)據(jù)泄漏都是經(jīng)濟驅(qū)動的,而不是媒體炒作的國家間諜活動。隨著攻擊者不斷磨練其社會工程技術,出于經(jīng)濟動機的網(wǎng)絡攻擊的百分比會繼續(xù)增加。往期DBIR報告中的趨勢數(shù)據(jù)顯示,經(jīng)濟利益正在成為企業(yè)間諜活動或前雇員報復攻擊的主要動機。2022年的DBIR報告發(fā)現(xiàn),90%的攻擊者都是為了經(jīng)濟利益而發(fā)起攻擊,高于2021年的85%。
經(jīng)濟動機的占比躍升可歸因于更高的潛在勒索軟件收益,以及成功概率更高的多重攻擊策略。
八、過去兩年中,勒索軟件攻擊導致的平均損失增加了一倍多,達到2.6萬美元,其中95%的事件造成的損失在1-225萬美元之間。隨著越來越多的攻擊者開始針對業(yè)務停頓損失巨大的行業(yè),勒索軟件贖金“收益”將持續(xù)創(chuàng)造新的記錄。正如2023年DBIR報告所述,金融服務和制造業(yè)是當前受災最嚴重的行業(yè)。
2021年DBIR報告引用了FBI數(shù)據(jù),發(fā)現(xiàn)勒索軟件支付的中位數(shù)為11150美元。2020年,勒索軟件的平均贖金支出為8100美元,2018年僅為4,300美元。因此,在五年內(nèi),勒索軟件的平均贖金收入增加了兩倍。
今年24%的數(shù)據(jù)泄漏涉及勒索軟件,后者作為主要攻擊策略將保持長期上升趨勢。
九、超過32%的Log4j漏洞掃描發(fā)生在漏洞披露后的30天內(nèi)。2023年DBIR報告發(fā)現(xiàn),攻擊者的漏洞利用平均在發(fā)現(xiàn)漏洞后第17天達到頂峰。超過32%的Log4j漏洞掃描發(fā)生在漏洞披露的30天內(nèi),這表明企業(yè)必須更快地響應新威脅,在發(fā)現(xiàn)高危漏洞時優(yōu)先修補和更新系統(tǒng),包括應用所有軟件和系統(tǒng)安全補丁。
十、74%的金融和保險行業(yè)數(shù)據(jù)泄漏事件涉及個人數(shù)據(jù)泄露——大幅領先于其它所有行業(yè)。相比之下,其他行業(yè)的個人數(shù)據(jù)泄露情況要少得多:34%的住宿和餐飲服務行業(yè)數(shù)據(jù)泄漏事件涉及個人數(shù)據(jù)泄露。不過,教育服務行業(yè)的個人數(shù)據(jù)泄漏占比為56%,僅次于金融行業(yè)。
來源:GoUpSec