最猖獗的威胁、最严重的行业······深入《2023数据泄露调查报告》

关于数据安全面临的威胁挑战，Verizon发布的数据泄露调查报告（DBIR）提供了重要的观点。美创科技也在持续关注，在过去几年多次解读，旨在帮助各行业用户更全面更细致洞察安全事件与泄露事件的动态与趋势。

最近，美国通信运营商Verizon再次发布第16份年度数据泄露调查报告——《2023数据泄露调查报告》（以下简称：2023DBIR），本次报告依然基于大量现实事件进行分析，共计16,312起安全事件和5,199起数据泄露事件。本文将对报告中的重要发现及观点进行提炼分享。

数据泄露 四个关键发现

最猖獗的威胁：勒索软件攻击

勒索软件攻击连续多年在数据泄露调查报告中位居主要威胁之一。

2022年DBIR报告显示，勒索病毒同比增加了近13%，增幅相当于过去五年的总和。

最新2023DBIR报告中，过去一年勒索软件攻击事件实际增长并不明显，但依然占所有数据泄露事件的24%，勒索软件攻击广泛发生在不同规模、不同类型的组织中！

勒索软件攻击发展趋势

最为重要的是，虽然勒索软件攻击事件实际增长并不明显，但过去两年，每个勒索软件攻击导致的损失成本中位数却近乎翻了一番，已达到26000美元，95%的攻击事件损失在1万至225万美元之间。

“人”仍是数据安全的重要因素

2021DBIR：85%的安全事件涉及人的因素，2022DBIR：82%的安全事件涉及人为因素。

2023年DBIR报告中：安全事件涉及人为因素的占比下降为74%，但无论是人为错误、滥用特权、使用被盗凭证、以及社会工程学攻击，人在安全事件中始终扮演着非常重要的角色。

整体来看，83%数据泄露事件依然来自外部，且高达95%都是经济利益驱动，凸显出经济利益驱动的数据安全攻击正在全面增长。

外部攻击者主要通过三种方式窃取企业的初始访问权限，使用被盗凭证（49%）、网络钓鱼（12%）、利用漏洞（5%）。

不容忽视的商业电子邮件泄露 (BEC) 

自2017年以来，社会工程学攻击引发的安全事件持续增加，时至今天，社会工程学攻击对网络犯罪分子依然是屡屡得手且有利可图的攻击手段。

尤其商业电子邮件入侵（BEC）攻击中常用的网络钓鱼和“伪装”手段几乎主导了社会工程模式。自去年以来，采用“伪装”策略进行攻击的事件数量翻了一番，占所有社会工程攻击的50%。

社会工程学攻击发展趋势

Log4j漏洞大流行 

2021年11月曝光的Log4j漏洞成为一大“持续性流行漏洞”,给全球各行业带来极大困扰。

过去一年，超过32%的Log4j漏洞扫描发生在漏洞披露后的30天内（最大的活动高峰发生在17天内）。企业必须更快地响应新威胁，在发现高危漏洞时优先修补和更新系统，包括应用所有软件和系统安全补丁。

2022年Log4j扫描百分比

数据泄露 年度结果分析

VERIS框架是DBIR报告进行数据分析的基石，目前，基于该框架，报告共分析了953894起安全违规事件，确认254968起数据泄露事件。

VERIS框架将描述事件的核心分为四类（简称4A）：Actor（威胁行为体）、Action（威胁行为）、Asset（资产）和Attribute（属性）。

——即：谁（Actor），采取什么行动(Action)，影响了什么资产(Asset)以及（Attribute）资产受到怎么的影响。

2023DBIR报告提到：

 Actor（威胁行为体） 

分为：外部威胁、内部威胁、合作伙伴

-  过去一年数据安全泄露事件中，外部攻击者占比高达83%，内部攻击者则占19%。

-  内部行为者不仅要为蓄意攻击负责，而且要为自身的错误行为负责。

-  无论外部威胁、内部威胁、还是合作伙伴，背后的动机95%出于经济利益的目的，与去年相比继续保持增长。

-  内部的各种违规行为更加频繁，大多涉及误用或错误操作，表明组织应该在日常安全管理方面给予更多关注。

-  由于俄乌持续冲突，国家支持的间谍攻击活动将会增加。相关事件证明，因地缘政治而引发意识形态或黑客行动相关攻击有所增加，但从更大的统计角度来看，这并未对普通企业和用户造成极大影响。

 Action（威胁行为） 

威胁行为，包括：黑客攻击、恶意软件、误操作、社会工程学攻击、滥用、物理威胁、自然灾害。

-  特权账号或凭据的窃取和非法使用是数据泄露最为关键攻击手段。

-  勒索软件攻击依然令人担忧，虽然实际增长并不明显，但依然占所有数据泄露事件的24%。

-  在有组织犯罪分子实施的攻击事件中，超过62%的事件涉及勒索软件，59%的事件涉及经济动机。值得注意的是，与去年的“软件供应链末日”相比，今年没有供应商和软件供应链作为事件的行动向量。

- 全球都在Log4j漏洞下瑟瑟发抖。在这一次事件中，组织应迅速采取行动，加快打补丁和更新系统，避免了更大的灾难。

- 在黑客攻击中，最主要的攻击向量是WEB应用。

- 在社工攻击中，最主要的威胁行为样式是钓鱼。

 Asset（资产）  

资产分为：Server（服务器）、Person（人员）、User（用户设备如：PC、手机等）、Network（广泛覆盖网络、路由、网络安全设备等）、Media（媒介）等。

-  人也是组织核心资产之一，是组织的最后一道防线，且在未来几年内会继续保持在第二的位置，而服务器一直排在第一位。

-  Web应用程序和邮件服务器是影响最大的两类资产，而随着社会工程学的陆续发展，个人财务资产从去年开始呈现上升趋势。

-  和IT行业相比，OT领域虽然占比较少但同样受到影响。随着计算机技术大规模应用至传统工控组织、关基组织，OT遭受攻击的可能性在上升，其中制造业、采矿业、采石业、油气开采和公用事业等行业具有代表性。

-  报告数据显示，只有3.4% OT资产公开承认受到影响，考虑到系统的保密性和国家安全，真正能够公开数据和案例属于少数，真实的情况可能远远大于整个数值。

 Attribute（属性） 

安全有三大属性，分别是机密性、完整性和可用性。通过描述资产的哪些属性可能受到影响，这是一种经过验证的理解事件潜在影响的方法。因此，安全人员在评估安全事件时，应首要考虑“资产或数据的副本是否泄露”(机密性)，“已知和可信的状态是否改变”(完整性)，“组织能否继续访问”(可用性)。

数据机密性，是DBIR报告一直以来关注的重点。2023DBIR提到，对过去一年数据泄露事件分析，个人信息、凭证信息、内部信息是泄露最为严重的种类。

此外有一个数据品种引起了DBIR团队的注意：虚拟货币。今年涉及加密货币的入侵数量比去年增加了四倍，与2020年相比更是相去甚远。涉及虚拟货币的网络攻击主要是漏洞利用、凭证窃取、网络钓鱼等。

数据泄露 事件模式分类

在2014年，DBIR报告首次引入了事件模式分类，而随着攻击类型和威胁态势的变化，每年的报告中模式分类也会发生合并与改变。

2023 DBIR报告中，将安全事件分为：基本Web应用程序攻击、拒绝服务、资产丢失和窃取、其他错误、特权滥用、社会工程、系统入侵以及其他，共八种模式。

 1. 系统入侵  

-  利用漏洞、盗取凭证、网络钓鱼是攻击者系统入侵的主要手段。

-  高达80%的系统入侵事件涉及勒索软件，91%的受访企业将勒索软件攻击作为其主要事件之一。

-  过去两年，每个勒索软件攻击导致的损失成本中位数却近乎翻了一番，已达到26000美元，95%的攻击事件损失在1万至225万美元之间。

  

- 共计有3966起系统入侵事件，其中1944起发生数据泄露。

 2. 社会工程  

-  社会工程事件与前一年相比有所增加。

-  商业电子邮件入侵（BEC）攻击中常用的网络钓鱼和“伪装”手段几乎主导了社会工程模式。

-  BEC商业电子邮件入侵的本质是依赖于使用假身份欺骗受害者，通常情况下，犯罪分子将伪装成受害者的同事或供应商，并要求他们进行付款或发送一些敏感数据。

- 在该报告所分析的所有事件中，属于社会工程的有1700起，其中928起发生数据泄露。

 3. 基本Web应用程序攻击  

-  利用Web应用程序的漏洞进行攻击，占据2023DBIR数据泄露事件的四分之一；

-  攻击者往往通过盗用凭证或利用应用程序中的漏洞来获得对包含敏感信息（例如个人或财务数据）的数据库的未授权访问；

-  SQL注入攻击值得关注；

-  在报告所分析的所有事件中，属于该模式的有1404起，其中1315起数据泄露。

 4. 其他错误  

-  人为错误仍然是网络攻击和数据泄露的最主要和最有效媒介。ElasticSearch数据库配置错误导致的大规模数据泄露。

-  2023 DBIR报告中：占比最高的是分发错误（把数据给了错误的接收人），高达43%；发布错误（将私密信息发到公开网站或者公开文档中）以23%位居第二。

-  错误配置导致的数据泄露排名第三，往往由系统管理员、开发人员引起。

-  共计有602起相关事件发生，其中有512起发生数据泄露。

 5. 拒绝服务  

-  拒绝服务攻击仍然无处不在，几年来一直是事件的高发点，但目前这一威胁正在逐步缓解。

-  DNS water torture拒绝服务攻击依然值得关注，组织需增强DNS服务器的性能和带宽，采用高性能的服务器和网络设备，提高DNS服务器的处理能力和抗攻击能力，

-  在该报告所分析的所有事件中，属于该模式的有6248起，其中4起确认有数据泄露的情况。

 6. 资产丢失和窃取  

-  对于组织来说，资产丢失或窃取的模式仍然是一个问题，这是由于大量便携的设备存储数据的能力正在大幅增长。

-  经济利益是这类攻击的主要驱动因素，攻击者通过窃取数据等资产快速获得收益。

-  在该报告所分析的所有事件中，属于该模式的有2091起，其中159起确认有数据泄露的情况。虽然数据泄露确认的比例不到10%，但这并不意味着安全，相反因为很多事件的数据是“处于风险之中”，而不是“确认”。

 7. 特权滥用  

-  特权滥用是指使用员工的合法访问权限来窃取数据的模式，这种模式几乎完全是内部人员恶意使用访问特权来造成破坏。

-  个人数据仍然是这些泄露最常见的数据类型。

-  值得注意内部员工的特权滥用正在日益与欺诈交易相结合，这一趋势更加严重

-  在该报告所分析的所有事件中，属于该模式的有406起，其中288起确认有数据泄露的情况。

数据泄露 主要行业分析

△点击放大

根据2023DBIR对各行业分析，本文总结出上图，结合图示可以发现：

“ 

公共行政、金融保险以及医疗行业是数据泄露最严重的三个行业。

过去一年公共行政发生584起数据泄露事件；金融保险业480起，医疗健康行业436起，几乎是所有行业数据泄露事件的三分之一。

而纵观历年DBIR报告，公共行政、医疗、金融在众多行业数据泄露事件统计排名中一直稳居前三。

”

医疗行业

• 医疗行业数据安全泄露发生频率高达83%，525起事故中，436 起已确认数据泄露，在各行业中高居榜首。

• 医疗健康行业已成为勒索软件的主要攻击目标，过去三年该事件激增。

• 医疗行业一直是所有行业中唯一一个内部威胁大于外部威胁的行业，2023DBIR中，这一趋势有所改变，其中66%的威胁来自外部，35%的威胁来自内部，但依然高居行业平均。

金融保险业

• 金融保险行业和制造业成为攻击者的首选。

• 针对Web应用程序攻击在金融行业普遍存在。

• 由内部人员错误引发的数据泄露值得关注。

• 74%的金融和保险行业数据泄露事件涉及个人数据泄露——大幅领先于其它所有行业。

公共行政行业

• 公共行政行业数据安全泄露已经连续多年登居数据泄露事件榜首。

• 公共行政行业数据泄露日益增长，与网络间谍活动的活跃程度不断增强息息相关。

• 公共行政行业内部威胁比例快速上升，且多由外部、合作伙伴、内部人员勾结引发。