Verizon公司發(fā)布的2023年數(shù)據(jù)泄露報告的十大網(wǎng)絡安全發(fā)現(xiàn)

通信運營商Verizon公司對2022年數(shù)據(jù)泄露事件的統(tǒng)計數(shù)據(jù)表明，網(wǎng)絡安全行業(yè)在防范人員攻擊媒介方面還有更多工作要做。網(wǎng)絡攻擊者竊取憑證、濫用特權、人為錯誤、精心策劃的社交工程、商業(yè)電子郵件泄露（BEC）的數(shù)量在短短一年內(nèi)翻了一番。每個網(wǎng)絡安全提供商都需要加緊努力，改進身份、特權訪問和端點安全性，以提供客戶所需的價值。企業(yè)必須超越安全培訓，采取行動提供一個強大的防御基線。

網(wǎng)絡攻擊者正在尋找新的方法來欺騙受害者

Verizon公司發(fā)布的《2023年數(shù)據(jù)泄露調(diào)查報告》反映了網(wǎng)絡威脅正在以多快的速度演變，人們的善良本性正在被蠶食。當同事、朋友和家人需要獲得現(xiàn)金或其他形式的經(jīng)濟幫助時，通常會幫助他們，而這是網(wǎng)絡攻擊者精心策劃的社交工程攻擊的一部分。眾所周知的禮品卡騙局已經(jīng)變得如此普遍，以至于美國聯(lián)邦貿(mào)易委員會發(fā)布了如何避免網(wǎng)絡欺詐的指導方針。根據(jù)美國互聯(lián)網(wǎng)犯罪投訴中心（IC3）發(fā)布的數(shù)據(jù)，商業(yè)電子郵件泄露（BEC）的平均詐騙金額已經(jīng)增長到5萬美元。

更多的預算，更多的違規(guī)

該報告最有力的結論之一是，盡管支出增加，但網(wǎng)絡安全的改進速度還不夠快，不足以保護人們免受網(wǎng)絡欺詐和攻擊。應對這一挑戰(zhàn)的辦法并不是在安全培訓上增加更多的費用，與其相反，如果企業(yè)在發(fā)生數(shù)據(jù)泄露之前采取預防措施，那么將會更安全。在最近接受行業(yè)媒體采訪時，網(wǎng)絡安全專家John Kindervag建議企業(yè)從大規(guī)模掌握基本的網(wǎng)絡安全措施，逐步實施零信任，從一次保護一個面開始。Kindervag建議企業(yè)不要同時保護所有的面，而是選擇一種迭代的方法，他指出，這是一種經(jīng)過驗證的零信任方式，無需要求企業(yè)董事會進行設備級投資。

《2023年數(shù)據(jù)泄露調(diào)查報告》的10個要點

網(wǎng)絡攻擊者的微調(diào)策略縮短了從最初接觸目標到目標真正成為受害者的時間。竊取特權訪問憑證仍然是網(wǎng)絡攻擊者獲得系統(tǒng)訪問權限并混入常規(guī)系統(tǒng)流量而不被發(fā)現(xiàn)的最常用方法。Verizon公司發(fā)現(xiàn)，僅在一年內(nèi)，被盜憑證的使用量就從41.6%增長到44.7%。

以下是Verizon公司《2023年數(shù)據(jù)泄露調(diào)查報告》的十大關鍵要點：

（1）83%的網(wǎng)絡入侵是由尋求快速經(jīng)濟利益的網(wǎng)絡攻擊者發(fā)起的。每10次攻擊中有8次是有組織的犯罪團伙和網(wǎng)絡發(fā)起的，95%的情況下是為了經(jīng)濟利益。針對客戶和金融數(shù)據(jù)的攻擊司空見慣，勒索軟件是首選武器。

金融服務和制造業(yè)是網(wǎng)絡攻擊者的首選目標，因為這些企業(yè)必須按時提供產(chǎn)品和服務，才能留住客戶并發(fā)展業(yè)務。而人員已經(jīng)成為初始威脅面的選擇，采用各種借口，配合社交工程，成為初始攻擊的策略。

（2）84%的網(wǎng)絡攻擊目標是將人類作為攻擊媒介，使用社交工程和商業(yè)電子郵件泄露（BEC）策略。根據(jù)Verizon公司最近發(fā)布的兩份研究報告，許多違規(guī)行為都涉及人為錯誤。根據(jù)今年發(fā)布的研究報告，74%的數(shù)據(jù)泄露始于人為錯誤、社交工程或濫用。在去年的報告中，這一數(shù)字甚至更高，達到82%。但根據(jù)Verizon公司2021年發(fā)布的研究報告，只有35%的成功違規(guī)行為是以這種方式開始的。

（3）五分之一（19%）的違規(guī)行為來自企業(yè)內(nèi)部。一些企業(yè)的首席信息安全官表示，內(nèi)部攻擊是他們最可怕的噩夢，因為識別和阻止這類漏洞具有挑戰(zhàn)性。這就是擁有人工智能和機器學習專業(yè)知識的行業(yè)領先供應商在他們的路線圖上有內(nèi)部威脅緩解的原因。博思艾倫咨詢公司使用數(shù)據(jù)網(wǎng)格架構和機器學習算法來檢測、監(jiān)控和響應可疑的網(wǎng)絡活動。Proofpoint公司是另一家使用人工智能和機器學習的內(nèi)部威脅檢測供應商。Proofpoint公司的ObserveIT提供實時警報和可操作的用戶活動洞察。

（4）一些供應商正在探索或收購一些公司，以增強其平臺抵御內(nèi)部威脅的能力。一個例子是CrowdStrike公司在2022年度大會上宣布收購Reposify公司。Reposify的軟件每天掃描web，搜索暴露的資產(chǎn)以使企業(yè)能夠看到它們，并定義他們需要采取的措施進行修復。CrowdStrike公司計劃將Reposify公司的技術整合到CrowdStrike平臺中，以幫助客戶阻止內(nèi)部攻擊。

（5）系統(tǒng)入侵、基礎web應用程序攻擊和社交工程是主要的攻擊策略。在Verizon公司2021年發(fā)布的研究報告中，基本的web應用程序攻擊占違規(guī)行為的39%，89%是出于經(jīng)濟動機。當年，網(wǎng)絡釣魚和商業(yè)欺詐也很普遍，而且出于經(jīng)濟動機（95%）。相比之下，今年發(fā)布的研究報告中發(fā)現(xiàn)，系統(tǒng)入侵、基本web應用程序攻擊和社交工程占信息行業(yè)違規(guī)行為的77%，其中大多數(shù)是出于經(jīng)濟動機。

（6）從Verizon公司發(fā)布的兩年研究報告來看，web應用程序攻擊的增長趨勢正在增加。這強調(diào)了更有效地采用基于零信任的web應用程序安全性和跨企業(yè)的安全網(wǎng)絡訪問的必要性。該領域的領先供應商包括Broadcom/Symantec、Cloudflare、Ericom、Forcepoint、iboss、Menlo Security、MacAfee、NetSkope和Zscaler，它們提供零信任網(wǎng)絡訪問（ZTNA）來保護用戶訪問和web應用程序防火墻（（WAF），以保護應用程序免受攻擊。例如，愛立信公司基于隔離的零信任網(wǎng)絡訪問（ZTNA）可以保護企業(yè)網(wǎng)絡和SaaS應用程序的訪問安全，保護面向公眾的應用程序免受攻擊，并提供無客戶端選項，在通過BYOD和第三方非托管設備訪問安全方面被證明是有效的。

（7）系統(tǒng)入侵是一種網(wǎng)絡攻擊策略，由更有經(jīng)驗的網(wǎng)絡攻擊者使用，他們可以訪問惡意軟件來破壞企業(yè)并提供勒索軟件。根據(jù)Verizon公司在去年發(fā)布的研究報告，系統(tǒng)入侵取代了2021年排名第一的基本web應用程序攻擊，成為排名第一的事件類別。

（8）社交工程攻擊的復雜性正在快速增長。今年發(fā)布的研究報告凸顯了社交工程攻擊的利潤是多么豐厚，以及如今的方式是多么復雜。商業(yè)電子郵件泄露（BEC）在整個事件數(shù)據(jù)集中幾乎翻了一番，現(xiàn)在占社交工程事件的50%以上。相比之下，Verizon公司的《2022年數(shù)據(jù)泄露調(diào)查報告》指出，25%的違規(guī)行為是由社交工程攻擊造成的。在2021年，Verizon公司發(fā)現(xiàn)商業(yè)電子郵件泄露（BEC）的是排名第二常見的社交工程類型，在過去三年中增長了15倍。

（9）2023年95%的數(shù)據(jù)泄露是出于經(jīng)濟原因，這與有關民族國家的攻擊活動相反。隨著網(wǎng)絡攻擊者改進他們的社交工程技術，出于經(jīng)濟動機的攻擊比例也在增加。之前報告的趨勢數(shù)據(jù)表明，經(jīng)濟利益越來越多地成為企業(yè)間諜活動或前雇員報復性攻擊的主要動機。根據(jù)Verizon公司的《2022年數(shù)據(jù)泄露調(diào)查報告》，90%的網(wǎng)絡攻擊者為了經(jīng)濟利益發(fā)起網(wǎng)絡攻擊，高于2021年的85%。

這一增長可歸因于更高的潛在勒索軟件支出，以及成功率更高的多種網(wǎng)絡攻擊策略。還有一種可能是沒有被檢測到的間諜攻擊，因為網(wǎng)絡攻擊者知道如何竊取特權訪問憑證，并在幾個月內(nèi)不被發(fā)現(xiàn)地破壞網(wǎng)絡。

（10）在過去兩年中，每次勒索軟件事件給受害者造成的平均損失增加了一倍多，達到26000美元，95%的事件造成的損失在100萬至225萬美元之間。隨著網(wǎng)絡攻擊者以那些因關閉系統(tǒng)而損失最大的行業(yè)為目標，勒索軟件支付的金額繼續(xù)創(chuàng)下紀錄。正如《2023年數(shù)據(jù)泄露調(diào)查報告》指出的那樣，金融服務和制造業(yè)成為受影響最嚴重的行業(yè)并不奇怪。

對于《2021年數(shù)據(jù)泄露調(diào)查報告》,Verizon公司引用了美國聯(lián)邦調(diào)查局（FBI）的數(shù)據(jù)，發(fā)現(xiàn)勒索軟件攻擊事件的平均損失為11150美元。2020年，勒索軟件攻擊事件的平均損失為8100美元，2018年僅為4300美元。因此，在五年內(nèi)，勒索軟件攻擊事件的平均損失增加了兩倍。

今年24%的網(wǎng)絡攻擊事件涉及勒索軟件，繼續(xù)作為主要攻擊策略呈長期上升趨勢?！?023年數(shù)據(jù)泄露調(diào)查報告》指出，有組織犯罪攻擊者的所有事件中有62%發(fā)現(xiàn)了勒索軟件，所有以經(jīng)濟為目標的事件中有59%發(fā)現(xiàn)了勒索軟件。Verizon公司對2022年的分析發(fā)現(xiàn)，勒索軟件漏洞與前一年相比增加了13%。隨著這一趨勢的延續(xù)和勢頭的增強，勒索軟件攻擊數(shù)量在2022年至2023年間翻了一番多，從2022年的25%上升到今年的62%。

32%以上的Log4j漏洞掃描發(fā)生在網(wǎng)絡攻擊者發(fā)現(xiàn)漏洞之后的前30天。Verizon公司在報告中指出，在網(wǎng)絡攻擊者發(fā)現(xiàn)漏洞17天之后，漏洞利用就達到了頂峰。Log4j漏洞的快速利用說明了企業(yè)必須更快地響應新威脅的原因。他們必須在發(fā)現(xiàn)漏洞時優(yōu)先修補和更新系統(tǒng)。這包括應用所有軟件和系統(tǒng)安全補丁。健壯的漏洞管理程序可以幫助企業(yè)在網(wǎng)絡攻擊者利用漏洞之前識別和修復漏洞。

金融和保險行業(yè)74%的數(shù)據(jù)泄露涉及個人數(shù)據(jù)泄露，遠遠領先于所有行業(yè)。相比之下，其他行業(yè)的個人數(shù)據(jù)泄露情況要少得多：34%的住宿和餐飲服務行業(yè)的數(shù)據(jù)泄露是由于個人數(shù)據(jù)泄露造成的，而教育服務行業(yè)的這一數(shù)字為56%。

網(wǎng)絡攻擊者經(jīng)常利用憑證和勒索軟件攻擊金融機構，這就解釋了金融行業(yè)在個人數(shù)據(jù)泄露攻擊方面領先于其他所有行業(yè)的原因。

回顧過去，在所有行業(yè)中，2021年83%的數(shù)據(jù)泄露是由于個人數(shù)據(jù)泄露造成的。根據(jù)Verizon公司發(fā)布的《2023年數(shù)據(jù)泄露調(diào)查報告》，網(wǎng)絡應用程序攻擊、系統(tǒng)入侵和其他錯誤導致了79%的金融和保險違規(guī)行為。

網(wǎng)絡安全支出是對信任的商業(yè)投資

Verizon公司在今年發(fā)布的研究報告指出，越來越多的人了解網(wǎng)絡攻擊者如何利用借口和先進的數(shù)字欺詐形式改變威脅格局。該報告的主要發(fā)現(xiàn)是，盡管網(wǎng)絡安全支出有所增加，但違規(guī)行為正變得越來越頻繁和復雜，這凸顯出需要一種更加集成、統(tǒng)一的網(wǎng)絡安全方法，而不是讓身份安全成為偶然。

不出所料，24%的違規(guī)行為涉及勒索軟件，這表明網(wǎng)絡攻擊者越來越多地針對那些因業(yè)務中斷而損失最大的行業(yè)進行攻擊。勒索軟件攻擊事件的平均損失增加，使備份和事件響應策略更加必要，以盡量減少損失。Verizon公司在關于Log4j漏洞被迅速利用的報告中指出，企業(yè)需要迅速采取行動應對新的威脅，其中一些方法是加快打補丁和更新系統(tǒng)。

總而言之，《2023年數(shù)據(jù)泄露調(diào)查報告》強調(diào)了企業(yè)重新考慮其網(wǎng)絡安全戰(zhàn)略的必要性。他們必須考慮人為因素，其中包括內(nèi)部威脅以及攻擊策略的發(fā)展速度。企業(yè)必須創(chuàng)造一種超越IT部門的網(wǎng)絡安全文化，這是一種提高警惕性、彈性和不斷適應不斷變化的威脅的文化。