調查: 74%的資料洩露始於人為疏失或社交工程攻擊

DBIR 2023 資料洩露報告的關鍵發現

• 人員是主要的初始攻擊面
  金融服務和製造業是攻擊者的首選，因為這些企業必須按時交付產品和服務存。人員是主要的初始攻擊面，與針對人員的社交工程攻擊組合是最常見的初始攻擊策略。
  
  根據最近兩份Verizon DBIR報告，許多資料洩露都涉及人為疏失。根據2023年的報告，74%的資料洩露始於人為疏失、社交工程或濫用。在去年的報告中，這個數字甚至更高，為82%。2021年的DBIR報告中只有35%的資料洩露始于人為錯誤。
   
• 五分之一的資料洩露(19%)來自內部。
  內部攻擊是CISO的噩夢，因為識別和阻止此類資料洩漏行為非常具有挑戰性。這就是為什麼具備AI和機器學習技術安全供應商的產品路線圖上經常會出現「內部威脅緩解」。同時，資安廠商也正在探索或收購公司以加強平臺對內部威脅的防禦能力。如，CrowdStrike去年收購Reposify等案例。
   
• 系統入侵、Web應用程式攻擊和社交工程是主要的攻擊策略。
  兩年前，在2021年DBIR報告中，基本Web應用程式攻擊占資料洩漏事件的39%。相比之下，2023年的DBIR報告發現系統入侵、基本Web應用程式攻擊和社交工程攻擊占比迅速提高，占資料洩漏事件的77%。
  
  Web應用程式攻擊持續增長意味著企業需要更有效地採用基於零信任的Web應用安全和跨企業安全網路訪問。專家建議企業採用ZTNA方案來保護用戶訪問，用Web應用程式防火牆(WAF)來保護應用程式的攻擊面。
  
  系統入侵是有豐富經驗的攻擊者經常使用的策略。以系統入侵為目標，攻擊者使用各種技術，包括網路釣魚、竊取憑證、後門和漏洞來策劃攻擊，遍歷組織的環境和節點，並用勒索軟體感染網路及系統。
  
  社交工程攻擊的複雜性正在快速增長。今年的DBIR報告凸顯社交工程攻擊的盈利能力以及當今的攻擊手法高度複雜性。變臉郵件詐騙（BEC）占社交工程事件的50%以上。相比2022年社交工程攻擊僅涉及25%的資料洩漏事件。 
   
• 2023年95%的資料洩漏都是經濟驅動的，而不是國家間諜活動。
  每10起資料洩露事件中就有8起是犯罪組織發起的，95%的攻擊都是為了獲取經濟利益，通常涉及竊取客戶敏感性資料，而勒索軟體是首選武器。
  
  隨著攻擊者不斷磨練其社交工程技術，出於經濟動機的網路攻擊的百分比會繼續增加。經濟利益、企業/國家間諜活動、前雇員報復攻擊等都是主要動機。2022年的DBIR報告發現，90%的攻擊者都是為了經濟利益而發起攻擊，高於2021年的85%。
  
  經濟動機的占比躍升可歸因於更高的潛在勒索軟體收益，及成功率更高的多重攻擊策略。今年24%資料洩漏與勒索軟體攻擊相關，報告並預計關聯度持續增加。
   
• 2023年DBIR報告發現，攻擊者的漏洞利用在發現漏洞後平均第17天達到頂峰。
  而超過32%的Log4j漏洞掃描行為發生在漏洞披露的30天內，這表示企業必須更快地回應新威脅，在發現高危險漏洞時優先修補和更新系統，包括應用所有軟體和系統安全修補。
   
• 74%的金融和保險行業資料洩漏事件涉及個人資料洩露。
  相比之下，其他行業的個人資料洩露情況要少得多：34%的住宿和餐飲服務行業資料洩漏事件涉及個人資料洩露。不過，教育服務行業的個人資料洩漏占比為56%，僅次於金融行業。