专家解读 | 最猖獗的威胁、最严重的行业······深入《2023数据泄露调查报告》

关于数据安全面临的威胁挑战，Verizon发布的数据泄露调查报告（DBIR）提供了重要的观点。美创科技也在持续关注，在过去几年多次解读，旨在帮助各行业用户更全面更细致洞察安全事件与泄露事件的动态与趋势。

最近，美国通信运营商Verizon再次发布第16份年度数据泄露调查报告——《2023数据泄露调查报告》（以下简称：2023DBIR），本次报告依然基于大量现实事件进行分析，共计16,312起安全事件和5,199起数据泄露事件。本文将对报告中的重要发现及观点进行提炼分享。

分为：外部威胁、内部威胁、合作伙伴

-  过去一年数据安全泄露事件中，外部攻击者占比高达83%，内部攻击者则占19%。

-  内部行为者不仅要为蓄意攻击负责，而且要为自身的错误行为负责。

-  无论外部威胁、内部威胁、还是合作伙伴，背后的动机95%出于经济利益的目的，与去年相比继续保持增长。

-  内部的各种违规行为更加频繁，大多涉及误用或错误操作，表明组织应该在日常安全管理方面给予更多关注。

-  由于俄乌持续冲突，国家支持的间谍攻击活动将会增加。相关事件证明，因地缘政治而引发意识形态或黑客行动相关攻击有所增加，但从更大的统计角度来看，这并未对普通企业和用户造成极大影响。

威胁行为，包括：黑客攻击、恶意软件、误操作、社会工程学攻击、滥用、物理威胁、自然灾害。

-  特权账号或凭据的窃取和非法使用是数据泄露最为关键攻击手段。

-  勒索软件攻击依然令人担忧，虽然实际增长并不明显，但依然占所有数据泄露事件的24%。

-  在有组织犯罪分子实施的攻击事件中，超过62%的事件涉及勒索软件，59%的事件涉及经济动机。值得注意的是，与去年的“软件供应链末日”相比，今年没有供应商和软件供应链作为事件的行动向量。

- 全球都在Log4j漏洞下瑟瑟发抖。在这一次事件中，组织应迅速采取行动，加快打补丁和更新系统，避免了更大的灾难。

- 在黑客攻击中，最主要的攻击向量是WEB应用。

- 在社工攻击中，最主要的威胁行为样式是钓鱼。

资产分为：Server（服务器）、Person（人员）、User（用户设备如：PC、手机等）、Network（广泛覆盖网络、路由、网络安全设备等）、Media（媒介）等。

-  人也是组织核心资产之一，是组织的最后一道防线，且在未来几年内会继续保持在第二的位置，而服务器一直排在第一位。

-  Web应用程序和邮件服务器是影响最大的两类资产，而随着社会工程学的陆续发展，个人财务资产从去年开始呈现上升趋势。

-  和IT行业相比，OT领域虽然占比较少但同样受到影响。随着计算机技术大规模应用至传统工控组织、关基组织，OT遭受攻击的可能性在上升，其中制造业、采矿业、采石业、油气开采和公用事业等行业具有代表性。

-  报告数据显示，只有3.4% OT资产公开承认受到影响，考虑到系统的保密性和国家安全，真正能够公开数据和案例属于少数，真实的情况可能远远大于整个数值。

安全有三大属性，分别是机密性、完整性和可用性。通过描述资产的哪些属性可能受到影响，这是一种经过验证的理解事件潜在影响的方法。因此，安全人员在评估安全事件时，应首要考虑“资产或数据的副本是否泄露”(机密性)，“已知和可信的状态是否改变”(完整性)，“组织能否继续访问”(可用性)。

数据机密性，是DBIR报告一直以来关注的重点。2023DBIR提到，对过去一年数据泄露事件分析，个人信息、凭证信息、内部信息是泄露最为严重的种类。

此外有一个数据品种引起了DBIR团队的注意：虚拟货币。今年涉及加密货币的入侵数量比去年增加了四倍，与2020年相比更是相去甚远。涉及虚拟货币的网络攻击主要是漏洞利用、凭证窃取、网络钓鱼等。

-  利用漏洞、盗取凭证、网络钓鱼是攻击者系统入侵的主要手段。

-  高达80%的系统入侵事件涉及勒索软件，91%的受访企业将勒索软件攻击作为其主要事件之一。

-  过去两年，每个勒索软件攻击导致的损失成本中位数却近乎翻了一番，已达到26000美元，95%的攻击事件损失在1万至225万美元之间。

- 共计有3966起系统入侵事件，其中1944起发生数据泄露。

-  社会工程事件与前一年相比有所增加。

-  商业电子邮件入侵（BEC）攻击中常用的网络钓鱼和“伪装”手段几乎主导了社会工程模式。

-  BEC商业电子邮件入侵的本质是依赖于使用假身份欺骗受害者，通常情况下，犯罪分子将伪装成受害者的同事或供应商，并要求他们进行付款或发送一些敏感数据。

- 在该报告所分析的所有事件中，属于社会工程的有1700起，其中928起发生数据泄露。

-  利用Web应用程序的漏洞进行攻击，占据2023DBIR数据泄露事件的四分之一；

-  攻击者往往通过盗用凭证或利用应用程序中的漏洞来获得对包含敏感信息（例如个人或财务数据）的数据库的未授权访问；

-  SQL注入攻击值得关注；

-  在报告所分析的所有事件中，属于该模式的有1404起，其中1315起数据泄露。

-  人为错误仍然是网络攻击和数据泄露的最主要和最有效媒介。ElasticSearch数据库配置错误导致的大规模数据泄露。

-  2023 DBIR报告中：占比最高的是分发错误（把数据给了错误的接收人），高达43%；发布错误（将私密信息发到公开网站或者公开文档中）以23%位居第二。

-  错误配置导致的数据泄露排名第三，往往由系统管理员、开发人员引起。

-  共计有602起相关事件发生，其中有512起发生数据泄露。

-  拒绝服务攻击仍然无处不在，几年来一直是事件的高发点，但目前这一威胁正在逐步缓解。

-  DNS water torture拒绝服务攻击依然值得关注，组织需增强DNS服务器的性能和带宽，采用高性能的服务器和网络设备，提高DNS服务器的处理能力和抗攻击能力，

-  在该报告所分析的所有事件中，属于该模式的有6248起，其中4起确认有数据泄露的情况。

-  对于组织来说，资产丢失或窃取的模式仍然是一个问题，这是由于大量便携的设备存储数据的能力正在大幅增长。

-  经济利益是这类攻击的主要驱动因素，攻击者通过窃取数据等资产快速获得收益。

-  在该报告所分析的所有事件中，属于该模式的有2091起，其中159起确认有数据泄露的情况。虽然数据泄露确认的比例不到10%，但这并不意味着安全，相反因为很多事件的数据是“处于风险之中”，而不是“确认”。

-  特权滥用是指使用员工的合法访问权限来窃取数据的模式，这种模式几乎完全是内部人员恶意使用访问特权来造成破坏。

-  个人数据仍然是这些泄露最常见的数据类型。

-  值得注意内部员工的特权滥用正在日益与欺诈交易相结合，这一趋势更加严重

-  在该报告所分析的所有事件中，属于该模式的有406起，其中288起确认有数据泄露的情况。