热点点评 | 《2023年度数据泄露调查报告》发布一起捕捉关键信息 - 新鲜讯息

Verizon于6月份发布了《2023年度数据泄露调查报告》。天空卫士基于数据安全的视角，对本报告进行了简单解读和分析。

报告观察

在报告中，Verizon分析了16,312起事件，其中5,199起事件被认定为数据泄露事件。

本次泄露事件统计覆盖了11个行业，其中泄露事件最多的三个行业分别是公共事务(582起)、金融行业（477起）、信息技术（380起）。

统计地域覆盖了APAC（亚太）、EMEA（欧洲、中东、非洲）、NA（北美洲）、LAC（拉丁美洲及加勒比地区）。其中，亚太区域共有699起攻击事件，164起数据泄露事件，主要攻击类型为：社会工程学、系统攻击、基本网络应用攻击，93%的数据泄露事件都是由攻击行为导致的。

报告要点

根据2023年度数据泄露调查报告分析，造成数据泄露的主要内容有以下四点：

商业电子邮件钓鱼（BEC）攻击猖獗

对于网络犯罪分子来说，社会工程攻击通常非常有效且利润丰厚。也许这就是为什么商业电子邮件攻击（BEC）在整个统计事件中的占比较去年翻了一倍，高达50%以上。对于绝大多数企业来说，盗取凭证依然是犯罪分子获取数据的主要方法。

人是数据泄露事件的关键因素

74%的泄露事件是人为因素造成的，包括人为错误、滥用特权、凭证盗取或社会工程攻击；

83%的泄露事件来自于外部人员；

绝大多数攻击的主要动机是经济利益，占比达95%。

攻击者访问组织的三种主要方式是凭证窃取、网络钓鱼和漏洞利用。

勒索软件攻击居高不下

报告指出，勒索软件攻击在整个数据泄露事件中占比虽然没有大幅增长，稳定在24%左右，但它依旧是数据泄露事件中出现最频繁的攻击行为之一。勒索软件攻击非常普遍，遍布在各种规模的企业中。无论何种行业，何种领域，勒索软件攻击都有着巨大的威胁。

Log4j漏洞迅猛

超过32%的Log4j漏洞扫描发生在漏洞披露后的30天内（活动高峰发生在17天内）。企业需要对新威胁做出更迅速的响应，在发现高危漏洞时优先修补和更新系统，包括所有应用软件和系统安全补丁。

如何防护新型的网络攻击

是组织需要解决的难题

尽管企业的网络安全支出在不断增加，但网络安全的发展速度并未跟上攻击者的步伐，数据泄露不但没有缓解，反而更加严重。

受利益驱动，对数据的争夺将会更加激烈，数据泄露事件的数量呈逐年增高的趋势。在实际利益的驱动下，犯罪团伙和黑灰产大肆窃取组织数据，外部攻击呈现出高频、高危害的特点，攻击手法日益复杂、多变，专业化、定制化程度不断上升。数据泄露的规模正在增长，给企业带来的威胁也在持续增加。传统防护体系难以抵御，如何防护新型的网络攻击是组织需要解决的难题。

新形势下，数据安全的特点也发生了变化。首先，传统的隔离手段不再能很好的保护数据资产；其次，分类分级的支持成为了数据安全的基础，同时从安全的角度来看，分类分级极大地减少了各种成本；第三点，敏感数据分布在各处，数据安全的覆盖面从能力上应当覆盖企业IT全貌；第四点，数据安全不可忽略人的因素。因此，数据安全的策略涉及人、应用、数据分类分级，需要在整个数据安全体系中进行统一。

数据防泄露的建议

常见的数据防泄露产品有终端数据防泄露、网络数据防泄露、存储数据防泄露，但是数据的流转和存储通道远不至于此，比如邮件、手机、应用、云端，这些被忽略的通道，往往成为数据泄露的重灾区。而且随着数据威胁的上升，数据内容防护变得愈发复杂，数据安全应该不只是基于内容的安全，需要与API攻击、防钓鱼、恶链和人工智能与行为分析相融合以达到更好的防护效果。对于当前的数据泄露，有如下建议：

数据防泄露技术将与威胁检测相集成

DLP可以集成高级数据风险扫描引擎，采用 “本地+云端”实时查杀技术，实时应对最新的病毒、木马、网络威胁、未知威胁等，在威胁到达网络之前进行拦截，全方位持续地保护企业网络安全。

数据防泄露技术与数据安全治理相结合

而数据资产的防泄露，就是数据安全治理流程体系所输出的能力检验标准之一，也是业务数据安全建设的关键技术支撑能力。所以做数据安全治理必须首先建设数据防泄露体系。

人工智能与行为分析加入数据防泄露体系

将行为分析技术与数据保护体系相结合的主动、持续、自适应的防御体系，在实现数据安全保护功能的基础上，能够根据用户的操作行为，实现用户行为的可视化，判断每个用户的风险等级并快速定位风险用户和高危威胁事件，预测可能会发生的威胁风险事件，防患于未然，从而实现智能化、自动化、高效率的主动防御。

建立数据安全治理的自动化平台

围绕着企业在数据安全的现状及痛点,越来越多的数据安全自动化相关的处理工具，包括数据建模、数据分类分级、数据识别等自动化辅助工具将协助企业在建立数据安全治理的制度后,将制度更有效地实施。系统通过自动化的工作流,将不同的数据安全技术工具实践结合在一起,为数据安全治理提供了一个完整、可落地的数据安全治理解决方案。

什么是最佳产品，没有统一答案。1000家企业就会有1000家不同的数据安全管理方法。所以从实践的角度来说，一定要选择一个适合自身发展阶段的模式。先了解自身数据流动的情况，通过可视化，通过对事件的处理、展现，来了解数据安全真正需要关注的重点在哪儿。

其次，数据安全是一个结构性的问题，需要体系化的解决方案。人员、制度和技术三者相辅相成，缺一不可。数据安全与传统的安全体系不同，需要有深刻的合规、业务等知识支撑。因此，对人员、组织结构等方面都有较高的要求，不可能一步到位，需要一个循序渐进的过程。

（本文作者：北京天空卫士网络安全技术有限公司张文礼）

CCIA数据安全工作委员会单位介绍

北京天空卫士成立于 2015 年，总部设立在北京经济技术开发区。作为中国数据安全治理技术的倡导者和引领者，天空卫士致力于发展以人和数据为核心的新一代数据安全技术，融合统一内容安全技术（UCS）和内部威胁管理技术（ITM）为基础，创立了内部威胁防护技术体系（ITP）。公司分别在北京、成都和上海设有大型研发创新中心，并在上海、广州、深圳、长沙、福州、成都、济南、南京、沈阳、杭州、苏州、武汉、郑州、青岛、西安等地设立办事处。