从《2024年数据泄露调研报告》看数据安全防护要点
2024年5月,国际知名咨询机构Verizon发布2024年数据泄露调研报告《2024 Data Breach Investigations Report》。
该报告综合分析2022年11月1日到2023年10月31日之间,94个国家地区发生的3万多起安全事件和1万多起确认数据泄露事件的情况,并得出部分结论如下:
一、超过一半的数据泄露事件涉及非恶意人为错误,人是安全链条上的重要一环。
报告指出,人为因素在数据泄露事件中占比为68%,例如意外配置错误、社会工程欺诈和网络钓鱼攻击等。2021年,人为因素占数据泄露的85%,2022年下降到82%。2024年Verizon改变了该类事件统计方式,消除了内部恶意人员行为,于是降低为68%,但如果考虑内部恶意人员造成的数据泄露,该类别事件仍可能高达80%以上。这说明防范内部人员有意/无意数据泄露是当务之急。
二、利用漏洞攻击窃取数据的行为增加了三倍,需要持续增强网信系统漏洞发现和防御能力。
与前几年相比,利用漏洞作为入口点发起针对数据的攻击数量大幅增加,占比达到14%,比上一年增长了约三倍。部分原因是勒索软件利用未打补丁的软件和设备进行的攻击数量激增,这也表明数据资产的经济价值越来越高,已经成为恶意攻击者的首要目标,及时发现和弥补各类安全漏洞,尤其是应用系统漏洞依然是安全的重中之重。
三、由供应链攻击导致的数据泄露事件增长68%,供应链安全成为数据安全新防线。
供应链攻击是指通过合作伙伴进入,劫持软件开发流程和系统更新,以及利用开源或第三方软件中的漏洞等。2023年该类事件占所有事件的15%,较去年9%的比例有显著上升,同比增长68%。随着数据应用系统建构越来越复杂,确保供应链系统和人员安全必须提上议事日程。
四、人工智能目前还不是数据攻击者的主要对象。
报告指出,生成式人工智能的威胁主要是理论性和实验性的,从全球范围内收集的事件数据中,暂时没有发现任何迹象表明针对生成式人工智能的攻击从潜在影响上升为现实。
另外,报告其他主要发现还包括:
1.所有数据泄露中约有32%涉及某种勒索软件,勒索软件是92%的行业面临的最大威胁。
2.在过去2年中,大约四分之一以经济利益为动机的数据泄露事件都涉及攻击行动。
3.在过去10年中,几乎三分之一的数据泄露事件都涉及使用被盗身份凭证。
4.组织需要55天才能修复一半的漏洞,而攻击者对这些漏洞的大规模扫描只需5天即可完成。
