2024 年数据泄露调查报告_2024年数据泄露调查报告

根据 Verizon 的 2024 年数据泄露调查报告，利用漏洞作为初始切入点的情况几乎是上一年的两倍，占所有泄露事件的 14%，该报告分析了 2023 年创纪录的 30,458 起安全事件和 10,626 起已确认的泄露事件。

这一激增主要是由于勒索软件攻击者针对未修补的系统和设备上的漏洞（零日漏洞）发起的攻击频率不断增加所致。 MOVEit 软件泄露是这些网络攻击的最大驱动因素之一，首先发生在教育领域，后来蔓延到金融和保险行业。

勒索软件攻击者利用零日漏洞仍然是保护企业安全的持续威胁。

与大规模漏洞管理的挑战相比，人工智能的崛起并不是罪魁祸首，这可能缓解了一些焦虑。

虽然采用人工智能来获取宝贵的企业资产是一个即将出现的问题，但如果无法修补基本漏洞，威胁行为者就不需要推进他们的方法。

对 CISA 已知利用的漏洞 (KEV) 目录的分析显示，在补丁发布后，组织平均需要 55 天才能修复 50% 的关键漏洞。与此同时，在互联网上检测到 CISA KEV 大规模利用的中位时间为五天。

今年的 DBIR 调查结果反映了当今 CISO 必须应对的不断变化的形势，平衡比以往更快地解决漏洞的需求，同时投资于与勒索软件和网络安全卫生相关的持续员工教育。

本报告审查的事件的广度和深度为了解违规行为是如何发生的提供了一个窗口，尽管复杂性较低，但事实证明对企业来说代价高昂。

去年，15% 的违规行为涉及第三方，包括数据托管机构、第三方软件漏洞以及其他直接或间接的供应链问题。该指标是 2024 年 DBIR 的新指标，显示较 2023 年 DBIR 中描述的上一时期增长了 68%。

人为因素仍然是网络犯罪分子的主要切入点

68% 的违规行为，无论是否涉及第三方，都涉及非恶意的人为因素，即某人犯了错误或成为社会工程攻击的牺牲品。

这个比例与去年大致相同。一种潜在的抵消力量是报告实践的改进：20% 的用户在模拟活动中发现并报告了网络钓鱼，11% 点击电子邮件的用户也报告了这一情况。

违规行为中人为因素的持续存在表明，网络安全培训仍有很大的改进空间，但自我报告的增加表明文化发生了变化，消除了人为错误的污名，并可能有助于凸显网络安全培训的重要性。普通员工的网络安全意识。

今年报告的其他主要发现包括：

32% 的违规行为涉及某种类型的勒索技术，包括勒索软件；
在过去两年中，大约四分之一（24% 至 25%）的出于经济动机的事件涉及借口；
在过去 10 年中，几乎三分之一 (31%) 的违规行为中都出现了使用被盗凭证的情况；
欧洲、中东和非洲地区一半的覆盖范围是内部覆盖；

间谍攻击继续在亚太地区占据主导地位

2024 年数据泄露调查报告显示，使组织面临风险的仍然是基本安全错误，例如发现和修补漏洞之间的时间间隔较长，以及员工在识别诈骗方面缺乏培训。

这需要作为优先事项进行改变，因为没有企业能够承受网络卫生的赌博或冒险。看看 Change Healthcare，该漏洞是通过不安全的员工凭证执行的，该组织现在面临超过 10 亿美元的损失。没有其他组织愿意发现自己处于这种境地。

关注公众号网络研究观回复20240505获取图中资源。