全部文章分享

74%的資料洩露始於人為疏失或社交工程攻擊



      本文擷取自資安人

Verizon 2023年資料洩露調查報告(DBIR)顯示,儘管企業的網路安全支出有所增加,但網路安全的發展速度並未跟上攻擊者的步伐,資料洩漏的損失不但沒有緩解,反而更加嚴重。

專家建議企業不要嘗試同時保護所有攻擊面。建立基本網路安全衛生並逐步實施零信任,一次保護一個攻擊面。這是一種經過驗證的擴展零信任的方法,無需董事會為設備級投資提供資金。

DBIR 2023 資料洩露報告的關鍵發現

  • 人員是主要的初始攻擊面
    金融服務和製造業是攻擊者的首選,因為這些企業必須按時交付產品和服務存。人員是主要的初始攻擊面,與針對人員的社交工程攻擊組合是最常見的初始攻擊策略。

    根據最近兩份Verizon DBIR報告,許多資料洩露都涉及人為疏失。根據2023年的報告,74%的資料洩露始於人為疏失、社交工程或濫用。在去年的報告中,這個數字甚至更高,為82%。2021年的DBIR報告中只有35%的資料洩露始于人為錯誤。

     
  • 五分之一的資料洩露(19%)來自內部。
    內部攻擊是CISO的噩夢,因為識別和阻止此類資料洩漏行為非常具有挑戰性。這就是為什麼具備AI和機器學習技術安全供應商的產品路線圖上經常會出現「內部威脅緩解」。同時,資安廠商也正在探索或收購公司以加強平臺對內部威脅的防禦能力。如,CrowdStrike去年收購Reposify等案例。

     
  • 系統入侵、Web應用程式攻擊和社交工程是主要的攻擊策略。
    兩年前,在2021年DBIR報告中,基本Web應用程式攻擊占資料洩漏事件的39%。相比之下,2023年的DBIR報告發現系統入侵、基本Web應用程式攻擊和社交工程攻擊占比迅速提高,占資料洩漏事件的77%。

    Web應用程式攻擊持續增長意味著企業需要更有效地採用基於零信任的Web應用安全和跨企業安全網路訪問。專家建議企業採用ZTNA方案來保護用戶訪問,用Web應用程式防火牆(WAF)來保護應用程式的攻擊面。

    系統入侵是有豐富經驗的攻擊者經常使用的策略。以系統入侵為目標,攻擊者使用各種技術,包括網路釣魚、竊取憑證、後門和漏洞來策劃攻擊,遍歷組織的環境和節點,並用勒索軟體感染網路及系統。

    社交工程攻擊的複雜性正在快速增長。今年的DBIR報告凸顯社交工程攻擊的盈利能力以及當今的攻擊手法高度複雜性。變臉郵件詐騙(BEC)占社交工程事件的50%以上。相比2022年社交工程攻擊僅涉及25%的資料洩漏事件。 

     
  • 2023年95%的資料洩漏都是經濟驅動的,而不是國家間諜活動。
    每10起資料洩露事件中就有8起是犯罪組織發起的,95%的攻擊都是為了獲取經濟利益,通常涉及竊取客戶敏感性資料,而勒索軟體是首選武器。

    隨著攻擊者不斷磨練其社交工程技術,出於經濟動機的網路攻擊的百分比會繼續增加。經濟利益、企業/國家間諜活動、前雇員報復攻擊等都是主要動機。2022年的DBIR報告發現,90%的攻擊者都是為了經濟利益而發起攻擊,高於2021年的85%。

    經濟動機的占比躍升可歸因於更高的潛在勒索軟體收益,及成功率更高的多重攻擊策略。今年24%資料洩漏與勒索軟體攻擊相關,報告並預計關聯度持續增加。

     
  • 2023年DBIR報告發現,攻擊者的漏洞利用在發現漏洞後平均第17天達到頂峰。
    而超過32%的Log4j漏洞掃描行為發生在漏洞披露的30天內,這表示企業必須更快地回應新威脅,在發現高危險漏洞時優先修補和更新系統,包括應用所有軟體和系統安全修補。

     
  • 74%的金融和保險行業資料洩漏事件涉及個人資料洩露。
    相比之下,其他行業的個人資料洩露情況要少得多:34%的住宿和餐飲服務行業資料洩漏事件涉及個人資料洩露。不過,教育服務行業的個人資料洩漏占比為56%,僅次於金融行業。