近期，Verizon發布《2022年數據泄露調查報告》（DBIR）。報告指出，2022年數據泄露事件中82%的違規行為涉及人為因素，勒索軟件泄露事件增加了13%，超過過去五年的總和。

概述

過去的2022年在許多方面都是不平凡的，但就網絡犯罪世界而言，數據泄露無疑是最觸目驚心的。從公開的關鍵基礎設施攻擊到大規模的供應鏈破壞，出于經濟動機的犯罪分子和邪惡的APT組織在過去12個月中十分猖獗。今年，DBIR團隊分析了23896個安全事件，其中5212個是確定的數據泄露事件。該報告研究相關數據對上述行為及其他針對企業的常見行動類型能夠帶來哪些啟示。

關鍵要點對數據資產產生危害的主要路徑

報告指出，目前有四個主要途徑會威脅到數據資產：憑證竊取、網絡釣魚、漏洞利用和僵尸網絡。該報告的各部分都將提及這四種方式。對于這四個主要問題，沒有一個組織是安全的，也沒有一個計劃能夠處理所有這些問題。

在非錯誤操作/誤操作范圍內的攻擊方式枚舉

勒索軟件持續上升

今年，勒索軟件繼續保持上升趨勢，同比增加了近13%。這一增長幅度相當于過去五年的總和。更重要的是，勒索軟件本身是一個將組織的訪問權變現的模式。阻止上述四個關鍵路徑是有助于阻止勒索軟件入侵網絡的最常見辦法。

勒索軟件的增長趨勢

供應鏈是大部分系統入侵事件的罪魁禍首

《2021年數據泄露調查報告》說明了一個關鍵的供應鏈漏洞如何導致廣泛的后果。今年62%的系統入侵事件是由供應鏈造成的。與出于經濟動機的行為者不同，APT組織可以通過權限繞過漏洞，在系統中維持權限并持續訪問。

低級失誤仍是主要問題

錯誤仍然是主要趨勢，是13%違規行為的主要原因。這一問題很大程度上是受配置錯誤的云存儲影響。雖然這是連續第二年看到這種問題的占比略有下降，但員工造成的錯誤不應被忽視。

違規事件中的錯誤配置隨時間推移的變化趨勢

人為因素繼續導致違規行為的產生

今年，82%的違規事件涉及人為因素。無論是憑證丟失、網絡釣魚、誤用等簡單的錯誤，人在安全事件和數據漏洞事件中始終扮演著非常重要的角色。

事件模式分類

DBIR在2014年首次引入了事件模式分類，去年由于攻擊類型和威脅態勢的變化，模式分類發生一些合并與改變，由原來的九個模式變化為系統入侵、社會工程、基本Web應用程序攻擊、其他錯誤、拒絕服務、資產丟失和竊取、特權濫用與其他共八種模式。

1、系統入侵

這種模式往往包括十分復雜的漏洞和攻擊方式，利用多個攻擊行動——如社工、惡意軟件和黑客攻擊組合而成。在這一模式中發現了很多供應鏈漏洞和勒索軟件，這兩種情況尤其在今年急劇增加。

在該報告所分析的所有事件中，屬于該模式的有7013起，其中1999起確認有數據泄露的情況。

2、社會工程

82%的違規事件的關鍵驅動因素仍然是人為因素，該模式覆蓋了很大比例的漏洞。此外，惡意軟件和被盜憑證是第二關鍵驅動因素，強調了擁有安全意識的重要性。

在該報告所分析的所有事件中，屬于該模式的有2249起，其中1063起確認有數據泄露的情況。

這些攻擊分為釣魚攻擊和電話竊聽攻擊，通常與商業電子郵件（BEC）攻擊有關。

3、基本Web應用程序攻擊

在基本Web應用程序攻擊(BWAA)中，主要關注直接攻擊目標，即一個組織公開基礎設施，如對Web服務器的攻擊。這些攻擊一般是通過使用被盜憑證或利用漏洞來實現。

這種模式的攻擊分為兩個方向。首先是通過憑據、漏洞或暴破的方式訪問服務器的方法，其次是基于有效載荷，如用于保持持久性訪問的后門。

在該報告所分析的所有事件中，屬于該模式的有4751起，其中1273起確認有數據泄露的情況。

自2017年以來，被盜憑證的數量增加了近30%，這使它在過去四年中成為最容易獲取機構信息的方法之一。經濟因素是發動基本Web應用程序攻擊的最主要動機。

4、其他錯誤

雖然數年來大多數模式都發生了變化，但人為因素始終存在。在2015年，大多數的錯誤是媒體資產(文件)的錯誤交付，而錯誤配置在數據泄露事件中占了不足10%。然而，今年錯誤配置和錯誤交付已經相互融合。

在該報告所分析的所有事件中，屬于該模式的有715起，其中708起確認有數據泄露的情況。

5、拒絕服務

拒絕服務是網絡安全事件中最常見的一種模式類型。這種模式包括通過僵尸網絡或被入侵的服務器，向目標計算機發送垃圾數據，從而制造網絡堵塞與服務器癱瘓，造成拒絕服務/無法正常訪問。

在該報告所分析的所有事件中，屬于該模式的有8456起，其中4起確認有數據泄露的情況。

此種攻擊行為發生在各行各業當中，但是大部分組織一年中受到此種攻擊行為的次數均少于10次。

6、資產丟失和竊取

這種模式的盛行是由經濟動機驅動的——許多盜竊犯作案的目的在于通過出售被盜資產從而迅速獲得收益。受這些事件影響的數據類型與去年幾乎完全相同。盜竊行為通常由外部行為者實施，而員工則要為丟失資產負責。

在該報告所分析的所有事件中，屬于該模式的有885起，其中81起確認有數據泄露的情況。

7、特權濫用

特權濫用是指使用員工的合法訪問權限來竊取數據的模式。他們通常單獨行動，但有時也會與他人一起行動。這種模式幾乎完全是內部人員惡意使用訪問特權來造成破壞。個人數據仍然是這些泄露最常見的數據類型。

在該報告所分析的所有事件中，屬于該模式的有275起，其中216起確認有數據泄露的情況。

區域調查結果

DBIR報告的調查區域如下：

亞太地區（APAC）：包括南亞、東南亞、中亞、東亞和大洋洲；

歐洲、中東和非洲（EMEA）：包括北非、歐洲和北亞、西亞；

北美（NA）：主要包括美國和加拿大；

拉丁美洲和加勒比地區（LAC）：南美洲、中美洲和加勒比海。

亞太地區（APAC）

在亞太地區，社工和黑客攻擊的案件數量很多，但勒索軟件的案件數量遠遠低于其他地區。

各種模式在亞太地區的數據泄露事件中所占比例

歐洲、中東和非洲（EMEA）

社工在該地區的增多說明了需要相關控制措施來快速檢測此類攻擊。憑證盜竊仍然是一個大問題，Web應用程序攻擊在歐洲、中東和非洲的持續存在就說明了這一點。

各種模式在歐洲、中東和非洲的數據泄露事件中所占比例

北美（NA）

系統入侵已成為該地區的主要風險。隨著系統入侵的增加，社工逐步讓位，但在北美，像網絡釣魚等社會行為也是很大的問題。Web應用攻擊也繼續困擾著這里的組織。

各種模式在北美的數據泄露事件中所占比例

拉丁美洲和加勒比地區（LAC）

與世界其他地區一樣，拉丁美洲的企業面臨著針對其業務運作的攻擊，如勒索軟件和拒絕服務攻擊。這些攻擊分別占該地區安全事件的37%和27%。

各種模式在拉丁美洲和加勒比地區的數據泄露事件中所占比例