报告分析了2023年创纪录的30,458起安全事件和10,626起确认的泄露事件,比2022年增加了两倍。利用漏洞作为初始切入点的攻击几乎是上一年的三倍,占所有泄露事件的14%。这一激增主要是由于勒索软件攻击者针对未修补的系统和设备上的漏洞(零日漏洞)的攻击频率不断增加。MOVEit软件漏洞是这些网络攻击的最大驱动因素之一,首先发生在教育领域,后来蔓延到金融和保险行业。
勒索软件攻击者利用零日漏洞仍然是对企业安全的持续威胁。人工智能(AI)的崛起可能缓解一些担忧,因为与大规模漏洞管理的挑战相比,人工智能的崛起并不是罪魁祸首。虽然采用人工智能获取有价值的企业资产是一个即将出现的问题,但无法修补基本漏洞使得威胁行为者不需要改进他们的方法。
对网络安全基础设施和安全局(CISA)已知被利用漏洞(KEV)目录的分析显示,在补丁发布后,组织平均需要55天才能修复50%的严重漏洞。与此同时,在互联网上检测到CISAKEV大规模利用的平均时间为5天。
今年的调查结果反映了当今CISO必须应对的不断变化的形势——既要比以往任何时候都更快地解决漏洞,又要投资于与勒索软件和网络安全卫生相关的持续员工教育。本报告中研究的事件的广度和深度提供了一个窗口,让我们了解违规行为是如何发生的,尽管复杂性较低,但仍然会给企业带来巨大的损失。”
去年,15%的违规行为涉及第三方,包括数据保管人、第三方软件漏洞以及其他直接或间接的供应链问题。这一指标是2024年DBIR的新指标,与2023年DBIR中描述的前一时期相比增长了68%。
人为因素仍然是网络犯罪分子的大门
大多数违规行为(68%),无论是否涉及第三方,都涉及非恶意的人为因素,即一个人犯错或成为社会工程攻击的受害者。这一比例与去年大致相同。一个潜在的抵消力量是报告实践的改进:20%的用户在模拟活动中识别并报告了网络钓鱼,11%的点击电子邮件的用户也报告了网络钓鱼。
入侵事件中人为因素的持续存在表明网络安全培训方面仍有很大改进空间,但自我报告的增加表明文化发生了变化,人们不再对人为错误感到羞耻,并可能有助于强调普通劳动力中网络安全意识的重要性。
今年报告的其他主要发现包括:
● 所有违规行为中有32%涉及某种勒索手段,包括勒索软件
● 在过去两年中,大约四分之一(24%至25%)的以经济利益为目的的事件都涉及借口
● 在过去10年中,使用被盗凭证的情况几乎占所有违规行为的三分之一(31%)
● 欧洲、中东和非洲地区一半的覆盖范围是内部
● 间谍攻击继续在亚太地区占据主导地位
