Verizon 2023 資料外洩調查報告(DBIR)：74% 資料外洩源自人為疏失或社交工程攻擊

Verizon 2023資料外洩調查報告(DBIR)顯示，儘管企業的網路安全支出有所增加，但網路安全的發展速度並未跟上攻擊者的步伐，資料洩漏的損失不但沒有緩解，反而更加嚴重。

專家建議企業不要嘗試同時保護所有攻擊面，應建立基本網路安全並逐步實施零信任，一次保護一個攻擊面。這是經過驗證的零信任擴展方式，可減少企業在資安上所需投資的資金。

DBIR 2023 資料洩露報告的關鍵發現

• 人員是主要的初始攻擊面

  金融服務和製造業是攻擊者的首選，因為這些企業必須按時交付產品和服務。人員是主要的初始攻擊面，與針對人員的社交工程攻擊組合是最常見的初始攻擊策略。

  根據最近兩份 Verizon DBIR報告，許多資料外洩都涉及人為疏失。根據2023年的報告，74%的資料外洩始於人為疏失、社交工程或濫用。在2022年的報告中，這個數字更高達82%，相較於2021年的DBIR報告中只有35%的資料外洩始於人為錯誤，成長幅度超過兩倍。

• 五分之一的資料洩露(19%)來自內部。

  內部攻擊是CISO的噩夢，因為識別和阻止此類資料外洩行為非常具有挑戰性。這就是為什麼具備AI和機器學習技術的資安廠商產品組合中經常會出現「內部威脅緩解」。同時，資安廠商也正在探索或收購其他公司以加強自身平台對內部威脅的防禦能力。如，CrowdStrike 去年收購 Reposify 等案例。

• 系統入侵、Web應用程式攻擊和社交工程是主要的攻擊策略。

  在兩年前的2021年DBIR報告中，基本Web應用程式攻擊占資料外洩事件的39%，相比之下，2023年的DBIR報告發現系統入侵、基本Web應用程式攻擊和社交工程攻擊占比迅速提高，占資料洩漏事件的77%。Web應用程式攻擊持續增加，意味著企業需要更有效地採用基於零信任的Web應用安全和跨企業的安全網路存取。

  系統入侵是有豐富經驗的攻擊者經常使用的策略。以系統入侵為目標，攻擊者使用各種技術，包括網路釣魚、竊取憑證、後門和漏洞來策劃攻擊，遍及整個組織的環境和節點，並用勒索軟體感染網路及系統。社交工程攻擊的複雜性正在快速增長。今年的DBIR報告凸顯社交工程攻擊的盈利能力以及當今攻擊手法的高度複雜性。商業電子郵件詐騙（BEC）占社交工程事件的50%以上，較2022年社交工程攻擊僅涉及25%的資料外洩事件，成長了一倍。

• 2023年95%的資料外洩都基於經濟利益，而非國家間諜活動。

  每10起資料外洩事件中就有8起是犯罪組織發起的，95%的攻擊都是為了獲取經濟利益，且通常都是竊取客戶的敏感性資料，而勒索軟體是首選武器。隨著攻擊者不斷磨練其社交工程技術，出於經濟動機的網路攻擊的百分比會繼續增加。經濟利益、企業/國家間諜活動、前雇員報復攻擊等都是主要動機。

  2022年的DBIR報告發現，90%的攻擊者都是為了經濟利益而發起攻擊，高於2021年的85%。經濟動機的占比躍升可歸因於更高的潛在勒索軟體收益，及成功率更高的多重攻擊策略。今年24%資料洩漏與勒索軟體攻擊相關，報告並預估關聯度會持續增加。

• 2023年DBIR報告發現，攻擊者的漏洞利用在發現漏洞後平均第17天達到頂峰。

  超過32%的Log4j漏洞掃描行為發生在漏洞披露的30天內，這表示企業必須更快地回應新威脅，在發現高危險漏洞時應優先修補、更新系統，包括所有應用軟體和系統安全修補。

• 74%的金融和保險業資料外洩事件涉及個資洩露。

  教育服務業的個資洩漏佔比為56%，僅次於金融業；其他行業的個資洩露情況則比重較低，如住宿和餐飲服務業資料外洩事件涉及個資洩露的佔比為34%。

資料來源：資安人

針對上述調查結果，亞利安科技建議企業應採取技術、教育、流程和監控等綜合面向的措施，提高整體資安防禦能力，以預防、因應資料外洩露和其他資安事件，可執行的資安策略包括：

1.強化員工資安意識：

因為人員是主要的初始攻擊面，企業應該投入時間和資源來提高員工的資安意識，特別是針對社交工程攻擊的警覺性。進行定期的資安培訓和模擬演習、教育員工辨識釣魚郵件、商業電子郵件詐騙(BEC)等常見的攻擊手法。

2.內部威脅防禦：

有鑒於內部攻擊佔了資料外洩的五分之一，企業應加強內部威脅偵測和防範機制，以監控內部活動並及早發現異常行為。

3.強化Web應用程式安全：

考慮到系統入侵、Web應用程式攻擊和社交工程攻擊是主要的攻擊方式，企業應採用基於零信任的Web應用程式安全和跨企業的安全網路存取方案(ZTNA)。同時，使用Web應用程式防火牆(WAF)來保護應用程式免受攻擊。

4.快速回應漏洞揭露：

漏洞揭露後兩週左右即可能達被利用的高峰，因此企業應定期進行漏洞掃描並即時修補，漏洞修補和系統更新的速度非常重要。

5.加強個人資料保護：

金融和保險業的個資洩漏比重最高，但其他行業也存在相似的風險。企業應該加強對個資的保護，遵守相關的法規和標準，並實施適當的資料加密、存取控制和監控措施。

如需了解更多解決方案內容，歡迎與我們聯絡。