Verizon于6月份发布了《2023年度数据泄露调查报告》。天空卫士基于数据安全的视角,对本报告进行简单解读和分析。
报告观察
在报告中,Verizon分析了16,312起事件,其中5,199起事件被认定为数据泄露事件。
本次泄露事件统计覆盖了11个行业,其中泄露事件最多的三个行业分别是公共事务(582起 )、金融行业(477起)、信息技术(380起)。
统计地域覆盖了APAC(亚太)、EMEA(欧洲、中东、非洲)、NA(北美洲)、LAC(拉丁美洲及加勒比地区)。其中,亚太区域共有699起攻击事件,164起数据泄露事件,主要攻击类型:社会工程学、系统攻击、基本网络应用攻击,93%的数据泄露事件都是由攻击行为导致的。
报告要点
01-商业电子邮件钓鱼(BEC)攻击
对于网络犯罪分子来说,社会工程攻击通常非常有效且利润丰厚。也许这就是为什么商业电子邮件攻击(BEC)在整个统计事件中的占比较去年翻了一倍,占比高达50%以上。对于绝大多数企业来说,盗取凭证依然是犯罪分子获取数据的主要方法。
74%的泄露事件是人为因素造成的,包括人为错误、滥用特权、使用被盗凭证或社会工程攻击;
83%的泄露事件来自于外部人员;
绝大多数攻击的主要动机是经济利益,占比达95%。
03-勒索软件攻击居高不下
报告指出,勒索软件攻击在整个数据泄露事件中占比虽然没有大幅增长,稳定在24%左右,但它依旧是数据泄露事件中出现最频繁的攻击行为之一。勒索软件攻击非常普遍,遍布在各种规模的企业中。无论何种行业,何种领域,勒索软件攻击都有着巨大的威胁。
04-Log4j漏洞迅猛
超过32%的Log4j漏洞扫描发生在漏洞披露后的30天内(活动高峰发生在17天内)。企业需要对新威胁做出更迅速的响应,在发现高危漏洞时优先修补和更新系统,包括所有应用软件和系统安全补丁。
如何防护新型的网络攻击是组织需要解决的难题
尽管企业的网络安全支出在不断增加,但网络安全的发展速度并未跟上攻击者的步伐,数据泄露不但没有缓解,反而更加严重。
受利益驱动,对数据的争夺将会更加激烈,数据泄露事件的数量呈逐年增高的趋势。在实际利益的驱动下,犯罪团伙和黑灰产大肆窃取组织数据,外部攻击呈现出高频、高危害的特点,攻击手法日益复杂、多变,专业化、定制化程度不断上升。数据泄露的规模正在增长,给企业带来的威胁也在持续增加。传统防护体系难以抵御,如何防护新型的网络攻击是组织需要解决的难题。
新形势下,数据安全的特点也发生了变化。
首先,传统的隔离手段不再能很好的保护数据资产;
其次,分类分级的支持成为了数据安全的基础,同时从安全的角度来看,分类分级极大地减少了各种成本;
第三点,敏感数据分布在各处,数据安全的覆盖面从能力上应当覆盖企业IT全貌;
第四点,数据安全不可忽略人的因素。因此,数据安全的策略涉及人、应用、数据分类分级,需要在整个数据安全体系中进行统一。
数据防泄露的建议
01-数据防泄露技术将与威胁检测相集成
DLP可以集成高级数据风险扫描引擎,采用 “本地+云端”实时查杀技术,实时应对最新的病毒、木马、网络威胁、未知威胁等,在威胁到达网络之前进行拦截,全方位持续地保护企业网络安全。
02-数据防泄露技术,与数据安全治理相结合
数据资产的防泄露,就是数据安全治理流程体系所输出的能力检验标准之一,也是业务数据安全建设的关键技术支撑能力。所以做数据安全治理必须首先建设数据防泄露体系。
03-人工智能与行为分析,加入数据防泄露体系
将行为分析技术与数据保护体系相结合的主动、持续、自适应的防御体系,在实现数据安全保护功能的基础上,能够根据用户的操作行为,实现用户行为的可视化,判断每个用户的风险等级并快速定位风险用户和高危威胁事件,预测可能会发生的威胁风险事件,防患于未然,从而实现智能化、自动化、高效率的主动防御。
04-建立数据安全治理的自动化平台
围绕着企业在数据安全的现状及痛点,越来越多的数据安全自动化相关的处理工具,包括数据建模、数据分类分级、数据识别等自动化辅助工具将协助企业在建立数据安全治理的制度后,将制度更有效地实施。通过自动化的工作流,将不同的数据安全技术工具实践结合在一起,为数据安全治理提供了一个完整、可落地的数据安全治理解决方案。
什么是最佳产品,没有统一答案。1000家企业就会有1000家不同的数据安全管理方法。所以从实践的角度来说,一定要选择一个适合自身发展阶段的模式。先了解自身数据流动的情况,通过可视化,通过对事件的处理、展现,来了解数据安全真正需要关注的重点在哪儿。
其次,数据安全是一个结构性的问题,需要体系化的解决方案。人员、制度和技术三者相辅相成,缺一不可。数据安全与传统的安全体系不同,需要有深刻的合规、业务等知识支撑。因此,对人员、组织结构等方面都有较高的要求,不可能一步到位,需要一个循序渐进的过程。
想了解更多数据安全知识、技术、产品、方案的“童鞋”,可以持续关注我们。