近八成组织敏感数据遭泄露或入侵，2024年六大数据安全威胁趋势

2024年企业网络安全态势空前严峻。Forrester最近针对安全和风险管理专业人士的调查发现，近八成(78%)的受访者表示其组织的敏感数据在过去12个月中至少被泄露或入侵过一次。报告指出：“一次成功的网络攻击会成为未来攻击的信号弹。”对比2022年和2023年的安全调查数据，过去12个月内经历过6到10次攻击的受访者比例增加了13%。

48%的受访者曾遭遇过损失超过100万美元的网络攻击或数据泄露事件。其中大多数数据泄露事件的修复成本在200万至500万美元之间(27%)，还有3%的事件的修复成本超过1000万美元。

根据Verizon发布的2024年数据泄露调查报告（DBIR），当前数据安全领域的一些关键变化和新兴威胁如下：

• 漏洞利用激增

  2023年漏洞利用作为入侵的初始路径显著增加，占所有数据泄露事件的14%。这一增长主要受到勒索软件攻击者利用未修补的系统和设备漏洞（零日漏洞）的推动。MOVEit软件漏洞就是其中之一，最初影响教育行业，随后扩展到金融和保险行业。

• 人为因素依然是主要入口

  无论是否涉及第三方，全球68%的数据泄露事件都涉及非恶意的人为行为，这包括个人错误或成为社会工程攻击的受害者。尽管这一比例与去年相似，但报告中还指出，员工自我报告钓鱼攻击的比例有所增加，这表明网络安全意识正在逐渐提升。

• 勒索软件和敲诈技术盛行

  勒索软件和敲诈技术在过去一年中显著增长，占所有数据泄露事件的32%。尽管传统勒索软件攻击有所下降，但新的敲诈技术正在崛起，使得这类攻击的整体比例增加。

• 第三方风险上升

  报告还揭示，15%的数据泄露事件涉及第三方，包括数据托管方、第三方软件漏洞以及供应链问题。这一比例比前一年增加了68%，主要受到零日漏洞利用的推动。

• 修补漏洞的时间滞后

  根据报告，企业在补丁发布后平均需要55天才能修复50%的关键漏洞，而网络犯罪分子利用这些漏洞进行大规模攻击的中位时间仅为5天。这表明企业需要加快漏洞修补速度，以减少被攻击的风险。

• 网络钓鱼仍然高发

  网络钓鱼依然是主要的攻击手段之一，生成式人工智能技术的快速发展进一步加剧了网络钓鱼威胁。尽管员工识别和报告钓鱼攻击的能力有所提升，但用户点击恶意链接并输入数据的中位时间不到60秒，这凸显了网络钓鱼攻击的高效性和危险性。