根据Verizon的2024年数据泄露调查报告,利用漏洞作为初始切入点几乎比前一年增加了三倍,占所有漏洞的14%,该报告分析了2023年创纪录的30,458起安全事件和10,626起已确认的漏洞。
这一激增主要是由勒索软件行为者针对未修补系统和设备(零日漏洞)的漏洞攻击频率增加。MOVEit软件漏洞是这些网络攻击的最大驱动力之一,首先是在教育领域,后来蔓延到金融和保险业。
Chris Novak, Sr.说:“勒索软件行为者利用零日漏洞仍然是对保护企业的持续威胁。”Verizon Business网络安全咨询总监。
人工智能的兴起与大规模漏洞管理中的挑战相比,人工智能的兴起可能缓解了一些焦虑。Novak说:“虽然采用人工智能来获取有价值的公司资产是一个令人担忧的问题,但未能修补基本漏洞使威胁者不需要推进其方法。”
对CISA已知漏洞(KEV)目录的分析显示,在补丁可用后,组织平均需要55天才能补救50%的关键漏洞。与此同时,在互联网上检测CISA KEV大规模利用的中位数时间为五天。
IDC安全服务研究副总裁Craig Robinson说:“今年的DBIR发现反映了当今的CISO必须驾驭的不断变化的格局——平衡了比以往更快地解决漏洞的需求,同时投资于与勒索软件和网络安全卫生相关的持续员工教育。” “本报告中检查的事件的广度和深度为了解了漏洞是如何发生的提供了一个窗口,尽管复杂性低,但事实证明,对企业来说仍然非常昂贵。”
去年,15%的漏洞涉及第三方,包括数据保管人、第三方软件漏洞和其他直接或间接供应链问题。该指标是2024年DBIR的新指标,比2023年DBIR中描述的上一期增长了68%。
人为因素仍然是网络犯罪分子的主要切入点
68%的违规行为,无论是否包括第三方,都涉及非恶意的人为因素,即一个人犯错或成为社会工程攻击的猎物。这个百分比与去年差不多。一个潜在的抵消力量是报告实践的改进:20%的用户在模拟参与中识别并报告了网络钓鱼,11%的点击电子邮件的用户也报告了网络钓鱼。
Novak补充说:“人为因素在违规行为中的持续存在表明,在网络安全培训方面仍有很大的改进空间,但自我报告的增加表明了文化变化,这种变化消除了人为错误的污名,并可能有助于阐明普通劳动力中网络安全意识的重要性。”
今年报告的其他关键发现包括:
- 32%的漏洞涉及某种类型的敲诈勒索技术,包括勒索软件
- 在过去的两年里,大约四分之一(24%至25%)的财务动机事件涉及借口
- 在过去的10年里,使用被盗的凭据几乎出现在所有违规行为的三分之一(31%)中
- 欧洲、中东和非洲地区有一半是内部的
- 间谍袭击继续在亚太地区占主导地位
“Verizon 2024数据泄露调查报告显示,仍然是基本的安全错误使组织面临风险,例如发现和修补漏洞之间的长窗口,以及员工在识别诈骗方面接受的培训不足。这需要作为优先事项改变,因为任何企业都负担不起网络卫生赌博或冒险。看看Change Healthcare,漏洞是通过无担保员工证书执行的,该组织现在面临超过10亿美元的损失。Closed Door Security首席执行官William Wright告诉Help Net Security,没有其他组织愿意处于这个位置。”
暂无评论内容