2024数据安全：超过60%组织的DLP成熟度低

人是数据安全的关键变量

每年，一些漏洞和零日攻击都会成为安全团队的梦靥。但除了这些技术问题之外，大多数分析人士认识到，数据通常是由用户丢失的，而不是系统漏洞和配置错误。在这些情况下，潜在的原因可能是简单的粗心大意，凭据被威胁行为者窃取，或者在极端的例子中，恶意的内部人员利用特权访问窃取有价值的数据和知识产权。

更糟糕的是，影响各种规模组织的一些宏观因素使情况进一步复杂化。云工作流程改变了数据的存储、访问和同步方式；混合工作增加了使用敏感数据的环境数量；生成式人工智能正在吸取常见任务和机密数据反刍模型；足智多谋的威胁行为者正在不断创新，利用新兴技术来改进他们的战术。

综合考虑所有这些问题，我们有理由提出这样一个问题：当前的数据丢失防护（DLP）方法能否应对当今的挑战？为了回答这个问题，Proofpoint调查了全球600名安全专业人员，形成了《2024年数据丢失场景报告》，以揭示组织在解决数据丢失和内部威胁方面面临的诸多挑战。

关键发现

• “粗心的用户”是导致数据丢失的最主要原因；

• 生成式人工智能是最受关注且增长最快的领域；

• 85%的组织在过去一年中经历了一次或多次数据丢失事件；

• 只有38%的组织拥有“成熟的”DLP程序；

• 数据丢失是破坏性的：超过50%的受访者报告了业务中断的结果；

• 1%的用户对88%的数据丢失事件负责。

“粗心的用户”是导致数据丢失的最主要原因

在此次调查中，绝大多数（85%）的组织在过去一年中至少经历过一次数据丢失事件，这表明这个问题已经变得十分普遍。每个组织的平均事件数量刚刚超过15起，相当于一个月不止发生一起数据丢失事件。虽然考虑到向混合工作的转变、云计算的加速采用以及员工的高流动率，这些发现并不令人惊讶，但它们发人深省，并说明了问题的严重性。

数据丢失在各个国家和行业中表现出的普遍性引出了一个显而易见的问题：是什么导致了所有这些事件？此次调查给出了一个令人惊讶的答案，超过70%的受访者将“粗心的用户”（包括普通员工、IT工作者和承包商/供应商）视为导致数据丢失最主要的原因。粗心大意的表现包括以下几种：

• 错发电子邮件；

• 访问钓鱼网站；

• 安装未经授权的软件；

• 公开分享敏感文件；

• 发送个人身份信息（PII）到个人电子邮件帐户；

• 任何其他非预期的用户系统或数据暴露。

1/3用户每年向错误的收件人发送大约两封电子邮件

用户粗心大意最常见的表现之一是错发电子邮件。由于大多数网络邮件和本地电子邮件客户端都提供地址自动填充功能，用户很容易忙中出错。根据Tessian公司2023年的数据显示，这个问题十分普遍：大约三分之一的用户每年向错误的收件人发送大约两封电子邮件。这意味着一家拥有5000名员工的企业每年可能要处理大约3400封错发的电子邮件。

把邮件发错收件人的后果可能很严重，包含敏感信息的错误电子邮件是最简单的数据丢失形式之一，一旦发送出去，该组织可能面临违规风险。即使收件人是合作方，仍然可能存在监管影响。根据GDPR和其他法律框架规定，包含员工、客户或患者数据的错误定向电子邮件仍可能引发巨额罚款。当然，即使不涉及敏感数据，给错误的人发邮件也可能导致尴尬和声誉受损。

除了将电子邮件发送给错误的收件人之外，粗心的用户有时还会将错误的信息——要么是在电子邮件正文中，要么是作为附件——发送给正确的人。当收件人的地址属于不同的域时，基本的电子邮件安全系统可能会提醒用户。但只有先进的解决方案才能检测并提醒他们附件文件或电子邮件正文中存在敏感信息。Tessian的数据显示，84%的组织于去年至少有一个用户在电子邮件中发送了错误的附件。

数据丢失的其他原因

【数据丢失的主要原因】

其次才是技术原因，包括系统受损（48%）和配置错误（45%）等，但时间和资源的缺乏又为这些问题增加了重要的人为因素。

20%的受访者表示，数据丢失事件的幕后黑手是心怀恶意的员工或承包商。虽然这个数字明显低于将数据丢失归咎于“粗心用户”的人数，但后果却可能要严重得多。恶意用户受到个人利益的驱使，试图通过应用程序误用、系统破坏或工业间谍活动等对组织的数据、系统和网络造成损害。恶意内部人员事件还可能导致诉讼，带来沉重的经济损失。

一个有趣的发现是，只有极少数用户对DLP警报负责。事实上，对于大多数组织来说，只有1%的用户对88%的警报负责。虽然这可能意味着风险是可控的，但现实并没有那么简单。在现代职场中，员工经常加入、离开和换工作，环境也在不断变化，这1%的人的身份可能每个月都在变化。而剩下的12%的警报仍然存在很大的风险——尤其是内部人员可能会缓慢地窃取数据，定期泄露重要文件以避免被发现。因此，虽然目标小得令人放心，但安全团队仍然必须保持警惕，以领先于这群有风险的用户。

成本计算

调查结果显示，在至少经历过一次事件的人中，超过90%报告了负面结果。其中超过一半的人表示，其负面结果是业务中断，近40%的人表示，其组织声誉受损。重要的是要注意，这些结果并不是相互排斥的。例如，数据丢失事件可能导致声誉受损，从而导致收入损失。

【数据丢失事件的后果】

在更广泛的层面上，超过80%的国家和行业报告了负面影响，凸显出这显然是一个重大而普遍的挑战。

至于9%的受访者称其没有受到任何影响，因为他们的事件没有被报告，这些受访者可能正在享受一种虚假的安全感。即使目前没有报告事件，也不能保证细节最终不会浮出水面。如果一个组织试图掩盖或逃避责任，可能会造成额外的声誉损害。随着越来越多的监管政策出台，组织可能很快就会在这个问题上别无选择。

离开的员工和坚定的攻击者

现代威胁形势给安全团队带来了来自各个方面的挑战。员工流动、混合工作、云采用、生成式人工智能和不断发展的攻击技术无不威胁着数据安全。

由于资源分散在所有这些表面区域，准确的风险评估成为有效响应的关键部分。在被问及“哪些用户的数据丢失风险最大”时，63%的受访者认为是“拥有访问敏感数据权限的员工（如人力资源专业人员、财务团队和客户支持人员）。”这些员工通常可以访问有价值的数据（如个人身份信息和财务数据），如果是人力资源员工，则还可以访问工资单、绩效和医疗休假记录等。员工的权限也可能使他们成为外部威胁行为者的诱人目标，试图通过网络钓鱼邮件窃取他们的凭据，或者贿赂他们分享知识产权。

50.6%的受访者将“具有特权访问权限的IT用户”视为最危险的用户。制造业和科技行业的受访者也将IT用户列为首选。这可能反映了这些受访者对IT用户操纵或破坏数据以及窃取数据的能力有了更高的认识。

其他被视为数据丢失最大威胁的群体还包括离职员工（28.7%）、合作伙伴/供应商（25%）、承包商（23.4%）、高管员工（23.1%）以及研究人员/开发人员（18.7%）。

【对潜在数据丢失事件构成最大风险的用户】

敲响警钟

来自粗心、脆弱或恶意用户的威胁同样反映在Proofpoint信息保护平台上触发的各种数据警报中。在端点中，几乎一半的警报是由将文件复制到USB（24%）或将其上传到网络（21%）引起的。顶级云事件分布更加均匀，各种文件上传和访问操作相对均衡地排在前五位。

【端点和云事件警报类别】

USB通知在端点列表中的流行也许并不令人惊讶，因为这些是管理员使用Proofpoint产品配置的最常见的警报类别。除了文件活动之外，排在第四位的活动目录变化证明了内部和外部威胁对网络造成的重大风险。排在第五位的是生成式人工智能网站的使用。虽然这个警报的触发频率不够高，不足以成为最重要的通知之一，但它在已配置警报列表中的存在表明，安全专业人员对这一数据安全风险的重视程度。

大多数配置的DLP和内部威胁警报规则：

• 复制到USB；

• 通过web上传进行过滤；

• 泄漏到云同步文件夹；

• Active Directory的更改；

• 浏览生成式AI网站；

生成式人工智能的存在尤其值得注意，因为这一行动的规则从今年开始才可用。用户将敏感数据输入Grammarly、ChatGPT、Bing Chat和Google bardy等系统的风险随着这些工具的功能和实用性的提高而日益增加。但是，由于提交的数据如何存储和使用几乎不透明，如果发送错误，如何删除数据就更不清楚了，这些系统显然代表了一个有风险的新渠道，数据可能会通过这个渠道泄露。虽然一些公司已经完全禁用生成式人工智能网站，但其他公司认识到其提供的生产力效益，转而选择在监控条件下进行使用。

离开的代价

安全专家认为“离职员工”是第三类最危险的用户——当离职者在雇佣期间曾访问过特权或敏感数据时，这种风险无疑会增加。考虑到他们在一项计划、产品或项目中投入的时间和精力，离职员工在离职时往往会产生一种拥有信息支配权的错觉。

来自Proofpoint平台的数据印证了这种担忧。在9个月的时间里，使用Proofpoint的云租户中有87%的异常文件泄露是由离职员工造成的。这种不寻常的高比例可能表明员工在离开之前持有文件和数据。允许员工在个人设备中访问和存储数据可以提高公司的生产力，但很容易看出，这一政策很快就会演变为潜在的数据丢失风险。

头顶的“乌”云

近38%的受访者表示，云/SaaS应用程序的激增对他们的DLP计划构成了挑战。由于向混合工作和数字化转型的转变，许多企业现在完全采用云解决方案，这些数据存储成为攻击者的高价值目标。

【随时间变化的攻击媒介】

来自Proofpoint平台的威胁数据证实了云租户面临的风险。在2023年1月至9月期间，96%的受监控云租户成为暴力破解攻击的目标。在暴力破解攻击中，威胁参与者试图通过猜测密码或其他自动化手段获得访问权限。更令人担忧的是，在同一时期，96%的租户遭受了精确攻击，比如有针对性的网络钓鱼攻击。这些更复杂的攻击中有许多是成功的，54%的租户至少被入侵一次，相比之下，只有20%的租户被暴力破解成功入侵。

这种功效上的巨大差异是使用社会工程和复杂工具包的结果，这些工具包允许攻击者绕过多因素身份验证（MFA）等高级安全机制。但在所有攻击类型中，外部威胁参与者在试图渗透云租户时的总体成功率为58%，这表明他们认识到数据丢失是“以人为中心的”，并且正在寻找利用云租户的漏洞。

当云租户受到威胁时，攻击者通常会开始探索存储的文件和其他数据。据观察，30%的被入侵租户在被入侵后经历过数据泄露或文件操纵，其中.docx、.xlsx和.pdf等office文档的可疑活动程度最高。

【最常被滥用文件类型】

云工作空间也越来越多地受到恶意或滥用OAuth应用程序的威胁。与传统恶意软件一样，恶意OAuth应用程序可以让攻击者在受感染的租户上为所欲为。调查数据发现，11%的云租户受到持续恶意应用程序的影响。但这种威胁并不局限于特定的恶意应用程序。合法的云应用程序现在也经常被攻击者滥用，以便在受到攻击后对租户进行持久访问。这是因为OAuth应用程序在其访问被撤销之前保持授权。数据发现，超过15%的受感染组织在初始入侵后经历了这种授权应用滥用。

超越合规的成熟

许多DLP项目最初是为了响应法律法规而启动的。但据受访者称，监管和合规不再是主要驱动力。随着这些举措的成熟，重点似乎正在转向保护客户和员工的隐私，超过50%的受访者将这些视为其DLP计划的主要推动力。虽然其中一些无疑与地方和国际层面出台的新隐私法规有关，但人们似乎真的希望做得更多，而不仅仅是遵守法律规定的最低限度。

【DLP项目的主要驱动因素】

然而，也有例外情况，特别是在存在严格数据保护法（如《通用数据保护条例》）的欧洲。法国和英国的受访者都表示，遵守外部法规是他们支持DLP的主要动力。与之形成鲜明对比的是，西班牙和巴西的受访者（各占18%左右）最不可能将监管作为一个关键原因。德国的受访者还将“最小化与数据丢失相关的成本”和“保护知识产权”列为仅次于隐私的第二和第三大驱动因素。在韩国，内部合规是最重要的因素，其次是外部合规。

在行业层面，监管因素是金融行业受访者的主要驱动力——考虑到这些组织面临的典型监管程度，这并不奇怪。医疗保健和政府部门的受访者也将其列为第二驱动因素。

然而，当涉及受访者认为“最重要的数据保护类别”时，情况就变得有点复杂了。在这里，“最具价值的企业数据”是最常见的答案，其次是“客户信息”。而在行业层面上，医疗保健是一个可以理解的异常值，60%的医疗保健行业受访者将“受保护的健康信息”视为最重要的数据保护类别。

【最受关注的数据保护类别】

这种对“有价值的企业数据”（一个包括合同、价目表和并购文件的模糊类别）的关注可能反映了DLP平台的日益成熟。DLP系统最初的设计目的是保护高度结构化的数据，如支付信息、公民身份号码和用户账户。但是，现在许多公司已经足够灵活，可以监控和保护非静态领域的数据，这些领域的信息在日常业务过程中流入流出。创新的DLP解决方案已经做出调整，以适应数字化转型驱动的数据多样性和数据量的增长。

然而，尽管DLP项目和技术无疑正在成熟，但只有38%的受访者认为他们的项目完全“成熟”。大多数人（55%）认为自己处于“演进”状态——所以我们可以预期，随着整体成熟度的提高，驱动因素和数据优先级的平衡将不断变化。

【全球DLP程序成熟度现状。38%处于“成熟”状态，55%处于“演进”状态，7%处于“新兴”状态】

（*新兴：只有有限或没有正式DLP计划的组织；演进：在一些DLP渠道中拥有正式DLP计划的组织；成熟：在关键DLP渠道上拥有正式DLP程序的组织）

展望未来：更好的可见性，更多的专业人员

随着DLP项目的成熟，受访者在“当前最重大的挑战”问题上达成了很大程度的统一。近70%的企业认为，敏感数据、用户行为和外部威胁的可见性是其DLP计划最重要的能力。但43%的人认为这是一个仍需改进的领域。考虑到分布式的现代劳动力和威胁参与者的复杂性，可见性被视为最重要的DLP能力也就不足为奇了。跨多个渠道的可见性为安全团队提供了他们需要的上下文，以便对粗心、恶意或脆弱的用户做出适当的响应。

在资源方面，大多数受访者表示他们对DLP计划的投资水平和执行支持感到满意。考虑到恶意行为者和防御者之间永无止境的军备竞赛，这似乎令人惊讶。但它至少证实了这样一种观点，即数据安全已成为企业高管级别的问题，高管们意识到保护企业“皇冠上的宝石”的必要性。由于全球头条新闻中不乏高调事件，许多高管和董事会将意识到要避免重蹈业内其他人的覆辙。

然而，那些将自身DLP项目评为“新兴”状态的受访者情况略有不同。在这方面，受访者更有可能表示，他们需要更多的预算和工具来提高所有渠道的可见性。可能这些受访者仍在使用仅限于单一渠道的工具，无法提供潜在数据丢失和内部威胁的整体情况。除了更好的可见性之外，其他需要改进的领域还包括“与IT/安全生态系统更紧密地集成”以及“对更多专业人员的需求”。

将自身DLP程序评为“成熟”的受访者也表达了对人工智能工具的日益增长的渴望。由于合格的安全从业人员持续短缺，人工智能有可能扩大分析师的产出和效率，同时降低职业倦怠的风险。

结论

在此次调查中，超过90%的受访者表示，他们的组织目前正在投资DLP解决方案——这对消费者、员工和股东来说无疑都是好消息。然而，只有41%的人自信地认为他们的投资是足够的。

随着越来越多的组织采用云计算、混合工作和工作流创新（如生成式人工智能），DLP解决方案也必须跟上这种发展趋势。每一次内部威胁和数据丢失事件都是独一无二的，并有可能造成严重后果。无论DLP是成熟的、演进的还是新兴的，安全团队都应该有适当的流程来确保以下最低要求：

• 监控访问敏感数据或具有管理员权限的人员。

• 为离职员工建立安全审查流程。

• 为常见的数据泄露方法实施DLP策略规则。

• 使用数据分类识别和保护组织“皇冠上的珠宝”和业务关键数据库。

• 定期审查组织的DLP计划，记住采用生成式人工智能和其他技术发展可能会改变用户行为。

除了这个清单之外，超越“新兴”意味着投资具有云优先的现代架构的专用DLP平台。通过为每个事件提供用户和数据可见性，一个强大的DLP平台可以提供重要的上下文，以便安全团队知道如何高效响应。如此一来，组织就可以有效地处理各种以人为中心的数据丢失情况，挫败外部威胁并防止团队中的恶意、粗心和脆弱用户。

原文来自: freebuf.com