Verizon 2023数据泄露调查报告: 74%的数据泄露事件涉及人为因素

在过去两年中，每个勒索软件攻击导致的损失成本中位数翻了一番，达到26000美元，95%的攻击事件损失在100万至225万美元。

损失成本的上升与过去几年勒索软件攻击频率的急剧上升相吻合，当时勒索软件攻击的数量超过了前五年的总和。而今年，这一数据保持高企：勒索软件攻击仍然是最主要的网络攻击方法之一，几乎占所有数据泄露事件的24%。

在网络安全建设投入方面，尽管企业为保护IT基础设施和在安全培训方面投入巨大，但人为因素导致的安全事件仍然占绝大多数，表现在数据上——74%的数据泄露事件涉及人为因素。

关于人为因素方面的攻击，最著名的是社会工程学攻击。它指的是利用人的弱点，如人的本能反应、好奇心、信任、贪便宜等弱点进行诸如欺骗、伤害等危害手段，例如通过网络钓鱼等策略诱骗用户点击恶意链接或附件，从而达到攻击的目的。

而体现到企业中，针对高级领导层的社会工程学攻击带来的危害尤甚。因为公司高管掌握企业中最敏感的信息，而且其受保护程度较低，因为许多企业在要求遵循相关安全制度时，高管们往往会有“例外”。随着社会工程学攻击的日益复杂，企业必须重视和加强对其高级领导层的保护，以避免其成为新的攻击入口。

社会工程学攻击对网络犯罪分子来说是一种有利可图的策略，尤其是涉及到被用来冒充企业员工以获取经济利益的技术的兴起，这种攻击被称为商业电子邮件泄露（BEC）。它是指电子邮件帐户和通信受到未经授权的访问、丢失或损害，造成数据信息泄露。网络犯罪分子将电子邮件作为攻击目标，是因为它是其他帐户和设备的一个简单入口点，并且它在很大程度上由人为错误造成。只要一次被误导的点击，就会给整个组织造成安全危机。

根据互联网犯罪投诉中心（IC3）的数据，在过去几年中，基于BEC的网络攻击事件造成的经济损失金额中位数已增至5万美元。

除了社会工程学攻击的增加，DBIR2023的其他关键发现还包括：

• 由于当前的地缘政治影响，间谍活动引起了媒体的广泛关注，但只有3%的网络攻击者受到间谍活动的驱使，其他97%的人是出于经济利益。

  
  

• 每年32%的Log4j漏洞扫描发生在发布后的前30天，这表明了网络攻击者从概念验证升级到大规模利用的快速程度。

  
  

• 外部攻击者利用各种不同的技术入侵组织，例如使用被盗凭据（49%）、网络钓鱼（12%）和漏洞利用（5%）。