Verizon《2025数据泄漏调查报告》抢先看：60%的数据泄漏涉及人的因素

admin

140141
文章

114
评论

2025年5月7日10:50:42评论3 views字数 2896阅读9分39秒阅读模式

安小圈

第660期

2025 · 数据泄漏


Verizon《2025 数据泄漏调查报告(DBIR)》于近日重磅发布，DBIR报告是全球网络安全专业人员广泛使用的关于数据泄露情报的权威来源之一，报告每年分析数以万计的真实网络攻击事件，提供了对不同行业、组织规模和地理位置的威胁行为者所使用的攻击策略、技术和程序的深度见解,从而为组织优化威胁防御策略提供参考。与超安全于上周六发表的文章预测基本相符，今年报告重点关注：

勒索软件、漏洞利用、第三方风险、“人的因素”和GenAI驱动的攻击等。

今年是DBIR报告的第18版，该报告分析了超过2.2万起网络安全事件，其中包括横跨139个国家的12195起已确认的数据泄露事件。通读下来，今年DBIR报告的整体语气比较俏皮，但所传达的关键信息是严肃的：网络威胁正在迅速发展，攻击速度变得越来越快，越来越有针对性，越来越难以被发现，而企业正在努力跟上威胁步伐。报告用了“Struggling to keep up”这个短语，字面意思“挣扎着跟上步伐”，更有一种强烈的情绪张力，一是反映出安全工作的难度超常规，二是安全团队仍在坚持努力应对挑战，也传递出一种疲惫感、挫败感与不屈不挠精神的交织状态。

2025 DBIR报告给我们的五大启示

1. 勒索软件日益猖獗

44%的数据泄漏事件涉及勒索软件，比去年上升了37%。这一增长凸显了勒索软件攻击的持久性和不断演变的性质，勒索软件攻击变得更加复杂和广泛。虽然被勒索组织支付赎金的中位数金额下降到了11.5万美元/每起，但其在中小企业(SMB)中的流行程度令人震惊。与大企业相比，中小企业的勒索软件案例数量是大企业的两倍--88%的中小企业数据泄漏涉及勒索软件，中小企业正在因安全投入及安全能力不足而付出代价。

另一方面，越来越多的企业受害者采取了强硬姿态：拒绝支付赎金。报告显示：64%的受影响企业拒绝支付赎金，而两年前这一比例仅为50%。这一进步也表明，越来越多的组织学会了未雨绸缪，提前部署应对勒索软件的准备。应对勒索软件攻击没有“灵丹妙药”，全体员工的安全意识依然至关重要。

2. 漏洞利用呈上升趋势

以利用未修补漏洞作为初始访问步骤的攻击与去年同比增长34%，占数据泄漏事件的20%。这些漏洞包括边缘设备和VPN中的零日漏洞--由于在分布式网络中打补丁的复杂性，使得这些目标经常暴露在外。

3. 第三方数据泄漏翻倍增长

今年DBIR报告中最令人担忧的发现之一是，与第三方相关的数据泄露事件增加了一倍（2024年为15%），占所有数据泄漏事件的30%。供应链、软件供应商和云平台正日益成为组织防御中最薄弱的环节。像MOVEit漏洞和Snowflake凭证攻击等供应链攻击事件，表明攻击者正在转向利用组织对于第三方平台/服务的信任和依赖关系作为新的突破口，突显了组织谨慎选择第三方合作伙伴与供应商的重要性。

4.“人的因素”依然是主因

“人的因素”是一个永恒的安全话题。今年报告显示：60%的数据泄漏涉及“人的因素”，比2024年下降了8% (2022年为82%，2023年为74%)。这种下降趋势可能反映出市面上出现了更好的安全意识教育解决方案、企业更加重视人为因素风险管理与网络安全文化建设、企业对内部人员威胁实施了更好的管控等积极影响因素。

从攻击者视角，技术漏洞在一段时间内可以被利用，但最终会被修复，而“人的漏洞”却内生存在，可以长期利用，“人的因素”是一个关键目标。即使企业拥有强大的安全技术防御，攻击者依然会想方设法钻“人性漏洞”的空子，从而突破企业安全防线。

网络钓鱼/社会工程学攻击仍然是攻击者的首选策略（网络钓鱼和凭证滥用占已知初始访问媒介的38%）。2025 DBIR还报告了一种新兴的攻击手法-通过“提示轰炸(Prompt Bombing)”实施社工攻击，即通过向用户大量发送MFA登录提示，试图迷惑或挫败用户，让他们在恶意网站或应用程序中输入凭证，是一种绕过多因素认证(MFA)的攻击方法。MFA“提示轰炸”利用了用户心理弱点和有限的注意力。当被一连串快速连续的提示轰炸时，用户更有可能不假思索地点击或输入代码，以使提示停止。

5. GenAI驱动的网络攻击呈上升趋势

虽然生成式人工智能(GenAI)尚未在网络攻击中占据主导地位，但其蛛丝马迹已开始显现。从AI生成的网络钓鱼邮件，到AI 安全政策缺失，再到员工在工作设备上使用未经授权的AI工具/App(影子AI)，安全风险是真实存在的。2025 DBIR报告敦促组织起草和执行明确的通用人工智能使用政策，特别是在BYOD环境中。