2023年，美國(guó)的漏洞和數(shù)據(jù)泄露數(shù)量大幅飆升，雙雙創(chuàng)下歷史新高。

根據(jù)Bugcrowd的最新報(bào)告，2023年Bugcrowd平臺(tái)內(nèi)Web漏洞提交量激增30%、API漏洞提交量增加18%、Android漏洞提交量增加21%、iOS漏洞提交量增加17%年。

政府安全漏洞暴增151%

其中美國(guó)政府部門的眾包安全漏洞增長(zhǎng)最為顯著，漏洞提交量增長(zhǎng)了151%。零售業(yè)(+34%)、企業(yè)服務(wù)(+20%)和計(jì)算機(jī)軟件(+12%)行業(yè)的漏洞提交量也顯著增加。

ITRC還報(bào)告稱，2023年，近11%的上市公司受到攻擊，雖然大多數(shù)行業(yè)的攻擊數(shù)量略有增加，但醫(yī)療、金融服務(wù)和運(yùn)輸行業(yè)報(bào)告的攻擊數(shù)量比2022年增加了一倍多。

開源普及導(dǎo)致零日漏洞利用爆發(fā)

應(yīng)用安全公司Apona Security的產(chǎn)品主管Roger Neal表示，開源軟件組件的使用增加導(dǎo)致零日攻擊的增長(zhǎng)：“幾乎所有代碼庫(kù)中80%以上都至少包含一個(gè)第三方組件，”他解釋道?！斑@對(duì)于提高開發(fā)效率非常有用，但我們常常忽視了這些組件可供任何人訪問并在受控環(huán)境中進(jìn)行深入測(cè)試，從而為越來越多的零日攻擊打開了大門?！?/p>

數(shù)據(jù)泄漏創(chuàng)下歷史新高

根據(jù)身份盜竊資源中心(ITRC)上周五發(fā)布的年度數(shù)據(jù)泄漏報(bào)告，在零日漏洞和供應(yīng)鏈攻擊的推動(dòng)下，2023年美國(guó)數(shù)據(jù)泄露事件創(chuàng)下歷史新高。

2023年美國(guó)的數(shù)據(jù)泄露數(shù)量比2022年增加了78%，從1801起暴增到3205起，比2021年的高峰記錄(1860起)足足高出了72%。

報(bào)告發(fā)現(xiàn)，大多數(shù)數(shù)據(jù)泄露都與網(wǎng)絡(luò)攻擊有關(guān)。與前幾年相比，與網(wǎng)絡(luò)釣魚相關(guān)的攻擊和勒索軟件攻擊略有下降，而惡意軟件和零日攻擊則大幅增加。零日漏洞、供應(yīng)鏈攻擊事件比之前的記錄暴增了72%，預(yù)計(jì)2024年將再創(chuàng)新高。

ITRC報(bào)告指出，往年造成數(shù)據(jù)泄露的零日漏洞攻擊數(shù)量很少(每年報(bào)告1-4個(gè)零日漏洞)，但2023年報(bào)告的零日漏洞多達(dá)110個(gè)，遠(yuǎn)高于2022年的8個(gè)。

2023年美國(guó)十大數(shù)據(jù)泄露事件的規(guī)模統(tǒng)計(jì)如下：

美國(guó)數(shù)據(jù)安全法規(guī)存在重大紕漏

ITRC指出，美國(guó)的數(shù)據(jù)泄露通知法規(guī)存在重大缺陷，發(fā)生泄漏數(shù)據(jù)的組織和通知受害者的組織之間存在巨大的數(shù)量差距。

ITRC的報(bào)告發(fā)現(xiàn)，沒有披露具體信息(攻擊媒介、歸因等)的數(shù)據(jù)泄露通知數(shù)量同比幾乎翻了一番。2023年，超過1400份數(shù)據(jù)泄漏通知不包含有關(guān)攻擊媒介的信息，而2022年只有716份。

隨著遭受供應(yīng)鏈攻擊的企業(yè)數(shù)量快速增長(zhǎng)，瞞報(bào)或不透明報(bào)告問題顯得尤為嚴(yán)重。一個(gè)最為顯著的例證是，在SEC上市公司安全事件披露“四日新規(guī)”生效后不到一個(gè)月，惠普和微軟相繼報(bào)告了此前長(zhǎng)期瞞報(bào)的網(wǎng)絡(luò)攻擊/數(shù)據(jù)泄漏事件，結(jié)果發(fā)現(xiàn)二者遭遇了來自同一個(gè)APT組織的攻擊。

網(wǎng)絡(luò)攻擊精度提升：數(shù)據(jù)泄漏數(shù)量增加但受害者人數(shù)減少

盡管ITRC報(bào)告的數(shù)據(jù)泄露數(shù)量大幅增加，但I(xiàn)TRC發(fā)現(xiàn)受泄露影響的受害者人數(shù)有所下降，降至353,027,892人，比2022年的425,212,090人下降了16%。這種下降屬于長(zhǎng)期趨勢(shì)。與受害者人數(shù)最多的2018年相比，下降幅度高達(dá)84%。這表明攻擊者正在更有針對(duì)性地采集目標(biāo)的畫像數(shù)據(jù)，以實(shí)施更加精準(zhǔn)和復(fù)雜的攻擊。

ITRC首席運(yùn)營(yíng)官詹姆斯·E·李(James E. Lee)表示，“當(dāng)今獲取個(gè)人身份數(shù)據(jù)的攻擊者對(duì)目標(biāo)系統(tǒng)的攻擊更加精準(zhǔn)，附帶損害隨之減少。這也是攻擊次數(shù)增加而受影響人數(shù)減少的原因。”

數(shù)據(jù)安全能力成為企業(yè)核心競(jìng)爭(zhēng)力

根據(jù)思科2024年數(shù)據(jù)隱私基準(zhǔn)研究，幾乎所有(94%)的受訪安全和隱私專業(yè)人士表示，如果企業(yè)不能正確保護(hù)數(shù)據(jù)，消費(fèi)者/客戶就不會(huì)購(gòu)買其產(chǎn)品。

絕大多數(shù)受訪者支持其政府實(shí)施數(shù)據(jù)隱私法，80%的受訪者認(rèn)為隱私法對(duì)其企業(yè)產(chǎn)生了積極影響，只有6%的人認(rèn)為隱私法產(chǎn)生了負(fù)面影響。值得注意的是，中國(guó)的受訪者對(duì)政府?dāng)?shù)據(jù)隱私法規(guī)的支持度最高，為91%(下圖)：

97%的受訪者認(rèn)為企業(yè)應(yīng)該負(fù)責(zé)任地以合乎道德的方式使用數(shù)據(jù)，95%的人認(rèn)為企業(yè)數(shù)據(jù)隱私保護(hù)投資的商業(yè)利益大于成本。

數(shù)據(jù)隱私保護(hù)和商業(yè)利益之間日益緊密的聯(lián)系使其成為董事會(huì)的關(guān)注重點(diǎn)。幾乎所有(98%)受訪者都向董事會(huì)報(bào)告了一項(xiàng)或多項(xiàng)隱私指標(biāo)，超過一半的受訪者報(bào)告了三項(xiàng)或更多。

董事會(huì)匯報(bào)使用最多的隱私指標(biāo)：

• 安全審計(jì)結(jié)果(44%)
• 數(shù)據(jù)泄露(43%)
• 數(shù)據(jù)主體訪問請(qǐng)求(31%)
• 事件響應(yīng)(29%)

數(shù)據(jù)泄漏預(yù)防建議：重視“基操”，打造企業(yè)安全文化

正如微軟發(fā)布的《2023年數(shù)字防御報(bào)告》中所強(qiáng)調(diào)的：基本的安全衛(wèi)生措施依然可以防御99%的網(wǎng)絡(luò)攻擊，這包括啟用多因素身份驗(yàn)證(MFA)、應(yīng)用零信任原則、使用XDR和反惡意軟件、保持設(shè)備軟件的更新等。

此外，企業(yè)員工安全意識(shí)培訓(xùn)需要強(qiáng)調(diào)公司的所有部門和人員(不僅僅是IT)都是網(wǎng)絡(luò)犯罪分子的目標(biāo)，從高管到一線員工的所有工作崗位都需要遵循最佳安全實(shí)踐，形成全面持久深入的安全文化。