2023年数据泄露与安全事件：个人笔记

引言

在当今数字环境中，网络威胁和事件的普遍性已成为个人、组织和政府的重要关切。过去几个月，我有机会研究众多供应商报告，深入了解数据泄露和事件不断演变的性质。通过研究，我发现了许多有趣的发现，突显了网络犯罪分子无情的持久性和复杂性。许多事情正在变化，因此我决定为您带来以下要点。

通过分析这些报告，可以清楚地看到，数据泄露和事件并非孤立发生，而是网络安全领域持续的战斗。收集的信息强调了采取强大安全措施、持续监控和主动事件响应策略的迫切需要，以保护数字资产免受恶意行为者的侵害。随着我们深入探讨本博客文章，我们将探讨这些报告中概述的具体发现和建议，旨在提供见解和实用建议，帮助个人和组织应对复杂的网络安全环境。

行为者

数据泄露涉及的主要威胁行为者来自受害者外部。不到20%的行为者是内部的，这意味着他们可能涉及故意攻击以及无意攻击（例如错误、设备被盗、弱凭据）。

数据泄露中的威胁行为者

威胁行为者攻击受害者的主要原因是“金钱”。在大多数情况下，他们是出于经济动机，这强调了他们属于更大、有组织的行业（有组织犯罪）的重要性。

数据泄露中的威胁行为者动机

虽然有组织犯罪是主要的威胁行为者，但“非国家或国家附属”威胁行为者是第二常见的威胁行为者。在这一类别中，我们包括Noname*、KillNet和其他“战争同情团体”。

行动

令我惊讶的是，作为一个已经习惯将勒索软件视为主要威胁行为者行动的人，今年见证了一个逐渐但值得注意的转变。勒索软件不再处于攻击者行动的前沿；相反，它已滑落到第二位。我们在当前环境中主要观察到的是，凭据窃取成为威胁行为者采取的主要行动。

数据泄露中行为者执行的主要行动

传统上，勒索软件因其破坏性和经济驱动性质而备受关注。然而，最近的趋势表明，威胁行为者越来越专注于利用受损凭据作为其首选攻击方法。这种转变可归因于几个因素，包括复杂网络钓鱼活动的兴起、导致大规模凭据泄露的数据泄露，以及被盗登录信息的货币化潜力。

这种转变的影响深远，需要个人和组织的高度关注。被盗凭据为威胁行为者提供了入侵敏感系统的入口点，获得对有价值数据的未经授权访问，甚至促进网络内的横向移动。此外，此类泄露的后果可能是灾难性的，导致财务损失、声誉损害和法律后果。

另一个有趣的观察是“利用漏洞”的 resurgence，直到今年才被 somewhat 忽视。这种 resurgence 的主要原因可归因于各种远程代码执行漏洞的普遍存在，或更广泛地说，远程可利用漏洞。这些漏洞在网络安全领域引起了 significant 关注，从众所周知的实例如 Log4j（在2022年非常滥用）到更近期的 RCE。

资产

在数据泄露领域，很明显，受损资产的很大一部分主要包括服务器和一般 IT 基础设施。这些关键组件构成了组织数字运营的支柱，并且经常成为威胁行为者的目标，以寻求获得未经授权的访问或利用漏洞。服务器和 IT 基础设施的泄露可能产生严重后果，从服务中断到敏感信息的潜在暴露。

数据泄露中的受损资产

然而，紧随其后的是个人相关信息和个人数据。这包括一系列个人可识别信息（PII），如电子邮件地址、姓名、姓氏、电话号码、地址和用户日志。个人数据的目标突显了威胁行为者对此类信息的重视，他们寻求将其用于各种恶意目的，如身份盗窃、网络钓鱼攻击，甚至将其出售到暗网。

个人信息包含在数据泄露中引发了关于隐私和安全的重大关切。此类敏感数据的暴露不仅对个人生活构成风险，而且对负责保护这些信息的组织具有更广泛的影响。这些泄露的后果可能导致财务损失、声誉损害、法律后果和利益相关者信任的侵蚀。

属性

数据泄露涵盖了广泛的受损信息，理解所涉及数据的性质对于 comprehending 泄露影响的程度至关重要。对各种数据泄露事件的分析显示，受损数据的主要类别与个人相关，约占全部的36%。这包括个人可识别信息（PII），如姓名、地址、电子邮件地址、电话号码和其他个人详细信息，这些信息可用于身份盗窃、欺诈或其他恶意活动。

另一个 significant 部分，约占泄露数据的28%，包括凭据信息。这些凭据可以包括用户名、密码、安全令牌或任何其他形式的认证数据，用于授予对各种账户或系统的访问权限。凭据的泄露构成严重威胁，因为攻击者可以滥用它们获得对敏感信息的未经授权访问或进行欺诈活动，可能对个人和组织造成重大伤害。

泄露中的 top 机密数据种类

此外，内部系统信息约占数据泄露中数据的18%。这一类别包括有关资产、网络、服务器和其他内部基础设施组件的详细信息。内部系统信息的泄露对组织构成重大风险，因为它可能导致未经授权的访问、系统中断、数据操纵，甚至完全控制关键基础设施。

勒索软件交易焦点

虽然很明显所有网络事件都对受害者产生负面影响，影响其声誉、运营和可用性，但在分析数据泄露事件时出现了一个有趣的观察。令人惊讶的是，大约93%的数据泄露事件并不直接导致财务损失。这意味着大多数数据泄露具有非货币后果，如声誉损害或运营中断，而不是 immediate 财务影响。

然而，需要注意的是，剩余的7%的数据泄露事件确实导致财务损失，主要是因为受影响的组织承认支付了赎金。这表明一小部分但 significant 的受害者选择屈服于勒索软件攻击者的要求， resulting in a financial impact。根据 FBI 互联网犯罪投诉中心（IC3）的数据，去年平均赎金交易金额约为10,000美元。然而，在5%的情况下，平均赎金支付 significantly 超过这一数字，达到惊人的120万美元。

基于 FBI IC3 投诉的勒索软件中位数交易规模

虽然平均赎金交易可能看起来并不 excessively 高，但重要的是要承认在5%的情况下存在 upper echelon 的支付。对于那些不幸落入这一子集的人来说，财务负担变得 far more substantial，超过120万美元。这突显了勒索软件攻击的不可预测性，其中财务影响可能因特定情况和要求而 drastically 变化。

因此，组织必须以 utmost 警惕对待数据泄露和勒索软件事件，即使平均赎金金额看起来 relatively moderate。支付赎金的潜在财务后果不应被低估，特别是对于那些发现自己面临 exorbitant 要求的少数人。通过实施强大的安全措施、维护数据备份和采用主动事件响应策略，组织可以更好地保护自己免受数据泄露的 debilitating 影响，并 minimize 成为 costly 赎金要求受害者的风险。

主要财务损失焦点

在讨论网络攻击导致的财务损失时，很明显，社会工程仍然是攻击者使用的最普遍和最有影响力的技术之一。社会工程涉及操纵个人或利用他们的信任来欺骗他们执行某些行动，如进行欺诈支付。在各种类型的社会工程攻击中，导致财务损失的最 significant 贡献者是 Pretexting，也称为商业电子邮件妥协（BEC）欺诈，约占报告事件的35%。

社会工程中财务损失的首要原因

Pretexting 涉及创建虚假叙述或场景来欺骗个人 revealing 敏感信息或进行未经授权的交易。攻击者经常冒充受信任的实体，如业务伙伴、高管或供应商，以 trick 受害者 divulging 机密信息或将资金转移到欺诈账户。这种 deceptive 策略可能导致 targeted 组织的 substantial 财务损失。

网络钓鱼攻击在财务影响方面排名第二，约占报告案例的28%。网络钓鱼涉及使用欺诈性电子邮件、消息或网站，这些看起来 legitimate 以 trick 个人 revealing 个人信息、登录凭据或财务详细信息。一旦获得，这些信息可用于各种欺诈活动，包括未经授权的交易或身份盗窃。

被盗凭据的使用紧随其后，约占报告案例的23%。在这种情况下，攻击者通过各种手段获取登录凭据，如数据泄露或网络钓鱼攻击，然后利用被盗凭据获得对系统或账户的未经授权访问。这种未经授权的访问可能导致财务损失，通过欺诈交易、未经授权的账户访问或未经授权的财务数据更改。

根据 FBI IC3 的 BEC 中位数交易规模（按年份）

与普遍看法相反，勒索软件攻击仅占攻击者 lure 受害者并随后在其机器上激活勒索软件的情况的约10%。勒索软件攻击涉及加密受害者的文件或系统，将其作为人质，直到支付赎金。虽然这些攻击可能在财务上 devastating，但与其他社会工程技术相比，它们 relatively less prevalent。