2023年,美國的漏洞和資料洩露數量激增,均創下歷史新高。
根據 BugCrowd 的最新報告,2023 年的 Web 漏洞提交量激增 30%,API 漏洞提交量增加 18%,Android 漏洞提交量增加 21%,iOS 漏洞提交量增加 17%。
*安全漏洞激增了 151%。
其中,美國**行業的眾包安全漏洞增長最為顯著,漏洞提交數量增長了151%。 零售(+34%)、企業服務(+20%)和計算機軟體(+12%)行業的漏洞提交量也大幅增加。
ITRC 還報告稱,2023 年,近 11% 的上市公司遭到攻擊,雖然大多數行業的攻擊數量略有增加,但醫療保健、金融服務和運輸行業報告的攻擊數量比 2022 年增加了一倍多。
開源的激增導致了零日漏洞的爆炸式增長。
根據應用程式安全公司 Apona Security 的產品主管 Roger Neal 的說法,開源軟體元件的使用增加導致零日攻擊的增加:“幾乎所有庫都包含至少乙個第三方元件,”他解釋道。 “這對開發效率非常有用,但我們經常忽略這樣乙個事實,即任何人都可以訪問這些元件,並在受控環境中進行深入測試,這為越來越多的零日攻擊開啟了大門。 ”
資料洩露率創歷史新高。
根據身份盜竊資源中心(ITRC)上周五發布的年度資料洩露報告,2023年美國的資料洩露數量創下歷史新高,這是由零日漏洞和**鏈攻擊推動的。
與 2022 年相比,2023 年美國的資料洩露數量增加了 78%,從 1,801 起增加到 3,205 起,比 2021 年的峰值(1,860 起)高出整整 72%。
該報告發現,大多數資料洩露都與網路攻擊有關。 與往年相比,與網路釣魚相關的攻擊和勒索軟體攻擊略有減少,而惡意軟體和零日攻擊則顯著增加。 零日漏洞和**鏈攻擊已從之前的記錄飆公升了72%,並有望在2024年達到新高。
ITRC報告指出,前幾年導致資料洩露的零日漏洞數量很少(每年報告1-4個零日漏洞),但2023年報告了多達110個零日漏洞,高於2022年的8個。
2023 年美國十大資料洩露事件的規模如下:
美國資料安全法規存在重大差距。
ITRC指出,美國的資料洩露通知法規存在重大缺陷,洩露資料的組織與通知受害者的組織之間存在巨大的數量差距。
ITRC報告發現,未披露特定資訊(攻擊媒介、歸因等)的資料洩露通知數量同比幾乎翻了一番。 2023 年,超過 1,400 份資料洩露通知不包含有關攻擊媒介的資訊,而 2022 年為 716 份。
隨著遭受**連鎖攻擊的企業數量的快速增長,隱瞞或不透明舉報的問題尤為嚴重。 其中乙個最引人注目的例子是,在SEC披露上市公司安全事件的“新四天規則”生效不到乙個月後,惠普和Microsoft相繼報告了一起隱藏已久的網路攻擊資料洩露事件,並發現他們遭到了同乙個APT組織的攻擊。
網路攻擊的精確度提高:資料洩露的數量有所增加,但受害者的數量卻有所減少。
儘管 ITRC 報告的資料洩露數量顯著增加,但 ITRC 發現受洩露影響的受害者人數有所減少,降至 353,027,892 人,比 2022 年的 425,212,090 人下降了 16%。 這種下降是乙個長期趨勢。 與2018年相比,這一數字下降了84%,當時受害者人數最多。 這表明攻擊者正在從目標收集更有針對性的分析資料,以執行更精確和複雜的攻擊。
James E. Lee,ITRC首席運營官“如今,能夠訪問個人身份資料的攻擊者在攻擊目標系統時更加精確,從而減少了附帶損害。 這也是攻擊次數增加而受影響人數減少的原因。 ”
資料安全能力已成為企業的核心競爭力。
根據思科的 2024 年資料私隱基準研究,幾乎所有 (94%) 接受調查的安全和私隱專業人士都表示,如果企業不能正確保護他們的資料,消費者客戶就不會購買他們的產品。
絕大多數受訪者支援實施資料私隱法,80%的受訪者認為私隱法對其業務有積極影響,只有6%的受訪者認為私隱法有負面影響。 值得注意的是,中國受訪者對資料私隱法規的支援率最高,為91%(下圖)。
97%的受訪者認為,企業應該負責任和合乎道德地使用資料,95%的受訪者認為,投資資料私隱的商業利益大於成本。
資料私隱保護與商業利益之間日益增長的聯絡使其成為董事會關注的焦點。 幾乎所有(98%)受訪者都向董事會報告了乙個或多個私隱指標,超過一半的受訪者報告了三個或更多。
董事會報告最常用的私隱指標:
安全審計結果 (44%)
資料洩露 (43%)
資料主體訪問請求 (31%)
事件響應 (29%)
資料洩露防範建議:注重“基礎操作”,打造企業安全文化。
正如 Microsoft 的 2023 年數字防禦報告中所強調的那樣,基本的安全衛生措施仍然可以抵禦 99% 的網路攻擊,包括啟用多重身份驗證 (MFA)、應用零信任原則、使用 XDR 和反惡意軟體以及保持裝置軟體更新。
此外,員工安全意識培訓需要強調,公司的所有部門和人員(不僅僅是 IT)都是網路犯罪分子的目標,從高管到一線員工,所有崗位都需要遵循最佳安全實踐,形成全面、持久、深入的安全文化。