蝉鸣报告(原爱报告知识星球)
近日,【闪捷信息安全研究中心】发布了《2024年度数据泄漏态势分析报告》,这份报告深入分析了2024年国内外数据泄露事件的态势,揭示了数据安全领域的新挑战和趋势。报告通过对数据泄露事件的多维度统计分析,展现了数据泄露事件与各种原因之间的相关性,并提供了原因分析和说明。报告中不仅概述了数据泄露的背景和报告内容,还详细分析了数据泄露的月份占比、事件类型、动机、原因等关键因素,并对个人信息泄露的行业、维度和严重程度进行了深入探讨。报告内容丰富,为社会各界提供了数据安全领域的宝贵参考和启示,对于理解和应对数据安全威胁具有重要的指导意义。
2024年,数据安全领域经历了前所未有的挑战和变革。随着人工智能技术的飞速发展和应用,数据安全的重要性日益凸显。数据泄露事件频发,给社会、企业和个人带来了巨大的损失和风险,数据安全的价值愈发得到社会各界的重视。
数据泄露事件在2024年各月份的数量占比整体持续上升。年初增长迅速,在四月份至七月份的占比保持平稳,在2024年下半年,又呈现爆发式增长。10月至12月,数据泄露事件的数量总数超过全年总数的30%。这种现象也体现了数据泄露事件在时间维度的特点。临近年末,暗网交易更加活跃,为前期攻击“结账”。同时,年初数起供应链漏洞导致的数据泄露事件的后续效应显现,并且节假日前的攻击窗口扩大,人工智能技术更新带来的新风险,以及勒索软件和地缘政治攻击的集中爆发。这些因素共同作用,使得10月至12月成为数据泄露的高峰期。
数据泄露事件动机占比中,以经济利益为目的的数据泄露事件占比接近80%,这说明数据泄露事件,仍然是利益驱动。据观察发现,不法分子在窃取数据后,可以通过售卖个人信息或知识产权变现,也可以勒索受害者获得收入。据美国卫生与公众服务部的统计数据显示,美国医疗IT公司Change Healthcare在2月遭受的勒索软件攻击损失惨重。联合健康集团首席执行官Andrew Witty向参议员证实,联合健康集团确实向攻击者支付了2200万美元。另据Rapid7统计,全球前10勒索组织在2024年获取的赎金接近4亿美金。巨大的利益催生了更多的数据泄露事件。数据防泄露将是一个系统工程,需要社会各界共同努力。
在导致数据泄露的原因中,数据处置不当和黑客攻击占比最高。黑客攻击的占比超过40%,数据处置不当占比超过30%,超过20%是数据访问凭据泄露,缺乏访问控制的占比为10%。黑客攻击包含了网络钓鱼、APT攻击、爬虫及融合了数据泄露的勒索攻击。其中,通过入侵第三方服务、软件供应商的方式尤为突出。数据处置不当主要是指对数据的保护措施偏离了最初的设定目标,例如访问策略配置错误,甚至缺失,或者安全措施并未发挥作用。
个人信息泄露最严重的是金融行业,占比超过25%。保险和金融部门由于其持有高敏感数据而成为最常见的目标。泄露的原因除了外部攻击,还包括缺乏访问控制、非授权访问、数据库配置错误、“内鬼”和系统漏洞。医疗行业的个人信息泄露占比接近20%。这说明医疗行业的个人信息仍然保持着巨大的吸引力。根据美国卫生与公众服务部民权办公室(HHS OCR)维护的医疗数据泄露数据库统计,2024年1月1日至12月31日期间,共报告了720起医疗数据泄露事件(平均每天发生两起泄漏事件)。这些事件导致大约1.86亿条用户记录被泄露。
个人信息的泄露,会对企业和个人造成损失,也为以后的数据泄露提供了便利。个人信息富含社会关系、访问凭据、健康和资产信息,包含了主体可以被进一步利用的数据,既可以在地下黑市交易,也可以为下一次攻击提供丰富的情报。越来越频繁的个人信息泄露,为社会的不安定埋下了隐患。
勒索攻击已经开始向RaaS(勒索软件作为服务)模式转变。其中最有代表性的当属Netwalker勒索软件。RaaS模式降低了勒索攻击的技术门槛,使得攻击者不需要具备编码和网络渗透技术,只需要购买勒索攻击的服务,即可执行高度复杂的勒索攻击。这为越来越多的犯罪分子提供了便利,也意味着未来会有更多的勒索攻击事件。
员工依然是安全防护的薄弱点。除了员工恶意主动实施数据泄露行为之外,相当一部分数据泄露事件实则源于员工的疏忽大意以及安全意识的欠缺。从一个方面来看,人为失误会直接致使信息暴露于风险之中;从另一个方面来讲,员工因无法精准识别威胁,给社会工程学攻击以及各类钓鱼攻击创造了可乘之机,使其得以成功实施。而这些泄露出去的信息,又进一步增强了后续攻击的欺骗性,如此往复,形成了一个恶性循环。
这篇文章的灵感来自于《2024年度数据泄漏态势分析报告》。除了这份报告,还有一些同类型的报告,也非常有价值,推荐阅读,这些报告我们都收录在同名星球,可以自行获取。
以上为节选样张,关注公众号【蝉鸣报告】回复领取PDF完整电子版(无广告)。
【蝉鸣报告】每日更新最新硬核报告,覆盖产业报告、全球化、经济报告、趋势等全领域。
-页1.webp)
-页1.webp)
