附原文 | 一文读懂《2024年数据泄露调查报告》

在数字化浪潮蓬勃发展的当下，网络安全对于企业和各类组织的稳定运行起着至关重要的作用。安全极客社区精心翻译整理的《2024 年数据泄露调查报告》正式发布，该报告详细阐述了由网络安全威胁导致的数据泄露等重要信息，为深入了解网络安全风险格局提供了全面而深入的视角。若希望获取报告的详细原文以及精准翻译文稿，可加入知识星球查看全文。

《2024 年数据泄露调查报告》对网络安全态势展开了全面且深入的剖析。报告从行业与地区两个维度详细分析了数据泄露状况。在行业方面，涉及住宿餐饮、教育服务等诸多领域，各行业面临的威胁与挑战具有明显差异。在地区层面，包括欧洲、中东、非洲地区等，不同地区也呈现出不同特点。此外，报告深入介绍了系统入侵、社会工程学攻击等多种事件分类模式，并针对每种模式提出了相应的 CIS 控制措施建议。通过这些内容，为各行业和地区应对网络安全威胁提供了全面而具有针对性的参考依据。

核心调研结果摘要

从网络安全的关键趋势来看，多方面的变化值得关注。首先，漏洞利用现象显著增多，借助漏洞实施的数据泄露攻击涨幅高达 180%，这一急剧的增长态势如同汹涌浪潮，给网络安全防御带来巨大压力。勒索软件与敲诈勒索团伙敏锐地利用这一趋势，将漏洞作为突破网络防线的关键切入点，其中网络应用程序成为最易被攻击的薄弱环节。

其次，在勒索相关的趋势方面，数据泄露事件中有约三分之一与勒索软件或其他敲诈勒索手段相关。其中，敲诈勒索攻击的占比逐渐上升至 9%，勒索软件攻击虽略有下降至 23%，但两者合计仍占据 32% 的比例，这一情况在 92% 的行业中都被视为极为严重的安全威胁。

第三，人为因素在数据泄露事件中的影响力不容小觑，其在 68% 的泄露事件中起到关键作用。经过严谨的分析与计算方式调整后，更突显其重要性，这表明强化安全意识培训对于组织构建稳固的安全防线至关重要，有望有效防范超三分之二的潜在违规风险。另外，第三方因素引发的数据泄露问题愈发突出，其占比上升至 15%，同比增长 68%。这一现象暴露出供应链中存在的安全隐患以及组织间依存关系管理的不足，为各组织在供应链安全管控方面敲响了警钟。

最后，网络钓鱼攻击呈现出新的特点，其报告率呈现上升趋势。在模拟测试场景中，有五分之一的用户能够识别并报告钓鱼攻击，且点击钓鱼邮件的用户中有超过 10% 能够及时察觉异常。然而，用户在面对钓鱼邮件时，从点击到可能泄露数据的时间往往极短，通常不足 60 秒，这使得用户在应对此类攻击时面临着极大的风险。经济利益驱动的攻击者善于精准选择攻击手段，勒索软件与敲诈勒索在近三年频繁出现，商业电子邮件泄露在近两年也稳定占据四分之一的比例，持续对网络安全防护体系构成严重挑战。

结果与分析

（一）关键发现

在网络安全的关键发现方面，呈现出多维度的显著特征。其一，入侵路径发生转型，利用漏洞实施违规的攻击数量大幅增长，网络应用程序成为主要攻击目标，凭证窃取与漏洞突破的情况集中于此。尽管 VPN 近期受到关注，但在报告中其漏洞利用占比仍处于上升初期。组织需谨慎评估攻击面并收缩防线以应对入侵威胁。其二，人为因素指标经过重塑，排除恶意权限滥用情况后，聚焦于安全意识可作用范畴。在 68% 的违规事件中都涉及人为因素，这与去年数据相近，凸显了安全意识培训在组织安全防护中的重要地位。其三，第三方风险指标呈现新态势，涵盖商业伙伴漏洞、数据处理商疏忽和软件供应链脆弱等多因素，引发 15% 的违规事件且同比激增 68%，反映出组织生态系统在网络安全协同防御的薄弱环节。

（二）VERIS多维解读

从 VERIS 多维视角分析，在行为人方面，外部行为人占比 65% 仍居主导，但内部行为人占比上升至 35%。其中七成内部引发的违规事件隐藏于杂项错误模式中，提示组织需重视内部管理。经济利益是主要动机（95%），间谍活动动机占比升至 7% 且多见于公共管理领域，有组织犯罪相关行为人占优，终端用户因误送错误导致比例翻倍至 26%，推动杂项错误模式增长。通用人工智能虽受关注但未在 VERIS 行为者名录，传统攻击手段仍主导网络犯罪。

在行动类别上，违规事件中被盗凭证（24%）与勒索软件（23%）接近，敲诈勒索（9%）也较为突出（三者共占 32%）；在事件中拒绝服务攻击（59%）占优，勒索软件（12%，与敲诈勒索合计影响力类似去年 “勒索加敲诈”）影响持续。假冒攻击超越网络钓鱼成为社交工程学攻击主要形式，通过多渠道布局。入侵途径与行动紧密关联，失误引发的情况增多，网络应用程序与凭证窃取、漏洞利用关联紧密成为数据泄露关键因素。

在各类资产受影响的情况部分，报告详细分析了不同类型资产在数据泄露事件中的受影响比例及其广泛性。以下是该部分内容的概括与分析：

1.资产受影响的总体情况：报告显示，服务器资产在数据泄露事件中的占比超过95%，成为受攻击最为集中的资产类型。服务器的高受影响比例反映了攻击者对关键基础设施的高度关注，尤其是在存储、处理和传输敏感数据的服务器上。报告进一步分析了服务器被攻破的不同模式，揭示了攻击者如何通过多种手段侵入服务器并获取敏感信息。

2.文件服务器的突出表现：其中，文件服务器在本年度的数据泄露事件中尤为突出，尤其是在MOVEit漏洞相关事件中的影响尤为明显。MOVEit漏洞暴露了文件服务器在处理大量敏感文件时的安全隐患，攻击者通过利用该漏洞成功渗透多个企业和组织的文件系统，造成了广泛的数据泄露。报告强调，这一事件突显了文件服务器作为存储和管理敏感信息的核心资产，面临着极高的安全风险。

3.Web应用和邮件服务器的受影响情况：Web应用服务器和邮件服务器则主要与凭证盗窃型的泄露事件相关。这些服务器被攻击者用来窃取用户的登录凭证，从而获取访问系统的权限。凭证盗窃的攻击方式常见于网络钓鱼或通过社会工程学手段获取用户密码，Web应用和邮件服务器由于直接面向互联网，成为攻击者的首要目标。报告指出，凭证盗窃事件在Web应用和邮件服务器中尤为高发，展示了这些资产在互联网安全防护中的脆弱性。

4.集中现象的背后原因：服务器资产占据如此高的受影响比例，与其在数据存储和处理中的核心作用密切相关。服务器不仅是组织IT基础设施的核心，也是数据泄露攻击者首要的目标。攻击者通常会通过对服务器的入侵，获取大量敏感数据或系统权限。报告分析了这一现象的根本原因，认为这与组织在网络安全防护上的集中资源投入较少、服务器配置缺乏足够的安全防护措施等因素密切相关。

总体来说，报告通过深入分析不同资产类型的受影响情况，揭示了文件服务器、Web应用和邮件服务器在数据泄露事件中的重要性及其面临的风险，并为提高这些资产的安全性提供了针对性的建议。

事件分类模式

（一）模式分类

依据 VERIS 要素确定的八种模式中，系统入侵在数据泄露方面占比 36%，处于领先；拒绝服务攻击则在事件领域超 50%，占据首位。社会工程学与各类错误模式逐渐凸显，而基本网络应用程序攻击模式影响力下降，这些变化体现了网络犯罪策略的动态演变。

（二）主要模式

1.系统入侵：揭示了该模式持续成为最频繁的数据泄露类型，占所有事件的36%。这一模式主要由黑客技术和恶意软件驱动，攻击者通过漏洞利用和后门渗透系统，并通常部署勒索软件，敲诈受害者。勒索软件在系统入侵中占据70%的比例，并且与敲诈行为的结合进一步增强了其威胁。Web应用、电子邮件和桌面共享软件是常见的攻击向量。报告还指出，勒索软件在92%的行业中普遍存在，且受害企业支付的赎金中位数为46,000美元，占公司收入的1.34%。基于这些发现，报告建议加强漏洞管理、部署多因素身份验证（MFA）并制定应急响应流程，以提高防御能力并减少勒索软件的影响。

2.社会工程学：网络钓鱼与借口式欺诈主导（占入侵事件 73%）。借口式欺诈在超 40% 事件中出现，网络钓鱼在 31% 事件里存在，通过多渠道实施。商业电子邮件诈骗影响严重，交易金额中位数约 5 万美元，不过受害者与执法合作有一定成效。勒索融入此模式，MOVEit 漏洞起催化作用。组织需强化安全教育、账户管理等以应对。

3.基本的应用程序攻击：主要针对防护薄弱的 Web 应用程序，攻击者通过被盗凭证（77%）、暴力破解（21%）或漏洞利用（13%）等突破。加密货币挖矿恶意软件在攻击事件中占 20%。被盗凭证近十年在近三分之一入侵事件中出现，来源多样，且凭证售卖市场混乱。组织防御要注重账户管理、访问控制和持续漏洞管理。

4.其它各种错误：皆由内部人员失误引发，误送错误超 50%，终端用户错误率达 87%，系统管理员错误率 11%。医疗保健与公共管理行业较突出。误送错误为主，配置错误减少，还有分类、发布等错误类型。组织需构建数据保护体系、强化漏洞管理、深化应用软件安全和聚焦员工培训。

5.拒绝服务：持续占据各类事件超 50%，具低成本、易实施特点。CDN 监测显示攻击流量规模中位数微降但高百分位数上升，攻击时长多在五分钟内，精准定位攻击流量增加，ISP 面临挑战。组织需部署自动化或半自动化防护系统保障网络可用性。

6.遗失和被盗资产：设备遗失风险大于被盗，笔记本电脑尤甚。今年相关事件数与致数据泄露比例上升，去年约 8%，今年达 91%。组织应强化数据加密、启用设备自动锁定与远程擦除功能。

7.特权滥用：部分员工受经济利益（88%）或间谍活动动机（46%）驱使窃取数据，个人数据是主要目标，内部数据窃取有增加趋势，欺诈性交易占比回稳至 3%。企业需雕琢资产与软件安全配置，在账户管理和访问控制方面构建有效流程防范风险。

行业洞察

（一）行业数据

借助北美行业分类系统（NAICS），报告对大量事件展开深度剖析。不同行业因攻击面、技术架构、数据处理逻辑、法规监管及样本数量等差异，呈现出各异的安全特性。所以组织在考量自身行业安全状况时，不能仅凭报告草率判断，而应深入探究行业主要模式内涵，并结合报告对应章节细致分析，从而精准把握安全态势。

（二）重点行业

1.住宿和餐饮服务：系统入侵、社会工程学及基本网络应用程序攻击在数据泄露事件中占比达 92%，外部人员主导（92%）且受经济利益驱使（100%）。社会工程学攻击增多（占事件 25%），借口型攻击翻倍至 20%，勒索软件占事件 16% 且支付卡数据泄露比例降至 19%，可能因芯片技术变化促使攻击者改变策略。

2.教育服务：系统入侵、社会工程学及各类错误主导数据泄露的 90%，外部人员占 68%，经济利益动机为主（98%），间谍活动动机少量（2%）。内部错误多（误送 56% 等）且受外部敲诈勒索威胁，MOVEit 漏洞引发恶意软件、黑客攻击与敲诈勒索比例相近，严重危害行业数据安全。

3.金融与保险：系统入侵取代部分简单攻击模式成为主要威胁，与社会工程学攻击及各类错误共同构成格局。外部人员占 69%、内部 31%，经济利益动机达 95%，间谍活动动机占 5%。误送错误持续，勒索软件与窃取凭证在系统入侵中常见，8% 案例涉 MOVEit 数据泄露，凸显供应链安全审查的紧迫性。

4.医疗保健：各类错误、权限滥用与系统入侵占据 83% 份额，内部人员主导（70%），经济利益动机占 98%。自 2018 年起内部人员蓄意泄露数据比例先降后升，个人信息取代医疗数据成为攻击重点，可能因数据价值重估与攻击策略调整，给行业数据保护带来新挑战。

5.信息：系统入侵、基本网络应用程序攻击与社会工程学在数据泄露中占 79%，外部人员占 79%，经济利益动机 87%，间谍活动动机 14%。虽总体样本增加但行业泄露事件减少 741 起，勒索软件与窃取凭证在系统入侵中突出，社会工程学中钓鱼攻击略降、借口型攻击上升，欧洲、中东和非洲地区事件凸显部分风险增加，需强化侦查控制措施。

6.制造业：系统入侵、社会工程学及各类错误占 83% 份额，外部人员 73%，经济利益动机 97%。错误相关泄露剧增，误送错误近半，系统入侵与窃取凭证、勒索软件关联紧密，网络钓鱼致服务器 - 邮件资产常遭攻击，数据安全形势严峻。

7.专业、科学和技术服务：社会工程学、系统入侵及各类错误主导 85% 数据泄露事件，外部人员 75%，经济利益动机 95%，间谍活动动机 6%。个人与凭证信息受攻击，借口型攻击在数据泄露中占 40%，错误数量上升，各机构需防范关键权限被利用。

8.公共管理：各类错误、系统入侵及社会工程学占据 78% 份额，内部人员主导（59%），经济利益动机 71%，间谍活动动机 29%。误送错误使各类错误模式居首，系统入侵与社会工程学攻击常见，内部人员失误引发泄露远超恶意行为，外部以有组织犯罪与国家关联行为体为主，行业需强化管控提升安全韧性。

9.零售业：系统入侵、社会工程学及基本网络应用程序攻击占 92% 优势，外部人员主导（96%），经济利益动机 99%。凭证信息成攻击重点（38%），支付卡数据降至 25%，借口型社会工程学攻击超网络钓鱼，拒绝服务攻击干扰运营，勒索软件事件自 2021 年递减，带来新挑战与机遇。

区域解读

（一）区域界定与数据概览

按照联合国 M49 标准，将全球划分为亚太、欧洲中东非洲（EMEA）、北美地区（NA）这三个 “网络安全战区”。由于新数据提供者的加入，EMEA 地区的 “各类错误” 模式变得突出，成为首要模式，而系统入侵模式在各个地区都保持着关键地位，较为稳固。在北美地区，社会工程学模式出现大幅增长，从 29% 迅速上升至 45%，其中敲诈勒索是主要推动因素。在这些地区中，经济利益是外部攻击的主要驱动力，不过亚太地区的间谍活动动机较为特殊，占比达 25%，这导致该地区内部数据与机密信息泄露风险增加，并且凭证信息泄露比例高达 69%，在全球网络犯罪格局中形成了独特的现象，也表明凭证与个人数据是全球网络安全攻防的关键领域。

（二）区域安全态势地图

热图能够全面地展示各区域在攻击模式、行为类型以及资产种类方面的细微差别，为企业提供了基于地理维度的安全指引。企业可以依据热图精准确定区域风险特征，再结合自身的行业特点、组织架构等要素，制定出全方位的防御策略。例如，在高风险区域着重加强特定攻击的防御能力、优化资产的保护配置、提升人员的安全意识等，从而在网络安全的道路上有效规避风险，实现稳定发展。

总结

《2024 年数据泄露调查报告》深度分析了特定时期内的网络安全态势。网络威胁严峻，利用漏洞的数据泄露攻击剧增，勒索软件及相关攻击占比上升，社会工程学攻击常见。事件分类涵盖多种模式，各行业如住宿餐饮、教育服务等面临不同威胁，地区间也存在差异。报告揭示了数据提供者对结果的影响，附录提供补充信息助力风险评估与安全管理。整体表明各组织需高度重视网络安全，依据报告洞察采取有效防范措施应对复杂多变的威胁。

附：