主要观点：

• 每年 Verizon 发布的《Verizon 数据泄露调查报告（DBIR）》是研究现实世界中攻击及其影响的重要资料，作者有幸提前获得报告并进行思考。
• 网络安全主要与金钱犯罪有关，金融动机仍是大多数漏洞的驱动因素，间谍活动占比虽上升但仍较低，终端用户导致的漏洞占比上升主要是误投递错误。
• MOVEit 因设计便于存储敏感数据且易于勒索，在 2024 年 DBIR 中被提及 25 次，其影响超过 Log4shell，且与 IT 部门和软件部署模式等因素有关。
• 2024 年 Verizon DBIR 指出用户易受钓鱼邮件影响，平均 21 秒点击恶意链接，从理性角度看这是合理的，减少邮件数量可提高员工审查邮件的积极性。
• 攻击者未大量使用生成式 AI，社会工程攻击已足够成功，防御者可从中学习。
• 漏洞利用在 2024 年有所增加，但仍低于凭证或钓鱼，Web 应用仍是攻击者的最爱，软件供应链中的漏洞问题值得关注，但报告的评论有待改进。
• 2024 年 DBIR 中勒索软件和敲诈勒索合并，占财务动机漏洞的约 62%，多数勒索软件事件无直接损失，应以更合理的方式呈现相关数据和成本。

关键信息：

• 2024 年 DBIR 相关数据及图表，如威胁行为者动机、种类、MOVEit 受害者行业、漏洞利用方式等。
• 作者对各部分内容的分析和观点，包括对网络安全现状的看法、与其他相关事件的对比等。
• 强调数据的重要性以及对行业的影响，呼吁供应商参与报告以提升对网络安全现状的理解。

重要细节：

• 金融动机在 5632 起漏洞中占约 93%，间谍活动在公共管理漏洞中占 7%，终端用户导致的漏洞从 11%上升到 26%。
• MOVEit 主要客户在教育和医疗行业，其设计特点使其易受攻击，如互联网可访问、数据存储方式统一等。
• Litmus 研究显示人类平均花 9 秒看邮件，30%接收不到 2 秒注意力，29%超过 8 秒。
• Gen AI 在地下犯罪论坛中提及较少，主要用于出售账户和生成非自愿色情内容。
• 2024 年 DBIR 中勒索软件相关数据，如中位数损失、请求赎金与公司收入的比例等。
• 作者对软件供应链中漏洞问题的看法，如难以直接测量软件的弹性、可借鉴软件工程社区的方法等。