1

主要調查結果

在2021年，即便受疫情影響，數據收集、共享和分析也并未減弱。根據Statista的數據，全世界總共生產和消費了79ZB數據，預計到2025年將增長到180ZB以上。

Verizon數據泄露調查報告（DBIR）詳細概述了2021年的相關情況。Verizon發現，大約80%的數據泄露來自目標組織外部，20%是由組織內部造成的。動機主要是經濟利益（大約90%），其次是間諜活動（不到10%）。Web應用程序、電子郵件和人員的粗心大意（如操作錯誤和配置錯誤）是數據泄露的主要途徑，再加上使用被盜憑證、勒索軟件和網絡釣魚等構成了數據泄露的基本類型。這再次表明，人為因素是導致數據泄露的主要成因。事實上，82%的數據泄露涉及人為因素。盡管人為因素在數據泄露中占比很重，但值得注意的是，利用漏洞導致的數據泄露已經翻了一番，在2022年已達7%。

導致數據泄露的威脅和行為主要涉及黑客（~50%）、惡意軟件（~40%）、社交（~20%）和錯誤（13%）。服務器是最主要的攻擊目標（近90%），其次是人員（不到30%）和用戶開發（不到20%）。

據DBIR顯示，憑證和個人數據是攻擊者最感興趣的數據。憑證對于攻擊者掩蓋其活動至關重要，而個人數據對于金融欺詐和轉售非常有用。

與2020年類似，受內部錯誤影響最大的行業是金融和保險、醫療保健、公共管理和專業領域：

-在金融領域，以經濟利益為動機的有組織罪犯利用社會行為（網絡釣魚）、黑客攻擊（使用被盜證書）和惡意軟件（勒索軟件）來進行攻擊。90%的數據泄露與服務器有關，而在Web應用程序中，這一比例上升至51%?；镜腤eb應用程序攻擊、系統入侵以及各種錯誤占入侵的79%。

-在醫療保健行業，基本的Web應用程序攻擊、各種錯誤和系統入侵占入侵總數的76%，內部仍然突出（39%）。

-在信息領域，系統入侵、基本Web應用程序攻擊和各種錯誤占入侵總數的81%。

-在公共管理部門，個人數據和證書分別占泄露數據的46%和34%。

關于地理分布，DBIR觀察到：

-亞太地區社會行為和黑客攻擊數量多，勒索案件數量少得多；

-EMEA社會工程增加，證書盜竊成為其最大問題；

-系統入侵模式成為NA中最重要的模式，社會工程仍然發揮著重要作用；

-勒索軟件和拒絕服務攻擊分別占LAC地區事件的37%和27%。

2

主要事件及趨勢

2.1 攻擊媒介、資產和動機與2021年相似

就攻擊載體而言，特別是作為攻擊基礎的行為類型，使用被盜證書、勒索軟件和網絡釣魚仍然排在前五名。與2021年相比，被盜證書的使用占主導地位（約40%），勒索軟件的使用大幅增加了13%，總量達到25%，網絡釣魚的使用總量下降了約20%。

服務器、人員和用戶設備仍然位于主要目標資產的前三個位置，具有相同的順序和相似的份額。同樣的討論也適用于資產類型，其中Web應用程序、郵件和臺式機或筆記本電腦仍然位于排名的前三位。

與過去幾年一樣，經濟利益仍然是最常見的動機。以經濟利益為動機的攻擊占網絡攻擊的比重已經增加到近90%，例如直接從金融賬戶中竊取資金，竊取信用卡信息或其他類型數據，可以變現或索要贖金。以間諜活動為動機的攻擊約占網絡攻擊的10%。

2.2 數據泄露逐年增加

數據的核心作用導致收集的數據量急劇增加。同時，數據泄露數量也在持續的增長。

身份盜竊資源中心（ITRC）總裁兼首席執行官Eva Velasquez表示，在2021年，美國報告的數據泄露事件比2003年首部州數據泄露通知法生效以來的任何一年都要多，與此同時，只有不到5%的人在收到數據泄露通知后采取了有效的保護措施。

數據泄露數量比2020年增加了68%，比之前的記錄增加了23%。這種數據泄露激增的情況與部門無關，在每個主要部門內都有增加，軍事部門除外。

2.3 身份盜竊和合成身份

由于數據泄露事件的增加，個人敏感數據很容易被惡意行為者通過在線論壇或暗網獲取。根據美國聯邦貿易委員會（FTC）的數據，2021年收到了140萬份身份盜竊報告，其中，最具針對性的受害者年齡在30歲至39歲之間。根據McAfee，信用卡欺詐是最常見的身份盜竊類型。

根據ETL 2021，許多事件可能涉及合成身份。合成身份盜竊是一種欺詐行為，犯罪分子將真實信息和虛假信息結合起來，創造出一個新的身份。根據美國聯邦儲備委員會（Federal Reserve）的說法，由于用于驗證個人身份的個人身份信息是靜態的，合成身份事件在美國更為常見。2021年，合成身份欺詐仍在增加，FiVerity估計損失將增至200億455萬美元。

2.4 行為者享有高回報數據的特權

身份盜竊資源中心還在其2022年年度數據泄露報告中稱，網絡犯罪分子的動機已經轉變，他們不再以消費者為目標竊取大量個人信息，而是專注于特定的數據類型。一個典型的例子是盜取憑證。這導致受害者人數減少了5%，盡管受害者總數仍然很高。

2.5 勒索軟件

與勒索軟件相關的數據泄露越來越重要。勒索軟件也越來越多地用于針對CIA三位一體系統和相應數據的聯合攻擊。例如，勒索拒絕服務（RDoS）是拒絕服務攻擊的新前沿。RDoS旨在識別脆弱的攻擊目標，并實施不同的行為，最終要求被攻擊方支付贖金。歐洲刑警組織在其IOCTA 2021報告中報告稱，DDoS攻擊之后是贖金要求，與前一年相比，大規模攻擊有所增加。根據Cloudflare的數據，2021年第四季度，勒索DDoS攻擊同比增長29%，環比增長175%。

2.6 數據中毒和數據操縱

    歐盟H2020項目CONCORDIA將數據中毒確定為數據領域的主要威脅之一。

事實上，可靠的數據是實現基于數據的安全自主和自適應系統的先決條件。特別是，收集到的數據和對現代系統行為的相應推論的核心作用增加了數據中毒和操縱所帶來的風險。后者將成為數據驅動系統的根本威脅，在數據驅動系統中，數據完整性不僅是要保護和保證的唯一屬性，而且還應支持數據來源、不可抵賴性和問責制。

在這種情況下，勒索軟件攻擊以及深度偽造正在蔓延，并以數據的完整性和可用性為目標，為完全建立在未經驗證的數據上的決策帶來了巨大的風險。

2.7 ML模式數據提取

 機器學習（ML）模型是現代分布式系統的核心，并日益成為攻擊的目標。數據中毒和數據操縱的一個直接后果是機器學習模型的準確性下降。

一方面，根據歐盟H2020項目CONCORDIA，其交付的d4.1機器學習模型可以通過用于模型訓練的中毒數據來實現攻擊。由此產生的模型將學習與目標系統的真實和正確行為不同的行為，迫使系統做出錯誤的決定。另一方面，機器學習模型可能成為對抗性攻擊的目標，旨在將ML模型與推理時精心制作的惡意數據點混淆。這些攻擊正在增長，是ML或AI領域的主要威脅。

另外，模型竊取或提取的目的是重建黑盒模型或從黑盒模型中提取數據。在這種情況下，成員關系推斷攻擊的目的是從已部署的ML模型中恢復訓練集。2017年的一項開創性工作僅允許根據模型預測在訓練集中推斷出特定數據點的存在。這種攻擊后來在大型模型上執行，帶來了重大的隱私和經濟風險。

3

其他趨勢

1）未知原因的數據泄露數量正在增加，使“未知”根本原因成為2022年第一季度最大的攻擊向量。自2020年以來，美國的這一數字增長了190%，總體增長了40%。

2）網絡犯罪分子以特定數據類型為目標，而不是大規模竊取數據，導致受害者數量減少（比2021年減少5%）。然而，消費者數據被多次泄露的數量仍然很高。

3）根據IBM的數據，2021年的平均成本最高，為424萬美元，遠程工作和云遷移帶來了額外的影響。

4）安全人工智能產生了最大的成本降低效果。

5）勒索軟件已經改變了數據泄露的形式，并要求企業修改應對措施。

6）云遷移在過去幾年中不斷增加，現在正在轉向多云戰略，但數據管理和保護仍然落后。根據Thales公司的說法造成落后的原因有: 加密使用有限、多云的復雜性和快速增長的企業數據，以及云數據安全尚不成熟。

7）根據Thales公司的說法，投資的合規性以及彈性和數據泄露之間存在明顯的相關性，這意味著改進合規性會帶來更好的安全結果。

8）根據Tenable Research的數據，數據泄露將繼續急劇增長，2021年報告的數據泄露數量是2020年的2.5倍以上。與此同時，泄露的記錄數量增加了78%。據稱，被盜數據量超過260 TB，涉及超過18億份文件、文檔或電子郵件。

參考文獻

[1]https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:02016R0679-20160504&from=EN.

[2]https://www.domo.com/learn/infographic/data-never-sleeps-9.

[3]https://www.verizon.com/business/resources/reports/2022/dbir/2022-data-breach-investigations-report-dbir.pdf.

[4]https://www.ftc.gov/system/files/ftc_gov/pdf/CSN%20Annual%20Data%20Book%202021%20Final%20PDF.pdf.

[5]https://www.mcafee.com/blogs/tips-tricks/a-guide-to-identity-theft-statistics-for-2022/#:~:text=An%20estimated%2015%20million%20Americans,Fraud%20Study%3A%20The%20Virtual%20Battlegroun).

[6]https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021.

[7]https://www.fiverity.com/resources/fiverity-introduces-2021-synthetic-identity-fraud-report2.

[8]https://www.europol.europa.eu/cms/sites/default/files/documents/internet_organised_crime_threat_assessment_iocta_2021.pdf.

[9]https://blog.cloudflare.com/ddos-attack-trends-for-2021-q4/.

[10]https://www.concordia-h2020.eu/wp-content/uploads/2020/06/D4.1_Ready_for_Submission_D4.1-final_revised.pdf.

[11]https://www.forbes.com/sites/thomasbrewster/2021/10/14/huge-bank-fraud-uses-deep-fake-voice-tech-to-steal-millions/.

[12]https://venturebeat.com/2021/05/29/adversarial-attacks-in-machine-learning-what-they-are-and-how-to-stop-them/.

[13]https://www.idtheftcenter.org/post/data-breach-increase-14-percent-q1-2022/.

[14]https://www.wsav.com/wp-content/uploads/sites/75/2022/01/20220124_ITRC-2021-Data-Breach-Report.pdf.

[15]Cost of a data breach report, IBM, https://www.ibm.com/security/data-breach.

[16]  2022 Thales Data Threat Report.

[17]https://mb.cision.com/Public/20506/3530950/b55a39d9e52a4074.pdf.

[18]Tenable’s 2021 Threat Landscape Retrospective.