2023年，美國的漏洞和數據泄露數量大幅飆升，雙雙創下歷史新高。

根據Bugcrowd的最新報告，2023年Bugcrowd平臺內Web漏洞提交量激增30%、API漏洞提交量增加18%、Android漏洞提交量增加21%、iOS漏洞提交量增加17%年。

政府安全漏洞暴增151%

其中美國政府部門的眾包安全漏洞增長最為顯著，漏洞提交量增長了151%。零售業(+34%)、企業服務(+20%)和計算機軟件(+12%)行業的漏洞提交量也顯著增加。

ITRC還報告稱，2023年，近11%的上市公司受到攻擊，雖然大多數行業的攻擊數量略有增加，但醫療、金融服務和運輸行業報告的攻擊數量比2022年增加了一倍多。

開源普及導致零日漏洞利用爆發

應用安全公司Apona Security的產品主管Roger Neal表示，開源軟件組件的使用增加導致零日攻擊的增長：“幾乎所有代碼庫中80%以上都至少包含一個第三方組件，”他解釋道。“這對于提高開發效率非常有用，但我們常常忽視了這些組件可供任何人訪問并在受控環境中進行深入測試，從而為越來越多的零日攻擊打開了大門。”

數據泄漏創下歷史新高

根據身份盜竊資源中心(ITRC)上周五發布的年度數據泄漏報告，在零日漏洞和供應鏈攻擊的推動下，2023年美國數據泄露事件創下歷史新高。

2023年美國的數據泄露數量比2022年增加了78%，從1801起暴增到3205起，比2021年的高峰記錄(1860起)足足高出了72%。

報告發現，大多數數據泄露都與網絡攻擊有關。與前幾年相比，與網絡釣魚相關的攻擊和勒索軟件攻擊略有下降，而惡意軟件和零日攻擊則大幅增加。零日漏洞、供應鏈攻擊事件比之前的記錄暴增了72%，預計2024年將再創新高。

ITRC報告指出，往年造成數據泄露的零日漏洞攻擊數量很少(每年報告1-4個零日漏洞)，但2023年報告的零日漏洞多達110個，遠高于2022年的8個。

2023年美國十大數據泄露事件的規模統計如下：

美國數據安全法規存在重大紕漏

ITRC指出，美國的數據泄露通知法規存在重大缺陷，發生泄漏數據的組織和通知受害者的組織之間存在巨大的數量差距。

ITRC的報告發現，沒有披露具體信息(攻擊媒介、歸因等)的數據泄露通知數量同比幾乎翻了一番。2023年，超過1400份數據泄漏通知不包含有關攻擊媒介的信息，而2022年只有716份。

隨著遭受供應鏈攻擊的企業數量快速增長，瞞報或不透明報告問題顯得尤為嚴重。一個最為顯著的例證是，在SEC上市公司安全事件披露“四日新規”生效后不到一個月，惠普和微軟相繼報告了此前長期瞞報的網絡攻擊/數據泄漏事件，結果發現二者遭遇了來自同一個APT組織的攻擊。

網絡攻擊精度提升：數據泄漏數量增加但受害者人數減少

盡管ITRC報告的數據泄露數量大幅增加，但ITRC發現受泄露影響的受害者人數有所下降，降至353,027,892人，比2022年的425,212,090人下降了16%。這種下降屬于長期趨勢。與受害者人數最多的2018年相比，下降幅度高達84%。這表明攻擊者正在更有針對性地采集目標的畫像數據，以實施更加精準和復雜的攻擊。

ITRC首席運營官詹姆斯·E·李(James E. Lee)表示，“當今獲取個人身份數據的攻擊者對目標系統的攻擊更加精準，附帶損害隨之減少。這也是攻擊次數增加而受影響人數減少的原因。”

數據安全能力成為企業核心競爭力

根據思科2024年數據隱私基準研究，幾乎所有(94%)的受訪安全和隱私專業人士表示，如果企業不能正確保護數據，消費者/客戶就不會購買其產品。

絕大多數受訪者支持其政府實施數據隱私法，80%的受訪者認為隱私法對其企業產生了積極影響，只有6%的人認為隱私法產生了負面影響。值得注意的是，中國的受訪者對政府數據隱私法規的支持度最高，為91%(下圖)：

97%的受訪者認為企業應該負責任地以合乎道德的方式使用數據，95%的人認為企業數據隱私保護投資的商業利益大于成本。

數據隱私保護和商業利益之間日益緊密的聯系使其成為董事會的關注重點。幾乎所有(98%)受訪者都向董事會報告了一項或多項隱私指標，超過一半的受訪者報告了三項或更多。

董事會匯報使用最多的隱私指標：

• 安全審計結果(44%)
• 數據泄露(43%)
• 數據主體訪問請求(31%)
• 事件響應(29%)

數據泄漏預防建議：重視“基操”，打造企業安全文化

正如微軟發布的《2023年數字防御報告》中所強調的：基本的安全衛生措施依然可以防御99%的網絡攻擊，這包括啟用多因素身份驗證(MFA)、應用零信任原則、使用XDR和反惡意軟件、保持設備軟件的更新等。

此外，企業員工安全意識培訓需要強調公司的所有部門和人員(不僅僅是IT)都是網絡犯罪分子的目標，從高管到一線員工的所有工作崗位都需要遵循最佳安全實踐，形成全面持久深入的安全文化。