零日供应链攻击导致 2023 年数据泄露数量居高不下

根据身份盗窃资源中心 (ITRC) 发布的年度数据泄露报告，在零日攻击和供应链攻击的推动下，2023 年向该组织报告的数据泄露事件创下了新纪录。

该报告指出，2023 年的数据泄露数量比 2022 年增加了 78%，从 1,801 起增加到 3,205 起，比 2021 年记录的 1,860 起泄露事件高出 72%。

其中一些增长是由老对手推动的。一些在俄罗斯和乌克兰冲突初期袖手旁观的有组织犯罪集团已经重新涉足身份犯罪业务。

我们还看到供应链攻击的大幅增加，组织攻击供应商的团体以获取多家公司的信息。

开源软件组件可能导致零日攻击的增加

第三方供应链攻击旨在寻找组织生态系统中的薄弱环节。如果您已经强化了攻击者最终想要攻击的系统，但供应商更容易进入，那么供应链攻击对攻击者来说就会更具吸引力。

ITRC 在 2023 年的数据泄露报告中发现了更多的零日攻击。我们多年来一直遭受零日攻击，但在造成数据泄露方面，此类攻击的数量一直非常低。我们的零日漏洞数年只有一到四个，而去年我们有 110 个。这比 2022 年有很大增长，当时我们有 8 个零日漏洞。

应用安全公司 Apona Security 的产品主管 Roger Neal 表示，开源软件组件的使用增加可能会导致零日攻击的增加。几乎所有代码库中 80% 以上都至少包含一个第三方组件。这对于提高开发效率非常有用，但我们常常忽视了这些组件可供任何人访问并在受控环境中进行详尽的测试，从而为越来越多的零日攻击打开了大门。

现代软件供应链的复杂性增加了这一挑战，因为它可能隐藏潜在的安全缺陷并使全面审查变得困难。

数据泄露数量增加，但受害者减少

尽管数据泄露数量有所增加，但 ITRC 发现受泄露影响的受害者人数有所下降，降至 353,027,892 人，比 2022 年的 425,212,090 人下降了 16%。

这种下降是长期趋势的一部分。如果你回到 2018 年，当时受害者人数最多，那么我们下降了 84%，身份窃贼已经改变了他们的策略。无论是在攻击对象还是在寻求信息方面，他们都更有针对性。

当今想要获取个人识别信息的攻击者更有能力瞄准正确的系统如果你对目标系统更加精确，附带损害就会减少。这就是我们如何看到攻击次数增加而受影响人数减少的原因。

我们看到的漏洞对组织的影响比对个人的影响更直接由于 GDPR 和 CCPA，许多公司都加强了数据隐私工作，但他们过于关注数据保护的这一方面，而忽视了基础设施的其余部分。

供应链和零日攻击将继续上升

ITRC 还报告称，2023 年，近 11% 的上市公司受到攻击，虽然大多数行业的攻击数量略有增加，但医疗保健、金融服务和运输行业报告的攻击数量比 2022 年增加了一倍多。

预计来年的违规数量将继续呈上升趋势。看不出有任何理由让它下跌，随着供应链和零日攻击的增加，相信我们将看到又一年的增长。

我们正处于一系列新人工智能工具的风口浪尖，这些工具虽然可以帮助防御者，但也将帮助攻击者。他们可能会首先帮助攻击者，因为攻击者只需要找到一个好的用例就可以发起一波成功的攻击。