分析表明,與前幾年相比,利用漏洞作為發起攻擊的關鍵途徑的攻擊有了實質性的增長。它幾乎是去年的三倍(增長了180%),這對於任何關注MOVEit和類似零日漏洞影響的人來說都不足為奇。這些攻擊主要是由勒索軟體和其他勒索相關的威脅承載的。可以想象,這些初始入口點的主要載體是網路應用程式。
大約1/3的違規行為涉及勒索軟體或其他勒索技術。在過去的一年,純粹的勒索攻擊有所增加,現在佔所有攻擊的9%。傳統的勒索軟體向這些新技術的轉變導致勒索軟體的數量略有下降,降至23%。
報告已經修改了對人為因素的計算,以排除惡意的特權濫用,以提供一個更清晰的安全意識可能影響的指標。在今年的資料集中,人為因素佔了68%的違規行為。
組織可以透過選擇具有更好安全跟蹤記錄的供應商來潛在地減輕或防止這些漏洞。我們看到今年這個數字是15%,比去年增長了68%。
我們的資料集看到了涉及錯誤的違規行為的增長,現在增長了28%,因為我們擴大了貢獻者的基礎,包括幾個新的強制性違規通知實體。
在過去的幾年裡,網路釣魚的總體報告率一直在增長。20%的使用者在模擬活動中報告了網路釣魚,11%的使用者點選了電子郵件。
出於經濟動機的威脅行為者通常會堅持使用能夠給他們帶來最大投資回報的攻擊技術。
在過去的三年裡,勒索軟體和其他勒索攻擊的總和佔這些攻擊的近2/3(在59%到66%之間波動)。根據美國聯邦調查局網際網路犯罪投訴中心(IC3)的勒索軟體投訴資料,95%的案件與勒索軟體和其他勒索行為相結合的損失中位數為46000美元,範圍在3美元(3美元)到1141467美元之間。
文件連結將分享到199IT知識星球,掃描下面二維碼即可查閱!