重磅发布｜《2024年度数据泄漏态势分析报告》

关注【闪捷信息】公众号

回复关键词【2024分析报告】查看报告原文

不同的数据泄露事件背后，有不同的动机。以经济利益为目的的数据泄露事件占比接近80%，这说明数据泄露事件，仍然是利益驱动。据观察发现，不法分子在窃取数据后，可以通过售卖个人信息或知识产权变现，也可以勒索受害者获得收入。

统计发现，内部人员导致的数据泄露事件占比超过50%，与2023年相比，虽然占比变化不大，但是出现了更多新颖的数据泄露方式。除了主动的泄密和由于失误造成的泄密之外，在使用人工智能时，也出现了用户因为大模型的漏洞而泄露了数据。

个人信息泄露最严重的是金融行业，占比超过25%。保险和金融部门由于其持有高敏感数据而成为最常见的目标。泄露的原因除了外部攻击，还包括缺乏访问控制、非授权访问、数据库配置错误、“内鬼”和系统漏洞。

个人信息包含了很多维度的个人相关数据。在泄露的个人信息中，姓名出现在接近90%的个人信息泄露事件中，其次是电话号码和电子邮件，泄露的占比均超过60%，第四位是登录凭据，泄露占比接近40%，排在第四位。

个人信息的泄露，会通过地下市场流向黑灰产业。电话号码会被利用进行电信诈骗或者广告骚扰，Email地址也会被用来发送钓鱼邮件、恶意软件，或者各种非法广告，对社会造成二次危害。

人工智能安全风险显现。越来越多的公司尝试利用生成式AI帮助企业提高生产力，当企业使用ChatGPT或类似的生成式AI工具／平台时。AI系统自身的运行机制或算法漏洞也可能被利用，导致数据被恶意操控。

供应链安全风险显著。在全球化不断深入、分工愈发精细的当下，全球供应链的复杂程度与相互关联程度持续攀升。与此同时，数字生态系统的攻击面急剧拓展，潜藏着更多漏洞。这些状况极大地激发了攻击者将目标锁定于此的动力，毕竟一旦攻击得手，他们便能获取巨额的财务利益或者关键信息。

风险监测能力不足。企业缺乏全面的风险评估和监测机制，无法及时发现并预防各类数据泄露、破坏等安全威胁，导致敏感数据和核心业务系统面临巨大风险。在多数情况下，数据泄露事件被公众知晓是滞后的。数据到了攻击者手中，甚至开始地下交易，或者开始造成不良后果，才引起了数据处理者的关注。未能在发生数据泄露前及时识别风险，那就更谈不上采取应急措施减少损失。

个人信息泄露严重。个人信息的泄露，会对企业和个人造成损失，也为以后的数据泄露提供了便利。个人信息富含社会关系、访问凭据、健康和资产信息，包含了主体可以被进一步利用的数据，既可以在地下黑市交易，也可以为下一次攻击提供丰富的情报。越来越频繁的个人信息泄露，为社会的不安定埋下了隐患。

勒索攻击常态化。勒索攻击已经开始向RaaS(勒索软件作为服务)模式转变。其中最有代表性的当属Netwalker勒索软件。RaaS模式降低了勒索攻击的技术门槛，使得攻击者不需要具备编码和网络渗透技术，只需要购买勒索攻击的服务，即可执行高度复杂的勒索攻击。这为越来越多的犯罪分子提供了便利，也意味着未来会有更多的勒索攻击事件。

员工依然是安全防护的薄弱点。除了员工恶意主动实施数据泄露行为之外，相当一部分数据泄露事件实则源于员工的疏忽大意以及安全意识的欠缺。从一个方面来看，人为失误会直接致使信息暴露于风险之中；从另一个方面来讲，员工因无法精准识别威胁，给社会工程学攻击以及各类钓鱼攻击创造了可乘之机，使其得以成功实施。而这些泄露出去的信息，又进一步增强了后续攻击的欺骗性，如此往复，形成了一个恶性循环 。

建设数据分类分级保护能力

分类分级保护是数据安全治理的基础，也是我国《数据安全法》中明确提出的要求。建设组织的数据安全分级分类保护能力，首先需要依据数据的敏感程度、重要性和相关法规要求，制定数据分级分类标准和规范。其次，针对不同级别数据，采取差异化的安全保护措施，如核心数据采取更严格的访问控制、加密、备份等技术手段，同时加强人员管控；一般数据按基本要求保护即可。再者，建立数据全生命周期管理机制，从数据采集、传输、存储、使用到销毁各环节，落实相应的安全技术及管理制度。

加强企业云上数据防护

制定全面的云安全策略和管理制度，明确云上数据分类分级要求、访问权限控制、加密存储传输等规范。其次，在云平台上部署一体化的数据安全防护体系，包括入侵防御、漏洞扫描、数据防泄漏、访问审计等多重防护手段，实现风险的全方位监控和防御。此外，需加强与云服务商的合作，及时获取云平台的安全更新，并对其安全能力进行严格审核评估。同时，开展定期的云上数据安全检查和应急演练，提高风险发现和应急响应能力。引进先进的云安全产品和服务，并建设专业的云安全运维团队。与此同时，加强员工安全意识培训，提升整体防护能力。只有统筹兼顾技术、管理、人员等各方面，才能真正构筑企业云上数据的安全防线。

重视人工智能领域的数据安全风险

人工智能在众多商业领域发挥着颠覆性的作用，系统中数据安全的重要性变得越来越重要。大模型开发者应该与安全人员一起合作，开发出能够抵抗攻击的模型，即使在输入噪声或构造的恶意样本时也能保持其准确性。大模型的使用者也同样需要保持警惕，采用必要的技术手段来监控大模型的输入和输出，降低使用过程中的安全风险。

加强对合作伙伴的安全能力评估

建立合作伙伴的评估机制和标准体系。首先要明确数据安全的合规要求和风险承受能力，然后通过审计合作伙伴的安全政策、技术措施、人员素质等多个维度，结合实地检查、渗透测试、案例评审等手段，全面考查合作伙伴在访问控制、加密传输、数据备份、漏洞修复、应急响应等方面的能力表现，识别其在数据全生命周期各环节可能存在的风险隐患，并提出整改建议，持续监督改进，以确保合作伙伴能够满足企业对数据安全合规性、保密性和可靠性的严格要求。

建设全流程数据安全风险监控

数据安全风险越早发现，其造成的损失就会越小。在技术层面，部署数据流转监控类软件，对数据在各个系统和应用之间的传输进行全链路监控和审计，实时捕获异常行为，如未经授权访问、数据篡改或泄露等风险事件。在管理层面，制定完善的数据流转策略和管控机制，明确各环节的操作规范、风险审查流程以及人员权责分工。定期开展数据安全风险评估，及时发现漏洞并及时整改。

建立数据安全运营能力

通过建设流程和制度，保障企业组织的数据安全能力持续发挥作用并不断优化。定期培训和宣贯数据安全技能，提升员工辨识钓鱼攻击的能力。对安全产品进行预防性维护，最大限度地提高现有安全工具和措施的有效性，例如安全产品补丁和升级，更新白名单、黑名单以及安全策略。定期进行脆弱性评估，任何配置的变更都要进行评估和验证。建立安全事件响应机制，定期演练。事后有分析和优化的流程。为防止再次发生，从事件中获取新情报，来更好地解决漏洞、更新流程和政策、选择新的安全工具或修改事件响应计划。

为帮助各行业组织机构更好地了解如何降低环境中的数据安全风险，后续会陆续分享某大型央企的数据防泄露实践经验，以及后数字时代的数据防泄露技术，敬请各位期待。

关注【闪捷信息】公众号

回复关键词【2024分析报告】查看报告原文