分析表明,与前几年相比,利用漏洞作为发起攻击的关键途径的攻击有了实质性的增长。它几乎是去年的三倍(增长了180%),这对于任何关注MOVEit和类似零日漏洞影响的人来说都不足为奇。这些攻击主要是由勒索软件和其他勒索相关的威胁承载的。可以想象,这些初始入口点的主要载体是网络应用程序。
大约1/3的违规行为涉及勒索软件或其他勒索技术。在过去的一年,纯粹的勒索攻击有所增加,现在占所有攻击的9%。传统的勒索软件向这些新技术的转变导致勒索软件的数量略有下降,降至23%。
报告已经修改了对人为因素的计算,以排除恶意的特权滥用,以提供一个更清晰的安全意识可能影响的指标。在今年的数据集中,人为因素占了68%的违规行为。
组织可以通过选择具有更好安全跟踪记录的供应商来潜在地减轻或防止这些漏洞。我们看到今年这个数字是15%,比去年增长了68%。
我们的数据集看到了涉及错误的违规行为的增长,现在增长了28%,因为我们扩大了贡献者的基础,包括几个新的强制性违规通知实体。
在过去的几年里,网络钓鱼的总体报告率一直在增长。20%的用户在模拟活动中报告了网络钓鱼,11%的用户点击了电子邮件。
出于经济动机的威胁行为者通常会坚持使用能够给他们带来最大投资回报的攻击技术。
在过去的三年里,勒索软件和其他勒索攻击的总和占这些攻击的近2/3(在59%到66%之间波动)。根据美国联邦调查局互联网犯罪投诉中心(IC3)的勒索软件投诉数据,95%的案件与勒索软件和其他勒索行为相结合的损失中位数为46000美元,范围在3美元(3美元)到1141467美元之间。
