DBIR2023 年数据泄露调查报告 关于封面封面上的放大镜旨在直观地传达团队为将我们的精力和资源更多地集中在我们的核心违规数据集上所做的努力。放大的图表只是我们的数据集中的违规数量的累积计数 ， 因为自我们的第一份报告以来已经过去了几年。长期读者可能会注意到事件记录和事件共享词汇 (VERIS) 框架商标蜂窝 ， 它旨在传达 4A (Actor 、 Action 、 Asset 、 Attribute)和他们的各种枚举。30K20K10K2005201020152020 2023 DBIR目录3目录12结果与分析导言 11导言 22导言 49服务53服务54采矿、采石和石油和天然气开采 + 公用事业 59专业、科学技术服务 61小和mediumbusiness65Introduction 707附录 B ： VERIS 映射至 MITRE ATT & CK®83附录 C ： VTRAC 20 年期回顾 84 2023 DBIR有用的定义和图表指导4有用的定义和图表指导您好，欢迎初次阅读 ！ 在您开始阅读 2023 年数据泄露调查报告 （ DBIR ） 之前，最好先看看本节的内容。（ 对于那些熟悉报告的人，请随时跳到引言。） 我们做这份报告已经有一段时间了，我们很感激我们使用的措辞有时会有点迟钝。我们使用非常刻意的命名约定，术语和定义，并花费大量时间确保我们在整个报告中保持一致。希望本节将有助于使所有这些更熟悉。VERIS 框架资源术语 “威胁行动 ” 、“ 威胁行为者 ” 和 “品种 ” 将经常被引用。这些是事件记录和事件共享词汇 (VERIS) 的一部分 ， 该框架旨在允许一致、明确地收集安全事件细节。以下是它们的解释方式:威胁演员 ：事件背后的人是谁 ？ 这可能是发起网络钓鱼活动的外部 “坏人 ” ， 也可能是将敏感文件留在座椅靠背口袋中的员工。威胁行动 ：使用了哪些策略 （ 操作 ） 来影响资产 ？ VERIS 使用威胁操作的七个主要类别 ： 恶意软件 ， 黑客 ， 社交 ， 滥用 ， 物理 ， 错误和环境。高层示例包括黑客入侵服务器 ， 安装恶意软件或通过社交攻击影响人类行为。品种:更具体地列举更高级别的类别 - 例如 ， 将外部 “坏人 ” 归类为有组织犯罪集团 1 或将黑客行为记录为 SQL 注入或暴力。事件与违约我们谈论了很多关于事件和违规行为 ， 我们使用以下定义 ：突发事件:危害信息资产的完整性、保密性或可用性的安全事件。违约:导致数据被确认披露的事件 - 不仅仅是潜在的暴露 -例如 ， 分布式拒绝服务 (DDoS) 攻击通常是事件 ， 而不是一个漏洞 ， 因为没有数据被泄露。这并没有减轻它的严重性。行业标签我们与北美行业分类系统 （ NAICS ） 标准保持一致，以在我们的语料库中对受害组织进行分类。该标准使用二至六位代码对企业和组织进行分类。我们的分析通常是在两位数的水平上进行的，我们将指定 NAICS 代码以及行业标签。例如, 具有标签 Fiacial (52) 的图表不指示 52 作为值。“52 ” 是金融和保险业的 NAICS 代码。使用 “金融 ” 的整体标签 For brevity within the figures. Detailed了解更多在这里 ：•https: / / github. com / vz - risk / dbir / tree / gh - pages / 2023- 包括 DBIR 事实 ， 数字和数字数据•https: / / verisframework. org- 功能信息的框架与示例和枚举列表•https: / / github. com / vz - risk / veris- 功能信息的框架与示例和枚举列表有关代码和分类系统的信息可在此处获得 ：https: / / www. census. gov / naics /? 58967? yearbck = 20121 通过有组织的犯罪集团 ， 我们指的是一个以谋生为生的团体 ， 并且有一个他们反复使用的固定过程 ， 而不是 Tony Soprano 和他的快乐男人乐队。 2023 DBIR有用的定义和图表指导5对不起 ， 这一切是什么时候发生的 ？虽然我们一直在方法论部分中列出以下事实 （ 因为这是此类信息所属的地方 ） ， 但我们决定在这里也提及它 ， 以使那些没有进入报告那么远的人受益。每年 ， 范围内事件的 DBIR 时间表都是从 11 月开始的对我们的数据充满信心从 2019 年开始 ， 以倾斜的条形图开始 ， DBIR 试图指出 ， 关于信息安全的唯一确定的事情是没有什么是确定的。即使我们拥有所有数据 ， 我们也永远不会绝对确定地知道任何事情。但是 ， 而不是举起手来抱怨它不可能测量任何东西 1从一个日历年到下一个日历年的 10 月 31 日。因此 ， 本报告中描述的事件发生在 2021 年 11 月 1 日至 10 月之间31, 2022. 2022 年的案件量是 2023 年报告的主要分析重点 ， 但整个数据范围都被引用 ， 特别是在趋势图。本报告的发布日期和发布日期之间的时间用于获取来自我们全球贡献者的数据 ， 匿名化和聚合这些数据 ， 分析数据集 ， 最后创建图形并编写报告。罗马不是一天建成的 ， DBIR 也不是。数据贫乏的环境 ， 或者更糟然而 ， 只是简单的编造 ， 我们开始工作。今年 ， 您将继续看到整个报告数字中代表不确定性的团队。The examples shown in Figures 1, 2, 3 and 4 all convey the range of realities that could credibly be true. Whether柱状图的斜度、意大利面的线条、点状图的点状或象形图的颜色, 都以各自独特的方式传达着我们行业的不确定性。与倾斜条形图非常相似，意大利面条图代表了相同的概念 ： 置信区间内存在的可能值 ； 但是，由于我们增加了时间元素，因此涉及的更多。各个线程表示每个观察值的置信区间内存在的点之间的所有可能连接的样本。如您所见，一些线程比其他线程更松散，表明内部置信度更宽，样本量更小。图 1.倾斜条形图示例(n = 205)倾斜的条形图将为读者所熟悉。条形图上的斜度表示该数据点的不确定性达到 95 ％ 的置信水平 （ 这是统计测试的标准 ） 。通俗地说 ， 如果两个 （ 或更多 ） 条的倾斜区域重叠 ， 则在不激怒数学神的情况下 ， 您不能真正说一个比另一个大。图 2.意大利面图表示例 2023 DBIR有用的定义和图表指导6点阵图是另一个回归的冠军 ， 理解这张图表的诀窍是记住点代表组织。例如 ， 如果有 200 个点 （ 如图 3 所示 ） ， 则每个点代表组织的 0.5 ％ 。这是理解组织之间如何分布的更好方法并提供了比平均值或中位数更多的信息。我们为这些添加了更多的颜色和标注 ， 以使它们更具信息性。象形图 ， 我们的相对新手 ， 试图以类似于倾斜条形图的方式捕捉不确定性 ， 但更适合于单一比例。我们希望他们能让您在这个复杂的数据集中的旅程比往年更加顺畅。图 3.示例点图 (n = 672) 。每个点代表组织的 0.5% 。橙色: 80% 的下半部分。黄色: 80% 的上半部分。绿色: 80% - 95% 。蓝色: 异常值。 95% 的组织: 148 - 1, 594, 648 。80%: 1,274–438,499.中位数 ： 29, 774 （ 对数标度 ） 。图 4.示例象形图 (n = 4, 110) 。每个字形代表 40 个缺口。问题 ？ 评论 ？ 组织银行挤兑 ？让我们知道 ！ 在 dbir @ verizon. com 给我们一条线 ，在 LinkedIn 上找到我们 ， 用 # dbir 发推文 @ VerizonBusiness 。有数据问题吗 ？Tweet @ VZDBIR!如果您有兴趣成为贡献者一年一度的 Verizon DBIR (我们希望你是) ，这个过程非常简单直接。请给我们发电子邮件信贷到期的信贷事实证明 ， 人们喜欢引用这份报告 ， 我们经常被问到他们应该如何去做。您可以在报告中包括统计数据、数字和其他信息 ， 前提是 (a) 您引用来源为 “Verizon 2023 数据泄露调查报告 ” ， 并且 (b) 内容没有任何修改。允许精确引用 ， 但释义需要审查。如果您想向人们提供报告的副本 ， 我们要求你给他们提供一个链接verizon. com / dbir ， 而不是 PDF 的副本。 Introduction“成功是从失败到失败的绊脚石 ， 没有失去热情。- 归因于温斯顿 · 丘吉尔爵士大家好 ， 欢迎老朋友和新读者参加 2023 年 Verizon 数据泄露调查报告 ！ 我们很高兴您再次加入我们 ， 看看网络犯罪的肮脏底层 ， 看看我们可以从中学到什么教训。似乎每一次新的辩护策略 ， 设备或我们创建 ， 购买或借用的 Please - Save - Us - As - A - Service ， 我们的对手同样可以快速适应并找到攻击的新优势。尽管这种情况已经很不幸了 ， 但是当我们甚至不要求他们发展战术时 ， 情况就会变得更糟 ， 因为旧的战术仍然可以正常工作。无论我们在哪里陷入疯狂安全到不那么安全的频谱 ， 上面的引用都是网络安全 (以及一般生活) 的良好路线图。这份报告旨在看看事情没有按预期工作的时代 — — 不是指手画脚 ， 而是帮助我们所有人学习和提高。在几乎每个人 ，公司和个人都在寻找用更少的钱做更多的事情的方法 ， 我们相信仔细分析我们的防御何时失败可能是非常有益的。虽然大变革的时代总是充满挑战 ， 但它们往往也促使我们评估我们的情况 ， 并在必要时重新调整我们的观点和精力。就是这样今年 DBIR 的案子。作为一个团队，我们决定退后一步，回到让我们走到今天的根本问题上，专注于使用我们自己的 VERIS 框架分析的实际数据泄露。说到 VERIS，这种重新聚焦带来的新好处之一是通过与 MITRE Egeity 和威胁情报防御中心 （ CTID ） 的合作，在 VERIS 和 MITRE ATT ＆ CK 之间进行了更好的映射。2这也有助于我们的上级组织Verizon 威胁研究咨询中心 (VTRAC)3分享了有史以来最多的漏洞供我们分析。你知道今年是 VTRAC 成立 20 周年吗 ？ 老板 ， 给我们留一块蛋糕 ！正如长期读者所知，在过去的几年里，我们越来越多地利用非事件数据，通过各种形式的研究和分析，为我们的违规调查结果增加深度和维度。如上所述，尽管这仍然是我们工作的重要组成部分，但我们确实采取了有目的的步骤，以更直接地关注今年房屋的违规方面。简而言之，这样做的结果是使报告更加简洁简洁，不那么笨拙。今年，我们分析了 16312 起安全事件，其中 5199 起被确认为数据泄露。与往常一样，我们希望您发现此信息信息丰富，有用，易于理解和可操作。最后 ， 我们衷心感谢我们的全球数据贡献者 ， 因为如果没有他们 ， 本报告实际上是不可能的。当然 ， 我们的读者也可以这样说 ， 所以请接受我们对您的持续支持的深切谢意。Sincerely,Verizon DBIR 团队C. David Hylender, Philippe Langlois, Alex Pinto, Suzanne Widup特别感谢 ：–VTRAC 的戴夫 · 肯尼迪和埃里卡 · 吉福德。–来自 Verizon 商业产品数据科学团队的 Kate Kutchko 、 Marziyeh Khanouki 和 Yoni Fridman 。–Gabriel Bassett 多年来所有的统计工具 ， 图表和可怕的笑话。祝你下次冒险好运 ！2https: / / mitre - engenuity. org / 网络安全 / 威胁中心知情防御 /3https: / / www. verizon. com / business