报告显示，利用漏洞发起的攻击显著增加，几乎是去年的三倍，主要由勒索软件驱动。网络应用程序是主要入口点。勒索软件及相关勒索技术占据了约三分之一的违规行为，纯粹的勒索攻击也有所上升。人为因素仍是主要原因，占违规行为的68%。此外，选择安全记录更好的供应商可以减少漏洞风险。错误导致的违规行为也在增加。网络钓鱼报告率持续增长，20%的用户报告了网络钓鱼尝试。经济动机驱动的攻击者倾向于使用高回报的技术。勒索软件及相关攻击造成的损失中位数达到46000美元。

🚀 漏洞攻击大幅增长：利用漏洞作为攻击入口的事件激增，较去年增长180%，主要由勒索软件等威胁驱动，网络应用是主要载体。

💰 勒索软件攻击变化：勒索软件攻击虽略有下降至23%，但包含其他勒索技术的攻击增加了，纯粹的勒索攻击也占到了所有攻击的9%。

🧑‍💻 人为因素依旧突出：人为因素在违规事件中占比高达68%，凸显了安全意识的重要性，但报告已排除恶意滥用特权的情况。

🛡️ 选择更安全的供应商：组织应选择安全记录良好的供应商，以减少漏洞风险，目前因供应商漏洞导致的违规事件占15%，较去年增长68%。

🎣 网络钓鱼持续增长：网络钓鱼报告率上升，20%的用户报告了网络钓鱼，11%的用户点击了电子邮件，表明用户安全意识仍需加强。

分析表明，与前几年相比，利用漏洞作为发起攻击的关键途径的攻击有了实质性的增长。它几乎是去年的三倍（增长了180%），这对于任何关注MOVEit和类似零日漏洞影响的人来说都不足为奇。这些攻击主要是由勒索软件和其他勒索相关的威胁承载的。可以想象，这些初始入口点的主要载体是网络应用程序。

大约1/3的违规行为涉及勒索软件或其他勒索技术。在过去的一年，纯粹的勒索攻击有所增加，现在占所有攻击的9%。传统的勒索软件向这些新技术的转变导致勒索软件的数量略有下降，降至23%。

报告已经修改了对人为因素的计算，以排除恶意的特权滥用，以提供一个更清晰的安全意识可能影响的指标。在今年的数据集中，人为因素占了68%的违规行为。

组织可以通过选择具有更好安全跟踪记录的供应商来潜在地减轻或防止这些漏洞。我们看到今年这个数字是15%，比去年增长了68%。

我们的数据集看到了涉及错误的违规行为的增长，现在增长了28%，因为我们扩大了贡献者的基础，包括几个新的强制性违规通知实体。

在过去的几年里，网络钓鱼的总体报告率一直在增长。20%的用户在模拟活动中报告了网络钓鱼，11%的用户点击了电子邮件。

出于经济动机的威胁行为者通常会坚持使用能够给他们带来最大投资回报的攻击技术。

在过去的三年里，勒索软件和其他勒索攻击的总和占这些攻击的近2/3（在59%到66%之间波动）。根据美国联邦调查局互联网犯罪投诉中心（IC3）的勒索软件投诉数据，95%的案件与勒索软件和其他勒索行为相结合的损失中位数为46000美元，范围在3美元（3美元）到1141467美元之间。

​文档链接将分享到199IT知识星球，扫描下面二维码即可查阅！