10次數據泄露事件，6次與“人為因素”有關？！

這絕不是危言聳聽，而是Verizon最新發布的《2025數據泄露調查報告（DBIR）》（以下簡稱“DBIR”）給出的真實數據。今年的DBIR分析了全球22,052起安全事件和12,195起已確認數據泄露，揭示了網絡安全威脅的最新態勢。

值得關注的是，“人為因素”仍舊是數據泄露的最主要原因，社會工程攻擊、網絡釣魚、憑證濫用、AI濫用……這些針對“人”的網絡攻擊都給企業敲響了警鐘——“人為因素”仍是企業網絡安全防護的重中之重。

DBIR速覽：60%的數據泄露與“人”有關

DBIR報告指出，60%的數據泄露事件與“人為因素”直接相關。在全球139個國家的12,195起數據泄露事件中，超半數企業因“人為失誤”和“技術債”導致嚴重損失。

1.社會工程攻擊升級

DBIR報告指出，社會工程攻擊和網絡釣魚仍舊是攻擊者的首選策略。其中，以憑證濫用和網絡釣魚作為初始訪問步驟的攻擊分別占數據泄露事件的22%和16%，占比位列第一和第三。

暗網憑證黑市規模化加劇了憑證濫用。在信息竊取木馬（Infostealer）日志中，30%為受企業管理的設備，46%的泄露設備同時存有個人與企業憑證。勒索團伙公布的受害者中，54%的企業域名曾出現在暗網憑證市場，40%泄露數據包含企業郵箱。這些被販賣的身份憑證給攻擊者提供了極大的便利，他們可以輕松通過撞庫攻擊入侵企業內網。

在網絡釣魚上，生成式AI（GenAI）降低了網絡釣魚的門檻，提升了攻擊的成功率。過去兩年中，AI輔助的惡意電子郵件從5%左右增加到10%左右，使得釣魚郵件檢測難度提升400%。

2.內部錯誤難以根除

在“人為因素”導致的數據泄露事件中，員工操作失誤占據了很大比例，包括誤發敏感數據、配置錯誤等。其中，醫療、教育等行業因需要高頻處理個人信息，成為數據泄露的重災區。

除了內部員工，企業還要面對來自第三方的數據泄露。DBIR報告顯示，30%的數據泄露事件與第三方直接相關（2024年僅為15%），供應鏈、軟件供應商和云平臺正日益成為組織防御中最薄弱的環節。去年發生的MOVEit漏洞和Snowflake憑證攻擊等供應鏈攻擊事件，表明了攻擊者正在轉向利用組織對于第三方平臺/服務的信任和依賴關系作為新的突破口。

3.GenAI誘發新風險

DBIR報告顯示，15%的員工會定期利用公司設備訪問GenAI（至少每15天一次）。令人擔憂的是，其中72%的人會使用非公司電子郵件作為賬戶標識符，17%的人在缺乏集成身份驗證系統的情況下使用公司電子郵件作為標識，側面反映員工可能存在未受控的違規操作，有可能導致數據泄露。

除了“人為因素”導致數據泄露這一核心洞察，DBIR報告還從其它角度揭示了網絡安全威脅的最新態勢：

勒索軟件攻擊威脅持續升級：勒索軟件攻擊在所有數據泄漏事件中的占比上升至44%。中小型企業成為勒索軟件攻擊的高發群體，受害率高達88%，顯著高于大型企業的39%。另一方面，64%企業拒絕支付贖金，而兩年前這一比例僅為50%。這推動了贖金中位數從15萬美元降至11.5萬美元。

漏洞利用呈上升趨勢：利用未修復漏洞發起的攻擊活動相較去年增長34%，占數據泄漏事件的20%。在針對漏洞利用行動中，邊緣設備和VPN作為目標的比例為22%，比去年報告中的3%增長了近八倍。

醫療、金融等依舊是數據泄露重災區：醫療行業持續成為網絡攻擊的主要靶向行業，網絡安全事件及數據泄漏事件呈現輕微上升趨勢。金融行業依然是出于經濟利益驅動的威脅行為者的主要攻擊目標。在該領域，來自外部的攻擊者占比78%。

芯盾時代零信任數據安全解決方案

面對嚴峻的數據安全態勢，芯盾時代作為領先的零信任業務安全產品方案提供商，創新性的將零信任理念引入數據安全領域，基于自主研發的數據安全管控系統（ZDMC）、數據資產梳理系統（ZDAS）、零信任安全網關（SDP）、用戶身份與訪問管理平臺（IAM）等產品，打造了零信任數據安全解決方案。

借助此方案，企業能夠從身份、設備、行為三個維度構建零信任安全架構，構建覆蓋資源側、網絡側、訪問側的全鏈路數據安全防護體系，在兼顧安全、體驗、成本的前提下，構建以“人”為核心的數據安全防護體系，實現數據的可信任訪問，防范因“人為因素”導致的數據泄露，讓數據安全的流通、流轉。

借助芯盾時代零信任數據安全解決方案，企業能夠一站式實現以下功能，滿足監管合規要求：

1.訪問側：落實最小化授權，實施動態訪問控制

在訪問側，借助用戶身份與訪問管理平臺（IAM）,幫助企業建立統一化、標準化、自動化的身份管理體系，通過多因素認證（MFA）、單點登錄等功能提升身份認證的安全性，通過細至URL的訪問權限管理能力和對權限管理模型的全面支持實現“最小化授權”，幫助企業精準管控數據資源的訪問權限，在規范身份管理、提升身份安全的同時，實現數據資產身份化，夯實零信任架構的基石。

零信任安全網關（SDP）能夠綜合身份、設備、IP、時間、行為、位置等因素，對每一次訪問全程進行實時的風險評估，根據風險級別自適應執行訪問控制策略，及時阻斷風險訪問，保證數據資源安全。SDP客戶端內置安全沙箱，可以在終端設備中構建與本地空間完全隔離的安全工作空間，實現數據不落地，并實施禁止復制、禁止截屏、禁止打印、外發審批等行為管控。芯盾時代自主研發的密碼技術，保證工作空間內的數據加密存儲，避免數據被竊取。

2.資源側：高效管控數據資源，實現數據分類分級

借助數據資產梳理系統（ZDAS）的數據資產智能挖掘和掃描技術，企業能夠建立精準的數據資產臺賬，根據不同分類及重要程度進行分類分級打標處理，一站式解決管理、使用、統計、合規上的問題，為數據安全防護提供強有力支撐。

數據安全管控系統（ZDMC）能夠幫助企業實現對數據庫的操作行為和數據庫輸出內容進行管控，實現敏感數據脫敏，有效防范越權訪問、違規請求、超頻使用、數據泄露等風險。

3.網絡側：收斂數據資源暴露面，數據加密傳輸

芯盾時代SDP采用應用代理和SPA單包授權技術，由網關統一代理業務應用訪問流量，同時對所有連接網關的設備進行預認證，不通過認證不開放端口，實現業務應用和網關雙重“隱身”，有效收斂網絡暴露面，減少遭受網絡攻擊的風險。

通過認證后，芯盾時代SDP能在客戶端與網關之間建立加密隧道，保證數據通過互聯網安全傳輸。加密隧道采用國密算法，讓數據傳輸更加安全可控。

數據安全，以人為本。芯盾時代零信任數據安全解決方案，能夠幫助企業用技術規范人的行為、彌補人的漏洞，為企業構筑數據安全防線，讓企業真正發揮數據的價值。