Verizon发布的《2025数据泄漏调查报告》（2025 Data Breach Investigations Report, DBIR）是网络安全领域的权威年度报告（每年一度），基于对全球139个国家的2.2万余起安全事件（其中12,195起确认为数据泄露）的分析，揭示了当前网络威胁的演变趋势和关键挑战。以下是简要解读：

一、勒索软件：中小企业成重灾区，但防御韧性提升

• 攻击规模 ：勒索软件占所有数据泄露事件的44%，同比上升37%。中小企业受害率高达88%，是大型企业（39%）的两倍以上，反映其安全投入不足与防护能力薄弱。
• 赎金策略变化 ：64%的受害企业拒绝支付赎金（较两年前提升14%），赎金中位数从15万美元降至11.5万美元。这得益于企业备份恢复能力增强、执法机构对勒索组织打击力度加大（如暗网交易监控与资金链冻结）。
• 攻击模式升级 ：从传统加密勒索转向“三重勒索”甚至“五重勒索”，即同时威胁公开数据、攻击供应链或发起DDoS攻击施压。

二、漏洞利用：零日攻击激增，修复滞后成致命短板

• 漏洞攻击激增 ：利用未修复漏洞的攻击同比增长34%，占泄露事件的20%。 边缘设备与VPN的零日漏洞利用占比从3%飙升至22% ，成为主要攻击载体。
• 修复效率低下 ：仅54%的漏洞被完全修复，中位修复耗时32天。例如，医疗机构的物联网设备因维护复杂常被忽略，成为入侵突破口。
• 供应链漏洞放大风险 ：30%的泄露事件与第三方漏洞相关（较2024年翻倍），典型案例包括MOVEit文件传输漏洞和Snowflake云平台凭证泄露。

三、行业与区域风险：医疗、金融成“高危区”，亚太威胁加剧

• 行业聚焦 ：
  • 医疗领域 ：系统入侵（含勒索软件）成首要泄露原因，敏感患者数据的高价值驱动攻击。
  • 金融服务业 ：78%的泄露由外部攻击者发起，经济利益驱动的攻击占比最高，如供应链API接口滥用与内部人员贿赂。
• 区域特征 ：
  • 亚太地区 ：80%的泄露源于系统入侵，勒索软件占比51%，且83%的恶意软件攻击含勒索功能。中小企业的安全能力不足与数字化转型加速矛盾突出。

四、 “人的因素”：安全意识提升，但AI社工攻击威胁升级

• 人为失误占比下降 ：60%的泄露涉及人为因素（如误操作、钓鱼点击），较2024年下降8%，反映安全意识培训的成效。
• 社工攻击新手法 ：
  • 提示轰炸（Prompt Bombing） ：通过高频发送MFA验证请求迷惑用户，诱导其授权恶意登录。
  • AI钓鱼邮件占比翻倍 ：AI生成的钓鱼邮件占比从5%升至10%，内容更个性化且难以识别。
• GenAI滥用风险 ：15%的员工使用公司设备访问生成式AI工具，72%通过非公司邮箱注册，可能导致敏感数据外泄至第三方平台。

五、新兴威胁：供应链与AI驱动攻击成未来焦点

• 供应链攻击常态化 ：第三方服务商（如云平台、软件供应商）漏洞被利用的概率持续上升，攻击者通过“信任链”突破企业边界。
• AI威胁双重性 ：
  • 防御机遇 ：AI可用于威胁检测（如异常行为分析）与自动化响应。
  • 攻击武器化 ：AI生成虚假身份、伪造语音（深度伪造）实施诈骗，或自动化扫描漏洞加速攻击。

六、应对策略：多层防御与主动治理

1. 技术加固 ：
   • 部署多因素认证（MFA） 与零信任架构，限制横向移动。
   • 强化边缘设备与VPN漏洞管理，采用自动化补丁工具缩短修复周期。
2. 管理优化 ：
   • 制定GenAI使用政策，限制非授权工具访问，监控数据流向。
   • 建立第三方风险评估框架，合同约束供应商安全责任。
3. 人员与文化建设 ：
   • 开展反社工攻击模拟演练 （如钓鱼测试、提示轰炸应对）。
   • 推动数据安全文化，将安全指标纳入绩效考核。

报告启示 ：网络攻击正呈现“更快、更隐蔽、更复杂”的特征，企业需从被动响应转向主动防御，平衡技术投入与人为风险管理，尤其关注AI与供应链的长期威胁。完整报告作者已经给大伙拿到，请请自行下载。

Verizon《2025数据泄漏调查报告》下载