2W+安全事件警示：10次数据泄露，6次与“人”有关

10次数据泄露事件，6次与“人为因素”有关？！

这绝不是危言耸听，而是Verizon最新发布的《2025数据泄露调查报告（DBIR）》（以下简称“DBIR”）给出的真实数据。今年的DBIR分析了全球22,052起安全事件和12,195起已确认数据泄露，揭示了网络安全威胁的最新态势。

值得关注的是，“人为因素”仍旧是数据泄露的最主要原因，社会工程攻击、网络钓鱼、凭证滥用、AI滥用……这些针对“人”的网络攻击都给企业敲响了警钟——“人为因素”仍是企业网络安全防护的重中之重。

DBIR速览：60%的数据泄露与“人”有关

DBIR报告指出，60%的数据泄露事件与“人为因素”直接相关。在全球139个国家的12,195起数据泄露事件中，超半数企业因“人为失误”和“技术债”导致严重损失。

1.社会工程攻击升级

DBIR报告指出，社会工程攻击和网络钓鱼仍旧是攻击者的首选策略。其中，以凭证滥用和网络钓鱼作为初始访问步骤的攻击分别占数据泄露事件的22%和16%，占比位列第一和第三。

暗网凭证黑市规模化加剧了凭证滥用。在信息窃取木马（Infostealer）日志中，30%为受企业管理的设备，46%的泄露设备同时存有个人与企业凭证。勒索团伙公布的受害者中，54%的企业域名曾出现在暗网凭证市场，40%泄露数据包含企业邮箱。这些被贩卖的身份凭证给攻击者提供了极大的便利，他们可以轻松通过撞库攻击入侵企业内网。

在网络钓鱼上，生成式AI（GenAI）降低了网络钓鱼的门槛，提升了攻击的成功率。过去两年中，AI辅助的恶意电子邮件从5%左右增加到10%左右，使得钓鱼邮件检测难度提升400%。

2.内部错误难以根除

在“人为因素”导致的数据泄露事件中，员工操作失误占据了很大比例，包括误发敏感数据、配置错误等。其中，医疗、教育等行业因需要高频处理个人信息，成为数据泄露的重灾区。

除了内部员工，企业还要面对来自第三方的数据泄露。DBIR报告显示，30%的数据泄露事件与第三方直接相关（2024年仅为15%），供应链、软件供应商和云平台正日益成为组织防御中最薄弱的环节。去年发生的MOVEit漏洞和Snowflake凭证攻击等供应链攻击事件，表明了攻击者正在转向利用组织对于第三方平台/服务的信任和依赖关系作为新的突破口。

3.GenAI诱发新风险

DBIR报告显示，15%的员工会定期利用公司设备访问GenAI（至少每15天一次）。令人担忧的是，其中72%的人会使用非公司电子邮件作为账户标识符，17%的人在缺乏集成身份验证系统的情况下使用公司电子邮件作为标识，侧面反映员工可能存在未受控的违规操作，有可能导致数据泄露。

除了“人为因素”导致数据泄露这一核心洞察，DBIR报告还从其它角度揭示了网络安全威胁的最新态势：

勒索软件攻击威胁持续升级：勒索软件攻击在所有数据泄漏事件中的占比上升至44%。中小型企业成为勒索软件攻击的高发群体，受害率高达88%，显著高于大型企业的39%。另一方面，64%企业拒绝支付赎金，而两年前这一比例仅为50%。这推动了赎金中位数从15万美元降至11.5万美元。

漏洞利用呈上升趋势：利用未修复漏洞发起的攻击活动相较去年增长34%，占数据泄漏事件的20%。在针对漏洞利用行动中，边缘设备和VPN作为目标的比例为22%，比去年报告中的3%增长了近八倍。

医疗、金融等依旧是数据泄露重灾区：医疗行业持续成为网络攻击的主要靶向行业，网络安全事件及数据泄漏事件呈现轻微上升趋势。金融行业依然是出于经济利益驱动的威胁行为者的主要攻击目标。在该领域，来自外部的攻击者占比78%。

芯盾时代零信任数据安全解决方案

面对严峻的数据安全态势，芯盾时代作为领先的零信任业务安全产品方案提供商，创新性的将零信任理念引入数据安全领域，基于自主研发的数据安全管控系统（ZDMC）、数据资产梳理系统（ZDAS）、零信任安全网关（SDP）、用户身份与访问管理平台（IAM）等产品，打造了零信任数据安全解决方案。

借助此方案，企业能够从身份、设备、行为三个维度构建零信任安全架构，构建覆盖资源侧、网络侧、访问侧的全链路数据安全防护体系，在兼顾安全、体验、成本的前提下，构建以“人”为核心的数据安全防护体系，实现数据的可信任访问，防范因“人为因素”导致的数据泄露，让数据安全的流通、流转。

借助芯盾时代零信任数据安全解决方案，企业能够一站式实现以下功能，满足监管合规要求：

1.访问侧：落实最小化授权，实施动态访问控制

在访问侧，借助用户身份与访问管理平台（IAM）,帮助企业建立统一化、标准化、自动化的身份管理体系，通过多因素认证（MFA）、单点登录等功能提升身份认证的安全性，通过细至URL的访问权限管理能力和对权限管理模型的全面支持实现“最小化授权”，帮助企业精准管控数据资源的访问权限，在规范身份管理、提升身份安全的同时，实现数据资产身份化，夯实零信任架构的基石。

零信任安全网关（SDP）能够综合身份、设备、IP、时间、行为、位置等因素，对每一次访问全程进行实时的风险评估，根据风险级别自适应执行访问控制策略，及时阻断风险访问，保证数据资源安全。SDP客户端内置安全沙箱，可以在终端设备中构建与本地空间完全隔离的安全工作空间，实现数据不落地，并实施禁止复制、禁止截屏、禁止打印、外发审批等行为管控。芯盾时代自主研发的密码技术，保证工作空间内的数据加密存储，避免数据被窃取。

2.资源侧：高效管控数据资源，实现数据分类分级

借助数据资产梳理系统（ZDAS）的数据资产智能挖掘和扫描技术，企业能够建立精准的数据资产台账，根据不同分类及重要程度进行分类分级打标处理，一站式解决管理、使用、统计、合规上的问题，为数据安全防护提供强有力支撑。

数据安全管控系统（ZDMC）能够帮助企业实现对数据库的操作行为和数据库输出内容进行管控，实现敏感数据脱敏，有效防范越权访问、违规请求、超频使用、数据泄露等风险。

3.网络侧：收敛数据资源暴露面，数据加密传输

芯盾时代SDP采用应用代理和SPA单包授权技术，由网关统一代理业务应用访问流量，同时对所有连接网关的设备进行预认证，不通过认证不开放端口，实现业务应用和网关双重“隐身”，有效收敛网络暴露面，减少遭受网络攻击的风险。

通过认证后，芯盾时代SDP能在客户端与网关之间建立加密隧道，保证数据通过互联网安全传输。加密隧道采用国密算法，让数据传输更加安全可控。

数据安全，以人为本。芯盾时代零信任数据安全解决方案，能够帮助企业用技术规范人的行为、弥补人的漏洞，为企业构筑数据安全防线，让企业真正发挥数据的价值。